EHR System에서 개인정보보호를 위한 개선된 RBAC 모델에 관한 연구

A Study on Advanced RBAC Model for Personal Information Security Based on EHR(Electronic Health Record)

의료기관에서 환자의 개인건강정보는 진료를 위해 의료진의 정보열람이 반드시 필요한 사항이다. 그러나 이러한 정보의 불필요한 노출은 개인정보보호와 관련이 있어 민감하게 취급되어야 하며, 의료기관에 종사하는 사용자들이라 할지라도 접근에 있어 역할에 따른 제한이 필요하다. 따라서 본 논문에서는 의료진과 그 이외의 직원들 간의 사용자 식별을 통한 개인건강정보의 접근 통제뿐만 아니라 업무에 따른 조건을 추가하여 사용자 직종 내에서도 상황에 따른 접근 통제에 대해 연구하였다. 응급상황, 담당과 여부에 따른 접근 통제, 그리고 환자가 정하는 본인의 개인정보에 대한 접근통제를 포함하여 확장된 개념의 역할기반 접근제어를 합으로써 의료기관내에서 환자의 개인건강정보의 불필요한 접근이나 유출을 최소화 할 수 있다.

In medical Institution, Electronic Health Record (EHR) is "must access information" to medical staff considering it as medical information. However, this unnecessary exploration of personal information must be treated confidentially because the information is highly related to other's private concerns. It is necessary that medical workers should be also restricted to their access to EHR depending on their roles and duties. As the result, this article explains that "EHR access control will be executed by differentiating authorized medical staff from non medical-related staff as well as EHR access will be only permitted to authorized medical staff depending on their work status conditions. By using Advanced RBAC model on medical situation, we expect to minimize unnecessary leak of EHR information; especially, emergency medical care is needed, access control is highly required depending on a person in charge of the cases or not, and restricted medical information defined by the patient one-self is only allowed to be accessed.