경기도내과의사회

	개인정보 보호법과 정보 보호 강화 요점.	14341
	성상규	2012-03-25
개인정보보호법과 정보 보호 강화 요점 개인정보보호법 본격 시행 2012.4.1. * 주의사항 개요 개인정보처리방침 비치 환자 진료정보를 다루는 직원들에게는 '보안동의서‘ 받기 진료목적 외는 동의서 받기 진료기록 의무 보관기간 이후 원칙적으로 폐기 진료 기록 잠금 장치 있는 곳에 보관 홈페이지를 운영하는 병·의원의 경우에는 진료접수창구 외에 홈페이지에도 '개인정보처리방침'을 게시 진료 목적 외에 SMS·이메일 등을 이용해 병·의원 홍보나 학술정보 안내서비스를 제공하는 병·의원의 경우에는 'SMS·이메일용 개인정보처리방침'을 작성, 진료접수창구에 비치 홈페이지 개인 정보 노출 방지 **개인정보 보호법 관련 하여 요양기관에서 확인해야 할 사항 1. 개인정보 수집, 이용, 제공, 폐기 동의서 (이하 동의서) 1) 진료 목적으로 사용하는 요양기관 - [동의서 불필요] : 진료목적으로만 의료법에 명시된 개인정보를 수집하는 경우 동의서 필요하지 않음. ※ 진료의 예약, 진단, 진단결과 통보, 진료비 청구, 증명서 발급 등의 업무를 진료 목적으로 보며 진단결과 통보를 위한 연락처 정보까지는 동의 없이 수집 가능. 2) 진료 외 서비스 제공을 위한 개인 정보 수집을 하는 요양기관 - [동의서 필요] : 의료기관에서 진료정보, 학술정보, 병원소식 등의 안내 및 환자의 의견수렴을 위해 휴대전화 문자, 이메일 등을 통해 추가 서비스를 제공하는 경우에는 이에 필요한 개인정보는 동의를 받아야 함. ※ 동의하지 않아도 진료에 지장이 없음을 고지하고 동의를 강요하지 않도록 주의 동의서 양식: 붙임1 3) 의료기관에서 홈페이지를 운영하는 경우 - [동의서 필요] : 의료기관에서 운영하는 홈페이지를 통해 진료정보, 학술정보, 병원소식 등의 안내 및 환자의 의견수렴을 목적으로 회원 가입을 받는 경우 동의절차 필요. 동의서 양식: 붙임2 2. 개인정보처리방침의 수립 및 공개 - [개인정보처리방침 비치] : 진료를 위해 의료법에 명시된 개인정보만을 수집하여 관리하더라도 개인정보를 안전하게 관리하여야 하므로 개인정보처리방침을 수립하여 공개하여야 함(접수 창구 비치) 1) 진료 외 추가 서비스를 제공하지 않는 요양기관 : 개인정보처리방침 양식: 붙임3 2) 진료 외 서비스 제공을 위한 개인 정보 수집을 하는 요양기관 : 개인정보처리방침 양식: 붙임4 3) 의료기관에서 홈페이지를 운영하는 경우 : 개인정보처리방침 양식: 붙임5 3. 개인정보의 폐기 1) 진료를 위한 목적으로 수집된 개인정보는 의료법에서 보관하도록 명시된 기간 동안 보관할 수 있음(진료기록부 10년, 수술기록 10년) 2) 의료법에 명시된 보존기간이 지난 개인정보는 원칙적으로 폐기해야 함. : 환자의 개인정보를 폐기하여야 하는 시점(진료기록이 최종 작성된 후 10년이 경과) 이후에도 개인정보를 계속 보관하려면 정보주체로부터 별도의 동의 필요. 4. 영상정보처리 기기(CCTV)의 설치 및 운영 - [안내판 설치] 의료기관에서 공개된 장소에 영상정보처리기기를 설치하려면 범죄예방, 시설안전, 화재예방 등 개인정보보호법 제25에 명시된 목적으로만 가능 1) 진료실, 병실 등 개인의 사생활을 침해할 우려가 있는 장소에는 설치 금지 2) 영상정보처리기를 임의로 조작하거나 녹음기능을 사용하는 것은 금지 3) 별도의 녹음장비로 환자의 동의를 얻어 녹음을 하는 것은 개인정보호법에 저촉되지 않음 영상정보처리기기 안내판 양식: 붙임6 5. 내부관리 계획의 수립 - 상시 근무인원 5인이하의 의원은 수립하지 않아도 됨. 내부관리계획은 안전성 확보를 위해 내부적으로 작성하는 비공개 문서로 다음의 사항들을 포함하여 임의의 서식으로 작성해야 함. - 개인정보보호책임자 지정 - 개인정보보호책임자와 개인정보취급자의 역할 및 책임 - 안전성 확보를 위한 조치사항(보안장비 설치, 암호화, 열람기록 보관) - 개인정보취급자의 교육에 관한 사항 내부관리 계획 양식: 붙임7 임직원 개인정보보호 서약서 양식 : 붙임8 6. 개인정보의 기술적 조치사항 1) PC방화벽, 백신 등으로 해킹을 대비 2) 비밀번호, 주민등록 번호 등 중요정보에 대한 암호화 저장 (암호화 기능이 적용된 새로운 의사랑 프로그램이 년 내 배포될 예정입니다) 3) 개인정보 취급자 지정, 열람제한 및 열람기록 저장. 7. 개인정보의 물리적 보호 조치사항 1) 개인정보 처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립 운영하여야 한다. 2) 개인정보 처리자는 개인정보가 포함된 서류(진료기록부, 환자차트 등), 보조저장매체 등을 잠금 장치가 있는 안전한 장소에 보관해야 한다. 8. 개인정보 침해 발생시 조치사항 1) 개인정보 유출 시 정보주체에게 유출사실 통지 : 의료기관 내에서 관리하는 개인정보가 유출된 것을 확인한 경우 5일 이내에 정보주체에게 통보(우편, 전화, 전자우편 등을 이용) : 1만건 이상의 정보가 유출된 경우 유출사실을 홈페이지에 게시하고 행정안정부 또는 전문기관에 신고(www.privacy.go.kr 참조)

개인정보 보호법과 정보 보호 강화 요점.

14341

성상규

2012-03-25

개인정보보호법과 정보 보호 강화 요점

개인정보보호법 본격 시행 2012.4.1.

* 주의사항 개요

개인정보처리방침 비치

환자 진료정보를 다루는 직원들에게는 '보안동의서‘ 받기

진료목적 외는 동의서 받기

진료기록 의무 보관기간 이후 원칙적으로 폐기

진료 기록 잠금 장치 있는 곳에 보관

홈페이지를 운영하는 병·의원의 경우에는 진료접수창구 외에 홈페이지에도 '개인정보처리방침'을 게시

진료 목적 외에 SMS·이메일 등을 이용해 병·의원 홍보나 학술정보 안내서비스를 제공하는 병·의원의 경우에는 'SMS·이메일용 개인정보처리방침'을 작성, 진료접수창구에 비치

홈페이지 개인 정보 노출 방지

**개인정보 보호법 관련 하여 요양기관에서 확인해야 할 사항

1. 개인정보 수집, 이용, 제공, 폐기 동의서 (이하 동의서)

1) 진료 목적으로 사용하는 요양기관 - [동의서 불필요]

: 진료목적으로만 의료법에 명시된 개인정보를 수집하는 경우 동의서 필요하지 않음.

※ 진료의 예약, 진단, 진단결과 통보, 진료비 청구, 증명서 발급 등의 업무를 진료 목적으로 보며 진단결과 통보를 위한 연락처 정보까지는 동의 없이 수집 가능.

2) 진료 외 서비스 제공을 위한 개인 정보 수집을 하는 요양기관 - [동의서 필요]

: 의료기관에서 진료정보, 학술정보, 병원소식 등의 안내 및 환자의 의견수렴을 위해 휴대전화 문자, 이메일 등을 통해 추가 서비스를 제공하는 경우에는 이에 필요한 개인정보는 동의를 받아야 함.

※ 동의하지 않아도 진료에 지장이 없음을 고지하고 동의를 강요하지 않도록 주의

동의서 양식: 붙임1

3) 의료기관에서 홈페이지를 운영하는 경우 - [동의서 필요]

: 의료기관에서 운영하는 홈페이지를 통해 진료정보, 학술정보, 병원소식 등의 안내 및 환자의 의견수렴을 목적으로 회원 가입을 받는 경우 동의절차 필요.

동의서 양식: 붙임2

2. 개인정보처리방침의 수립 및 공개 - [개인정보처리방침 비치]

: 진료를 위해 의료법에 명시된 개인정보만을 수집하여 관리하더라도 개인정보를 안전하게 관리하여야 하므로 개인정보처리방침을 수립하여 공개하여야 함(접수 창구 비치)

1) 진료 외 추가 서비스를 제공하지 않는 요양기관 : 개인정보처리방침 양식: 붙임3

2) 진료 외 서비스 제공을 위한 개인 정보 수집을 하는 요양기관 : 개인정보처리방침 양식: 붙임4

3) 의료기관에서 홈페이지를 운영하는 경우 : 개인정보처리방침 양식: 붙임5

3. 개인정보의 폐기

1) 진료를 위한 목적으로 수집된 개인정보는 의료법에서 보관하도록 명시된 기간 동안 보관할 수 있음(진료기록부 10년, 수술기록 10년)

2) 의료법에 명시된 보존기간이 지난 개인정보는 원칙적으로 폐기해야 함.

: 환자의 개인정보를 폐기하여야 하는 시점(진료기록이 최종 작성된 후 10년이 경과) 이후에도 개인정보를 계속 보관하려면 정보주체로부터 별도의 동의 필요.

4. 영상정보처리 기기(CCTV)의 설치 및 운영 - [안내판 설치]

의료기관에서 공개된 장소에 영상정보처리기기를 설치하려면 범죄예방, 시설안전, 화재예방 등 개인정보보호법 제25에 명시된 목적으로만 가능

1) 진료실, 병실 등 개인의 사생활을 침해할 우려가 있는 장소에는 설치 금지

2) 영상정보처리기를 임의로 조작하거나 녹음기능을 사용하는 것은 금지

3) 별도의 녹음장비로 환자의 동의를 얻어 녹음을 하는 것은 개인정보호법에 저촉되지 않음

영상정보처리기기 안내판 양식: 붙임6

5. 내부관리 계획의 수립 - 상시 근무인원 5인이하의 의원은 수립하지 않아도 됨.

내부관리계획은 안전성 확보를 위해 내부적으로 작성하는 비공개 문서로 다음의 사항들을 포함하여 임의의 서식으로 작성해야 함.

- 개인정보보호책임자 지정

- 개인정보보호책임자와 개인정보취급자의 역할 및 책임

- 안전성 확보를 위한 조치사항(보안장비 설치, 암호화, 열람기록 보관)

- 개인정보취급자의 교육에 관한 사항

내부관리 계획 양식: 붙임7

임직원 개인정보보호 서약서 양식 : 붙임8

6. 개인정보의 기술적 조치사항

1) PC방화벽, 백신 등으로 해킹을 대비

2) 비밀번호, 주민등록 번호 등 중요정보에 대한 암호화 저장 (암호화 기능이 적용된 새로운 의사랑 프로그램이 년 내 배포될 예정입니다)

3) 개인정보 취급자 지정, 열람제한 및 열람기록 저장.

7. 개인정보의 물리적 보호 조치사항

1) 개인정보 처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립 운영하여야 한다.

2) 개인정보 처리자는 개인정보가 포함된 서류(진료기록부, 환자차트 등), 보조저장매체 등을 잠금 장치가 있는 안전한 장소에 보관해야 한다.

8. 개인정보 침해 발생시 조치사항

1) 개인정보 유출 시 정보주체에게 유출사실 통지

: 의료기관 내에서 관리하는 개인정보가 유출된 것을 확인한 경우 5일 이내에 정보주체에게 통보(우편, 전화, 전자우편 등을 이용)

: 1만건 이상의 정보가 유출된 경우 유출사실을 홈페이지에 게시하고 행정안정부 또는 전문기관에 신고(www.privacy.go.kr 참조)