| 전자의무기록의 관리·보존에 필요한 시설과 장비에 관한 기준 |
제정 2016.8.6. 보건복지부고시 제2016-140호
개정 2018.10.2. 보건복지부고시 제2018-212호
개정 2021.1.5. 보건복지부고시 제2021-2호
개정 2023.12.14. 보건복지부고시 제2023-245호
제1장 총칙
제1조(목적) 이 기준은 「의료법」 제23조제2항, 같은 조 제4항 및 같은 법 시행규칙 제16조에 따라 전자의무기록을 안전하게 관리·보존하기 위한 시설과 장비에 관한 기준의 구체적인 내용을 정하는 것을 목적으로 한다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. "전자의무기록" 이라 함은 진료기록부 등 의료인이 작성하는 의무기록을 전자서명이 기재된 전자문서로 입력·관리·저장하는 기록을 말한다.
2. "전자의무기록 시스템"이라 함은 전자의무기록의 관리·보존과 관련되는 서버, 소프트웨어 및 데이터베이스 등이 전자적으로 조직화된 체계를 말한다.
3. "전자의무기록 관리자"라 함은 전자의무기록 시스템을 관리하는 의료인이나 의료기관 개설자를 말한다. 이 경우 「개인정보보호법」제26조에 따라 의료인이나 의료기관 개설자로부터 개인정보의 처리업무를 위탁받아 전자의무기록 시스템을 관리하는 자를 포함한다.
4. "로그정보"라 함은 서버나 컴퓨터 등에서 처리한 내용이나 이용 상황을 시간의 흐름에 따라 전자적으로 기록한 정보를 말한다.
제2장 전자의무기록 관리·보존 시설과 장비기준
제3조(전자의무기록의 생성·저장 장비 등) 전자의무기록 관리자는 전자의무기록의 안전성과 신뢰성 확보를 위하여 전자의무기록의 생성·저장과 전자서명을 검증할 수 있는 장비를 갖추어야 한다.
제4조(전자의무기록의 이력관리를 위하여 필요한 장비) 전자의무기록 관리자는 전자서명이 있은 후 전자의무기록의 추가 기재·수정 사항과 변경 여부를 확인 할 수 있게 하는 등 전자의무기록의 이력관리를 위하여 필요한 장비를 갖추어야 한다.
제5조(전자의무기록의 백업 저장장비) 전자의무기록 관리자는 전자의무기록의 분실·도난·유출·위조·변조 또는 훼손 등의 사고를 대비할 수 있도록 다음 각 호의 구분에 따른 장비와 장소를 확보하여야 한다.
1. 전자의무기록을 주기적으로 안전하게 백업할 수 있는 기능을 갖춘 백업 저장장비
2. 백업 저장장비에 대한 잠금장치가 구비된 보관장소
제6조(네트워크 및 전자의무기록 시스템 보안에 관한 시설과 장비 등) 전자의무기록 관리자는 불법적인 접근 및 침해사고를 방지하기 위하여 「의료법 시행규칙」(이하 "규칙"이라 한다) 제16조제1항제4호부터 제6호까지의 시설과 장비에 대하여 「개인정보보호법」제29조에 따른 안전성 확보 조치를 하여야 한다. 이 경우 시설과 장비별 구체적인 조치는 다음 각 호의 구분에 따른다.
1. 규칙 제16조제1항제4호·제5호에 따른 시설 및 장비 : 「개인정보보호법 시행령」 제30조제1항제2호부터 제5호까지에 따른 안전성 확보 조치
2. 규칙 제16조제1항제6호에 따른 시설 및 장비 : 「개인정보보호법 시행령」 제30조제1항제6호에 따른 안전성 확보 조치
제7조(의료기관 외의 장소 관리·보존시 추가적인 조치) ① 전자의무기록 관리자가 의료기관 외의 장소에서 전자의무기록을 관리·보존하는 경우에는 규칙 제16조제1항제3호부터 제7호까지에 따른 시설과 장비에 대하여 별표 1에 따른 추가적인 조치를 하여야 한다.
② 제1항에도 불구하고 다음 각 호의 어느 하나를 충족하는 클라우드컴퓨팅서비스를 이용하여 전자의무기록을 관리하는 자가 별표 2에 따른 조치를 하면 별표 1에 따른 조치를 한 것으로 간주한다.
1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조에 따른 정보보호 관리체계 인증과 국제표준화기구 및 국제전기기술위원회(ISO/IEC)의 클라우드 서비스 정보보호 관리체계 인증을 받은 서비스
2. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조제2항에 따른 클라우드컴퓨팅서비스의 정보보호에 관한 기준을 충족하는 서비스
제3장 보 칙
제8조(규제의 재검토) 보건복지부장관은 「행정규제기본법」 제8조에 따라 이 고시에 대하여 2016년 7월 1일을 기준으로 매 3년이 되는 시점(매 3년째의 6월 30일까지를 말한다)마다 법령이나 현실 여건의 변화 등을 검토하여 개선 등의 조치를 하여야 한다.
제9조(재검토기한) 보건복지부장관은 이 고시에 대하여 「훈령·예규 등의 발령 및 관리에 관한 규정」에 따라 202○년 ○월 ○일을 기준으로 매3년이 되는 시점(매 3년째의 12월 31일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
부 칙
이 고시는 발령한 날부터 시행한다.
[별표 1] 의료기관 외의 장소에 전자의무기록 보관시 필요한 추가적인 조치
[별표 2] 클라우드컴퓨팅서비스 정보보호에 관한 요건 충족 시 필요한 추가적인 조치
[별표 1] 의료기관 외의 장소에 전자의무기록 보관시 필요한 추가적인 조치
| 구 분 | 세 부 조 치 내 용 | |
| 1. 전자의무기록의 백업 저장장비 | 1.1. 시스템 무중단 백업 |
- 전자의무기록 등의 정보를 백업할 경우, 전자의무기록 시스템을 중단하지 않고 백업업무를 할 수 있도록 장비를 마련하여야 한다. |
| 1.2. 백업데이터 긴급복구 | - 백업된 데이터는 필요시 신속하게 복구될 수 있도록 관련된 시스템 및 관리절차를 갖추어야 한다. | |
| 1.3. 백업데이터 위․변조 방지 | - 백업된 데이터의 위․변조 및 비정상적으로 삭제되지 않도록 백업데이터의 보호조치를 하여야 한다. | |
| 1.4. 백업설비의 물리적 분리 | - 백업을 위한 장비 및 시스템은 전자의무기록 시스템을 위한 장비 및 설비와 분리하여 운영되어야 한다. | |
| 2. 네트워크 보안에 관한 시설과 장비 | 2.1. 이중화된 네트워크의 구성 | - 의료데이터 전송을 위한 이중화된 네트워크를 구성하여야 하며 아래 조건을 충족하여야 한다. ․물리적 또는 그에 준하는(논리적 포함) 둘 이상의 회선 분리 ․둘 이상의 경로를 제공하는 내부망 구성 ․라우터의 이중화 구성 ․장애발생 시에도 지속적인 서비스 제공 대책 수립 |
| 2.2. 네트워크 보호시스템 운영 | - 침입차단시스템, 침입탐지시스템 등 인증된 정보보호시스템을 운영하여 내․외부 네트워크를 보호하여야 한다. | |
| 3. 전자의무 기록 시스템 보안에 관한 시설과 장비 |
3.1. 인증된 정보보호․보안제품의 사용 | - 국가정보원장이 인증 필요성을 인정하는 정보보호시스템의 경우 CC 인증 제품 등 도입요건을 만족한 제품을 사용하여야 한다. |
| 3.2. 데이터 및 소프트웨어의 무결성 보장 및 암호화 | - 전자의무기록 및 소프트웨어의 무결성을 확인하여야 하며, 데이터 처리에 대한 위변조 방지 등 보호기능을 제공하여야 한다. - 전자의무기록 시스템 운영을 통해 관리되고 있는 중요정보에 대해 암호화하여야 한다. |
|
| 3.3. 접근통제 강화를 위한 시스템의 구성 등 |
- 안전성 및 신뢰성 향상을 위해 필요한 외주개발 보안, 시스템 주기적 모니터링, 시각 동기화 등 기술적 보호조치를 위한 시스템(장비)을 구성하여야 한다. - 비인가자의 접근을 통제할 수 있도록 접근통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 접근통제 정책을 별도 수립하여야 한다. |
|
| 3.4. 데이터 관리방안 수립 및 모니터링 | - 데이터 무결성을 보장하기 위한 보호조치 및 데이터변경에 대한 관리방안을 마련하고, 모니터링하여야 한다. - 데이터 훼손․유출이 발생한 경우, 이를 즉시 의료기관에 통보하여야 한다. |
|
| 4. 전자의무 기록 보존장소에 대한 물리적 접근방지 시설과 장비 |
4.1. 출입통제 구역의 설치 | - 전자의무기록 시스템이 위치한 공간의 출입통제가 가능해야 한다. - 전자의무기록 시스템이 위치한 보호구역내에서의 작업 절차를 수립하고 작업에 대한 기록을 주기적으로 검토하여야 한다. |
| 4.2. 출입 통제 및 현황정보 모니터링 | - 출입통제 및 이력관리 시스템을 갖추어 출입자(권한)별 감사기록을 생성, 저장하여야 하며, 출입통제시스템에 대한 접근통제 및 암호화 기능을 갖추어야 한다. | |
| 4.3. 물리적 위치의 한정 | - 전자의무기록 시스템 및 그 백업장비의 물리적 위치는 국내로 한정한다. | |
| 5. 전자의무기록시스템을 실시간으로 점검할 수 있는 시설과 장비 | 5.1. 전자의무기록 시스템 실시간 점검 | - 전자의무기록시스템의 전산자원(H/W) 및 소프트웨어(프로그램)의 동작여부와 상태를 점검할 수 있는 장비를 갖추어, 이상이 발생한 경우 이를 기록하여 관리자에게 알려주어야 한다. |
| 5.2. 네트워크 시스템 모니터링 | - 스위치․라우터 등 네트워크 장비에서 발생하는 트래픽을 기록하고 실시간으로 네트워크 상태를 점검할 수 있어야 한다. | |
| 6. 예비 장비 | 6.1. 보조시스템 운영 | - 전자의무기록 시스템 장애 시 안정적인 서비스 제공을 보장할 수 있도록 보조서버가 작동․운영될 수 있어야 한다. |
| 7. 폐쇄회로 텔레비전 등의 감시 장비 | 7.1. CCTV 설치운영 | - 전자의무기록 관리시설은 사각지대 없이 24시간 CCTV 실시간 촬영(월단위 백업)이 되어야 한다. - CCTV 시스템에 대한 접근통제 정책을 마련하여야 한다. |
| 7.2. 외부 침임감지장치 설비 운영 | - 아래 조건을 충족하는 침입감지장치를 설치 운영하여야 한다. ․침입감지시 관리자에게 신속히 알리는 기능 ․침입감지, 경보장치와 연결된 침입 발생위치 확인 기능 |
|
| 7.3. 출입현황 정보의 확인 | - 출입통제장치로부터 출입현황정보를 확인할 수 있는 장비를 갖추어야 한다. - 정당한 관리자만이 감사기록을 조회하고, 감사기록을 백업한다. |
|
| 8. 재해예방 시설 | 8.1. 화재경보장치 | - 화재발생에 대비하여 연기감지장치, 온도감지장치 등의 설비를 갖추어야 한다. |
| 8.2. 소화장치 | - 소규모 및 대규모 화재에 대비한 소화장치를 구비하되, 시스템에 악영향을 미치지 않는 소화약제를 사용하여, 시스템의 오작동에 대처하여야 한다. | |
| 8.3. 수재 예방설비 | - 시스템 및 네트워크설비 등이 물에 노출되지 않도록 바닥으로부터 이격하여 설치하고 콘센트 등 전원접속장치는 바닥으로부터 이격하여 설치하여야 한다. | |
| 8.4. 전원 공급시설 | - 정전발생시 지속적인 업무의 수행이 가능하도록 추가연료보충 없이 2시간 이상 발전할 수 있는 자가발전설비, 30분이상 전원을 공급해 줄 수 있는 무정전 전원공급장치(UPS) 설비를 갖추어야 한다. | |
| 8.5. 온도 및 습도 유지 | - 온도 및 습도를 일정하게 유지하기 위한 항온․항습장비를 갖추어 시스템의 오작동에 대비할 수 있어야 한다. | |
[별표 2] 클라우드컴퓨팅서비스 정보보호에 관한 요건 충족 시 필요한 추가적인 조치
| 구 분 | 세 부 조 치 내 용 | |
| 2. 네트워크 보안에 관한 시설과 장비 | 2.1. 이중화된 네트워크의 구성 | - 의료데이터 전송을 위한 이중화된 네트워크를 구성하여야 하며 아래 조건을 충족하여야 한다. ㆍ물리적 또는 그에 준하는(논리적 포함) 둘 이상의 회선 분리 ㆍ둘 이상의 경로를 제공하는 내부망 구성 ㆍ라우터의 이중화 구성 ㆍ장애발생 시에도 지속적인 서비스 제공 대책 수립 |
| 4. 전자의무 기록 보존장소에 대한 물리적 접근방지 시설과 장비 |
4.3. 물리적 위치의 한정 | - 전자의무기록 시스템 및 그 백업장비의 물리적 위치는 국내로 한정한다. |
'보건복지부' 카테고리의 다른 글
| 2023-245호 전자의무기록의 관리·보존에 필요한 시설과 장비에 관한 기준 고시 일부개정/ (0) | 2023.12.20 |
|---|---|
| 2023-247호 「혁신형 의료기기기업 인증현황 고시」일부 개정안/2023.12.15 (1) | 2023.12.20 |
| 2023-245호 전자의무기록의 관리·보존에 필요한 시설과 장비에 관한 기준고시 일부개정/2023.12.14 (0) | 2023.12.15 |
| 비대면진료 시범사업 보완방안 시행23.12.1 (1) | 2023.12.01 |
| 제24차 건강보험정책심의위원회 개최(11.28)- 마약류 중독자 치료보호 대상자 치료비에도 건강보험 적용 (1) | 2023.11.29 |