1. 정보유출 인지 및 초기 대응
환자정보 유출이 확인되면 즉시 유출 경로를 차단하고 피해 범위를 파악합니다. 해킹에 의한 유출인 경우 시스템 접근을 제한하고, 내부 유출인 경우 해당 직원의 접근 권한을 즉시 정지합니다. 유출된 정보의 종류와 규모, 유출 시점을 파악하여 대응 우선순위를 결정합니다.
2. 법정 신고 의무 이행
개인정보보호법에 따라 1천명 이상의 정보가 유출된 경우 개인정보보호위원회에 72시간 이내 신고해야 합니다. 유출 사실, 유출된 항목, 유출 시점, 대응 조치를 포함한 신고서를 작성합니다. 신고 지연 시 과태료가 부과되므로 시간 관리가 중요합니다.
3. 환자(정보주체) 통지 절차
유출된 환자에게 지체 없이 개별 통지합니다. 통지 내용에는 유출 항목, 유출 시점, 피해 최소화 방법, 병원의 대응 조치, 상담 연락처를 포함합니다. 1천명 이상인 경우 홈페이지에도 30일 이상 게시합니다. 통지 방법은 서면, 이메일, 문자 등을 활용합니다.
4. 재발 방지 및 보안 강화 조치
유출 원인을 분석하여 기술적, 관리적 보안 조치를 강화합니다. 직원 보안 교육을 재실시하고, 접근 권한을 최소 권한 원칙에 따라 재설정합니다. 개인정보 영향평가를 실시하고, 보안 시스템을 업그레이드합니다. 정기적인 보안 감사 체계를 도입합니다.
5. 손해배상 및 법적 리스크 관리
환자가 손해배상을 청구할 경우에 대비하여 법률 자문을 받습니다. 개인정보 유출로 인한 정신적 손해배상 판례를 검토하고, 예상 배상 규모를 산정합니다. 사이버 보험 가입 여부를 확인하고, 미가입 시 향후 가입을 검토합니다.