콩나물

1. 병원의 특성상 진료를 위해 고객이 직접 방문하여 고객의 정보를 직접 제공합니다. 이러한 형태의 수집도 상기 법 22~23조에 의거하여 고객의 동의를 받아야 하는지요?

 

  2. CRM을 통해 고객정보를 활용하는 것이 위에서 밝혔듯 진료 예약안내, 검사결과안내, 시술및 치료후 관리안내, 복약지도 등입니다. 병원에서는 이를 위해 CRM업체에게 필요한 최소한의 정보만 제공하여 SMS를 발송하고 있습니다. 이러한 행태가 법 24조의 2자 제공으로 인한 고객의 개별동의를 받는 항목에 포함되는것인지? 아니면 25조에 근거하여 서비스제공 계약이행을 위한 위탁경우에 해당하여 고지만 해도 되는것인지요?

   3. 정보동의의 대상이 7월 1일 이후 새로 오신 고객에게만 대상이 되는 것인지? 아니면 7월 1일이전에 직접 정보를 제공했던 고객이 다시 내원한 경우에도 대상이 되는것인지요?

   4. 개인정보과 차**선생님과의 유선통화에서 7월 1일 이전 고객은 동의한것으로 간주한다고 얘기를 들었습니다. 그렇다면 고객의 동의 범위를 22조~23조의 수집까지로 봐야하는지? 아니면 24조의 이용제공까지로 봐야하는지요?(이미 이전 고객에게는 CRM을 통해 해당정보를 제공하고 있었습니다)

   5. CRM을 지속적으로 사용하고자 한다면(24조의 3자제공시 개별동의가 있는데), 개별동의를 병원에서 동의서를 받겠지만, 내용의 주체가 병원에서 고객서비스를 위해 받는것으로 해야하는지? 아니면 CRM업체에서 받은 것으로 해야 하는지요?

   6. 대상되는 의료기관이 개인의원, 병원, 종합병원등 의료법상 등급에 따라 구분이 있는것인지? 아니면 의료기관으로 사업자 등록을 낸 모든 이가 대상이 되는것인지요?

   7. 법 29조에선 목적달성이 되면 정보를 파기해야한다고 하고 있습니다. 그러나 병원의 특성상 만성질환으로 인한 고객의 재방문이 많아 치료가 완료된 경우를 어느 시점으로 보고 파기해야 하는지요?

개인정보의기술적관리적보호조치기준해설.pdf

================================================================================================================
- 현재 수집하는 항목 >> 서비스와 무관한 항목 색출 >> 항목 삭제 필요  동의절차

- 망법
- 헌법(개인의 사생활 보호 권리)
- 형법(의료기관 종사자의 개인 비밀정보 누설 관련 처벌)
- 의료법(의무기록 보호를 위한 전사서명 등 장치)
-----------------------------------------------------------------------------------------------------------------
### 망법내용(기술적/관리적 중심) ###
- 안전하나 개인정보의 저장과 전송 및 컴퓨터 바이러스 방지

- 접근통제
 1. 개인정보처리시스템에 대한 접근 권한을 개인정보관리책임자 또는 개인정보취급자에게만 부여
 개인정보관리책임자 및 개인정보취급자에 대한 구분과 정의 필요
 2. 개인정보취급자 변경시 지체없이 접근권한을 변경 또는 말소
 3. 권한 부여, 변경, 말소에 대한 내역을 기록, 기록을 최소 5년간 보관
 4. 외부에서 개인정보취급자 개인정보처리시스템 접근시 공인인증서 등 안전한 인증 수단을 제공
 5. 인가되지 않는 사용자의 개인정보처리시스템에 접근을 금지(IP 필터링 및 분석 필요)
 6. 비밀번호 작성규칙 준수 필요
 2종류 조합시(10자리), 3종류 조합시(8자) | 추측이 쉬운 개인정보 및 아이디와 비슷한 비밀번호 사용 금지 | 반기별 1회 이상 변경
 7. 개인정보처리시스템 및 개인정보취급자의 컴퓨터로 부터 외부에 개인정보가 노출되지 않도록 조치 필요(인터넷 홈페이지, P2P, 공유설정 등)
 
- 접속기록의 위/변조 방지
 1. 개인정보취급자의 개인정보처리시스템 접속 기록을 월 1회 이상 적기적으로 확인/감독 필요
 2. 접속 기록은 6개월 이상 보존/관리
 3. 접속기록을 물리적 저장 장치에 보관하여야 하며 정기적인 백업을 수행

- 개인정보의 암호화
 1. 비밀번호 및 바이오정보는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.
 2. 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리즘으로 암호화하여 저장
 3. 보안서버 구축(보안서버,응용프로그램,클라이언트에 저장시 이를 암호화)
 
- 악성프로그램 방지
 1. 백신 소프트웨어를 월 1회 이상 주기적으로 갱신/점검
 2. 업데이트시 응용프로그램과 정합성을 고려하여 최신 소프트웨어로 갱신/점검
 
- 출력/복사시 보호조치
 1. 개인정보처리시스템에서 개인정보의 출력시 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화
 2. 개인정보취급자가 개인정보를 종이로 인쇄/디스케/콤팩트디스크 등 이동 가능한 저장매체에 복사할 경우 다음 각 호의 사항을 기록하고 개인정보관리책임자의 사전 승인을 받도록 조치, 출력/복사물로부터 다시 출력 또는 복사하는 경우도 또한 같다.
 ㅁ 출력/복사물 일련번호
 ㅁ 출력/복사물의 형태
 ㅁ 출력/복사 일시
 ㅁ 출력 복사 목적
 ㅁ 출력 복사를 한 자의 소속 및 성명
 ㅁ 출력 복사물을 전달 받은 자
 ㅁ 출력 복사물의 파기일자
 ㅁ 출력 복사물의 파기 책임자
 3. 출력/복사물에는 정보통신서비스 제공자의 명칭 및 일련번호 표시(단, 우편발송, 고지서 발급등 개인단위로 종이에 인쇄하는 경우는 일련번호 생략 가능)
 4. 개인정보관리책임자는 개인정보취급자의 법에 대한 책임 주지

- 개인정보 표시 제한 보호조치
 1. 개인정보의 마스킹 처리
 ㅁ 성명 중 이름의 첫 번째 글자
 ㅁ 생년월일
 ㅁ 전화번호/휴대폰 번호
 ㅁ 주소 읍면동
 ㅁ ipv4 17~25 비트, ipv6 113~128비트
-----------------------------------------------------------------------------------------------------------------
- 본인확인정보의 보관기간을 게시판에 정보를 게시한 때부터 정보 게시가 종료된 후 6개월이 경과하는 날까지로 함.(포탈사이트에만 해당하는 것임?)
-

개인정보저장
1. 전자적 형태
  DB 일방향 암호화를 적용한 복호화 불가능 적용
  파일 패스워드 설정
 
2. 서류문서 형태
 문서 취급등급
 민감정보의 마스킹 처리
 사전 이용승인 여부
 별도의 저장공간
 
---------------------------------------------------------------------------------------------------------------
### 공공기관 개인정보 관련 ###
보유(법 제5조 ~ 9조)
- 업무 수행에 필요한 범위내에서 개인정보파일 보유
- 개인정보파일 변경시 사전협의
- 개인정보파일대장 작성/비치
※ 개인정보파일을 종합한 목록 공고(관보,인터넷)

제 5조(개인정보파일의 보유범위)
공공기관은 소관업무를 수행하기 위하여 필요한 범위안에서 개인정보파일을 보유할 수 있다.

제 6조(개인정보파일의 보유·변경시 사전협의)
①공공기관의 장이 개인정보파일을 보유하고자 하는 경우(다른 공공기관으로부터 처리정보를 제공받아 보유하고자 하는 경우를 제외한다)에는 다음 각 호의 사항을 행정안전부장관과 협의하여야 한다. 다음 각 호의 어느 하나에 해당하는 사항을 변경하고자 하는 경우에도 또한 같다.
1. 개인정보파일의 명칭
2. 개인정보파일의 보유목적
3. 보유기관의 명칭
4. 개인정보파일에 기록되는 개인 및 항목의 범위
5. 개인정보의 수집방법과 처리정보를 통상적으로 제공하는 기관이 있는 경우에는 그 기관의 명칭
6. 개인정보파일의 열람예정시기
7. 열람이 제한되는 처리정보의 범위 및 그 사유
8. 그 밖에 대통령령이 정하는 사항

②중앙행정기관의 장이 아닌 공공기관의 장은 제1항에 따라 협의를 하고자 하는 경우에는 관계 중앙행정기관의 장을 거쳐 관련 서류를 제출하여야 한다. <신설 2007.5.17>
③제1항의 규정은 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 이를 적용하지 아니한다. <개정 2007.5.17>
1. 국가의 안전 및 외교상의 비밀 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형의 집행, 교정처분, 보안처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 조세범처벌법에 의한 조세범칙조사 및 관세법에 의한 관세범칙조사에 관한 사항을 기록한 개인정보파일
6. 보유기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
8. 그 밖에 이에 준하는 개인정보파일로서 대통령령이 정하는 개인정보파일

④다른 법률에 관계 중앙행정기관의 장으로 하여금 공공기관의 개인정보파일의 보유기준을 정하도록 규정되어 있는 경우에는 제1항에 불구하고 그 보유기준에 관한 협의로 제1항에 따른 협의를 갈음한다. 이 경우 행정안전부장관과의 협의는 관계 중앙행정기관의 장이 행한다.
⑤행정안전부장관은 제1항 또는 제4항에 따라 협의를 하는 경우로서 개인정보의 보호를 위하여 필요하다고 인정하는 때에는 제20조에 따른 공공기관개인정보보호심의위원회에 협의사항에 관하여 심의를 요청할 수 있다.

제7조 (개인정보파일의 공고)
행정안전부장관은 제6조제1항 또는 제4항에 따라 협의한 사항을 대통령령이 정하는 바에 따라 연 1회 이상 관보 또는 인터넷 홈페이지 등에 게재하여 공고하여야 한다.

제7조의2 (개인정보보호방침)
①보유기관의 장은 다음 각 호의 내용이 포함된 개인정보보호방침을 정하여야 한다.
1. 제6조제1항 각 호의 사항. 다만, 같은 조 제3항 각 호의 개인정보파일에 관한 사항을 제외한다.
2. 제20조의2에 따른 개인정보관리책임관의 성명·소속 부서·직위 및 전화번호 그 밖의 연락처
3. 인터넷 홈페이지 접속정보파일 등 인터넷 홈페이지를 통하여 수집되는 개인정보의 보호에 관한 사항
4. 그 밖에 개인정보의 보호를 위하여 필요한 사항

②보유기관의 장은 제1항에 따라 개인정보보호방침을 정한 경우에는 그 내용을 관보 또는 인터넷 홈페이지 등에 게재하여야 한다.

제8조 (개인정보파일대장의 작성) 보유기관의 장은 제6조제3항 각 호에 따른 개인정보파일을 제외하고는 당해 기관이 보유하고 있는 개인정보파일별로 제6조제1항 각 호에 따른 사항을 기재한 대장(이하 "개인정보파일대장"이라 한다)을 작성하여 일반인이 열람할 수 있도록 하여야 한다.

제9조 (개인정보의 안전성확보등)
①공공기관의 장은 개인정보를 처리하거나 개인정보파일을 「전자정부법」 제2조제7호에 따른 정보통신망(이하 "정보통신망"이라 한다)에 의하여 송·수신하는 경우 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 안전성확보에 필요한 조치를 강구하여야 한다.

②공공기관의 장은 개인정보의 처리에 관한 사무를 다른 공공기관 또는 관련 전문기관에 위탁할 수 있으며, 이 경우 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 취하여야 한다.

③제2항에 따른 위탁 방법·절차 등에 관하여 필요한 사항은 대통령령으로 정한다.

④공공기관의 장은 제2항에 따라 개인정보의 처리에 관한 사무를 위탁하고자 하는 경우에는 관보 또는 인터넷 홈페이지 등을 통하여 미리 그 사실을 공개하여야 한다. <개정 2007.5.17>

⑤공공기관으로부터 개인정보의 처리를 위탁받은 자에 대하여도 제1항의 규정을 준용한다.

제9조의2 (인터넷상의 본인확인)
①공공기관의 장은 인터넷상의 본인확인 과정에서 주민등록번호, 성명 등의 개인정보가 변조·유출 또는 도용되지 아니하도록 안전성 확보에 필요한 조치를 강구하여야 한다.

②행정안전부장관은 제1항에 따른 안전성 확보에 필요한 조치를 지원하기 위하여 관련 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련할 수 있다.

③행정안전부장관은 제2항에 따른 제반 조치를 추진함에 있어서 관련 공공기관의 장에게 협조를 요청을 할 수 있고, 그 요청을 받은 공공기관의 장은 특별한 사유가 없는 한 이에 응하여야 한다.
★★★
==> 관련 벌칙 규정 없음.
==> 시행령 : 열람장소 지정 및 고시
---------------------------------------------------------------------------------------------------------------
### 사장님 자료 ###
- 개인정보파일을 PC에 저장시 개인정보 파일에 암호설정
- DB 저장시 개인정보를 암호화
---------------------------------------------------------------------------------------------------------------
### 의료법 ###
제22조 (진료기록부 등)
①의료인은 각각 진료기록부, 조산기록부, 간호기록부, 그 밖의 진료에 관한 기록(이하 "진료기록부등"이라 한다)을 갖추어 두고 그 의료행위에 관한 사항과 의견을 상세히 기록하고 서명하여야 한다.
②의료인이나 의료기관 개설자는 진료기록부등[제23조제1항에 따른 전자의무기록(電子醫務記錄)을 포함한다. 이하 제40조제2항에서 같다]을 보건복지가족부령으로 정하는 바에 따라 보존하여야 한다. <개정 2008.2.29>
 
제23조 (전자의무기록)
①의료인이나 의료기관 개설자는 제22조의 규정에도 불구하고 진료기록부등을 「전자서명법」에 따른 전자서명이 기재된 전자문서(이하 "전자의무기록"이라 한다)로 작성·보관할 수 있다.
②의료인이나 의료기관 개설자는 보건복지가족부령으로 정하는 바에 따라 전자의무기록을 안전하게 관리·보존하는 데에 필요한 시설과 장비를 갖추어야 한다. <개정 2008.2.29>
③누구든지 정당한 사유 없이 전자의무기록에 저장된 개인정보를 탐지하거나 누출·변조 또는 훼손하여서는 아니 된다.
 
제87조 (벌칙)
①다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역이나 2천만원 이하의 벌금에 처한다. <개정 2009.1.30>
1. 면허증을 대여한 자
2. 제12조제2항, 제18조제3항, 제23조제3항, 제27조제1항, 제33조제2항·제8항(제82조제3항에서 준용하는 경우를 포함한다)을 위반한 자
②제38조제3항을 위반한 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다.

제90조 (벌칙) 제16조제1항·제2항, 제17조제3항·제4항, 제18조제4항, 제21조제2항·제3항, 제22조, 제26조, 제27조제2항, 제33조제1항·제3항(제82조제3항에서 준용하는 경우를 포함한다)·제5항(허가의 경우만을 말한다), 제35조제1항 본문, 제41조, 제42조제1항, 제48조제3항·제4항, 제77조제2항을 위반한 자나 제63조에 따른 명령을 위반한 자와 의료기관 개설자가 될 수 없는 자에게 고용되어 의료행위를 한 자는 300만원 이하의 벌금에 처한다. <개정 2007.7.27>

### 의료법 시행규칙 ###
제15조 (진료에 관한 기록의 보존)
① 의료기관의 개설자 또는 관리자는 진료에 관한 기록을 다음 각 호에 정하는 기간 동안 보존하여야 한다.
1. 환자 명부 : 5년
2. 진료기록부 : 10년
3. 처방전 : 2년
4. 수술기록 : 10년
5. 검사소견기록 : 5년
6. 방사선사진 및 그 소견서 : 5년
7. 간호기록부 : 5년
8. 조산기록부: 5년
9. 진단서 등의 부본(진단서ㆍ사망진단서 및 시체검안서 등을 따로 구분하여 보존할 것) : 3년
② 제1항의 진료에 관한 기록은 마이크로필름이나 광디스크 등(이하 이 조에서 "필름"이라 한다)에 원본대로 수록하여 보존할 수 있다.
③ 제2항에 따른 방법으로 진료에 관한 기록을 보존하는 경우에는 필름촬영책임자가 필름의 표지에 촬영 일시와 본인의 성명을 적고, 서명 또는 날인하여야 한다.

제16조 (전자의무기록의 관리ㆍ보존에 필요한 장비)
법 제23조제2항에 따라 의료인이나 의료기관의 개설자가 전자의무기록(電子醫務記錄)을 안전하게 관리ㆍ보존하기 위하여 갖추어야 할 장비는 다음 각 호와 같다.
1. 전자의무기록의 생성과 전자서명을 검증할 수 있는 장비
2. 전자서명이 있은 후 전자의무기록의 변경 여부를 확인할 수 있는 장비
3. 네트워크에 연결되지 아니한 백업저장시스템

---------------------------------------------------------------------------------------------------------------

---------------------------------------------------------------------------------------------------------------