| 대상 : | 의료기관 |
|---|---|
| 항목 : | 개인정보 보호 자율점검 및 안전성 확보 조치 이행 여부 등 |
| 기관 : | 대한병원협회 |
| 실시 기간 : | 병원 ’25. 11.07 까지 (고유식별정보 5만명 미만 : 25.11.14까지) |
| 실시 방법 : | 협회 홈페이지에서 개인정보 보호 자율점검 결과를 등록 |
개인정보 보호 자율점검 실시 안내
개인정보보호 자율 점검표 대응 방법
대한병원협회, 개인정보보호 자율 점검표 대응 방법
| 순번 | 자율점검내용 | 증빙자료 보유여부 | 대응 방법 |
|---|---|---|---|
| 1 | 1.1.1 진료목적 외로 서면가입(오프라인)・홈페이지(온라인) 등을 통한 회원 가입 시 동의 또는 고지는 받고 있는가? | 회원가입 신청서 | 서면 및 홈페이지를 등을 통한 회원가입을 하지 않는 경우 해당 없음 |
| 2 | 1.1.2 각종 게시판, 기타 개인정보 수집 시 동의는 받고 있는가? | 개인정보 처리 동의서 | 서면 및 홈페이지를 등을 통한 회원가입을 하지 않는 경우 해당 없음 |
| 3 | 1.2.1 목적에 필요한 최소한의 개인정보 수집하고 있는가? | 회원가입 신청서 | 서면 및 홈페이지를 등을 통한 회원가입을 하지 않는 경우 해당 없음 |
| 4 | 1.2.2 최소한 정보 외의 개인정보 수집에 대한 미 동의를 이유로 재화 또는 서비스 제공 거부 하고 있지는 않는가? | 회원가입 신청서 | 서면 및 홈페이지를 등을 통한 회원가입을 하지 않는 경우 해당 없음 |
| 5 | 1.2.3 진료 목적 외로 만 14세 미만 아동의 개인정보를 처리 시, 법정대리인의 동의 여부 | 개인정보 수집 동의서 | 진료 목적으로 수집하는 필요한 최소한의 개인정보는 동의 받지 않아도 됨 |
| 6 | 1.2.4 모바일앱의 기기 접근권한 고지 및 동의를 받고 있는가? | 모바일 앱 접근권한 고지 및 동의 화면 | 모바일 앱 서비스를 제공하지 않는 경우 해당 없음 |
| 7 | 1.2.5 모바일앱의 기기 접근권한에 대한 동의받을 경우, 필수적/선택적 접근권한을 구분하고, 동의 철회 방법과 기능을 제공하고 있는가? | 모바일 앱 접근권한 고지 및 동의 화면 | 모바일 앱 서비스를 제공하지 않는 경우 해당 없음 |
| 8 | 1.2.6 모바일앱을 제공하기 위하여 선택적 접근권한을 설 정하는데 이용자가 동의하지 아니한다는 이유로 이용자 에게 해당 서비스 제공을 거부하고 있지는 않는가? | 모바일 앱 접근권한 고지 및 동의 화면 | 모바일 앱 서비스를 제공하지 않는 경우 해당 없음 |
| 9 | 1.3.1 제3자에게 개인정보 제공 및 목적 외 이용 시 정보 주체(환자)의 별도 동의는 받고 있는가? | 제3자 제공 동의서 | 제3자 정보제공 및 목적 외 이용 사실이 없는 경우 해당 없음 |
| 10 | 1.4.1 개인정보를 목적 외로 이용하거나 제3자에게 제공 하는 경우, 해당 내용을 기록하고 관리하는가? (공공의료기관) | 개인정보 목적 외 이용 및 제3자 정보 제공 대장 | 제3자 정보제공 및 목적 외 이용 사실이 없는 경우 해당 없음 |
| 11 | 1.5.1 진료목적 등으로 수집한 개인정보 보유기간 경과, 처리목적(제공받는 경우 제공받는 목적) 달성 후 지체 없이 개인 정보를 파기(복구 또는 제생되지 않도록 조치)하고 관리대장을 작성하여 관리하고 있는가? |
1. 개인정보파일 파기 요청서 2. 개인정보파일 파기 관리대장 3. 파기 사실 확인서(위탁) 또는 증빙서류(파기현장사진 등) |
환자명부 : 5년, 진료기록부 : 10년, 처방전 : 2년, 수술기록 : 10년, 검사소견기록 : 5년, 방사선 사진 및 그 소견서 : 5년, 간호기록부 : 5년, 조산기록부 : 5년, 진단서 등의 부본 : 3년 |
| 12 | 1.5.2 임시파일 및 출력시 자료 등은 목적달성 후 즉시 파기 하고 있는가? | 이네트너PC필터 라이선스 인증서 | 엘림넷, 이네트너PC필터의 전자적 문서 검출 및 완전 삭제 |
| 13 | 1.5.3 타 법령에 따라 보존하는 경우 개인정보를 별도로 분리보관하고 있는가? | 개인정보 관리 대장 | 개인정보의 전부 또는 일부를 보유할 필요가 없는 경우 해당 없음 |
| 14 | 1.6.1 가명정보 처리 시 추가 정보를 별도 분리하여 보관/ 관리하는 등 안전성 확보 조치를 하고 있는가? | 가명정보, 추가정보의 안전한 관리 증적 자료 | 가명정보 처리가 없다면 해당 없음 |
| 15 | 1.6.2 가명정보가 제3자 제공시 특정 개인을 식별할 수 있는 정보가 포함되어 있지 않으며, 이를 위하여 데이터심의위원회가 적절하게 운영되고 있는가? | 데이터 심의위원회 구성운영 현황 자료 | 가명정보 처리가 없다면 해당 없음 |
| 16 | 2.1.1 민감정보의 동의에 의한 수집 및 제공 시 개인정보 수집 동의와 별도로 구분하여 동의 받고 있는가? (관련 법령에서 구체적으로 허용한 경우는 동의없이 처 리 가능) | 민감정보 수집 동의서 | 민감정보(유전정보)를 수집하지 않는 경우 해당 없음 |
| 17 | 2.2.1 고유식별정보(주민등록번호,운전면허번호, 여권번호, 외국인등록번호) 수집 시 개인정보 수집 동의와 별도로 구분하여 동의를 받고 있는가? (관련 법령에서 구체적으로 허용한 경우는 동의없이 처 리 가능) | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 의료정보 프로그램 개발사, 고유식별정보 암호화 등 안전성 확보조치 수행 |
| 18 | 2.2.2 법률, 대통령령에 구체적으로 허용한 경우에 주민 등록번호를 수집하고 있는가? | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 의료정보 프로그램 개발사, 고유식별정보 암호화 등 안전성 확보조치 수행 |
| 19 | 2.2.3 주민등록번호 외 회원가입 방법 제공 여부 | 주민등록번호 외 회원가입 방법 증빙자료 | 홈페이지를 등을 통한 회원가입을 하지 않는 경우 해당 없음 |
| 20 | 2.3.1 고정형/이동형 영상정보처리기기(CCTV) 운영·관리 방침을 수립하고 있는가? | 영상정보처리기기(CCTV) 운영・관리 방침 | 영상정보처리기기(CCTV) 운영・관리 방침 수립 |
| 21 | 2.3.2 고정형/이동형 영상정보처리기기(CCTV)를 설치한 장 소에 정보주체가 영상정보 처리기기(CCTV) 설치 사실을 인지할 수 있도록 필수기재 사항을 포함한 안내판을 설 치하고 있는가? | 영상정보처리기기(CCTV) 안내판 | 영상정보처리기기(CCTV) 안내판 설치 |
| 22 | 2.3.3 고정형/이동형 영상정보처리기기(CCTV)에 대한 이용・제공・열람・파기 내역을 기록하고 관리 하는가? | 개인영상정보 관리대장 | 개인영상정보 관리대장 기록 및 관리 |
| 23 | 2.3.4 고정형/이동형 영상정보처리기기(CCTV)가 분실・도난・유출・변조 또는 훼손되지 아니하도록 안전성 확보조치를 하고 있는가? | 내부관리계획(안전성 확보조치 사항 포함) | 영상정보처리기기(CCTV) 접근통제 및 잠금장치 설치 |
| 24 | 2.3.5 수술실내 CCTV를 안전하게 설치하여 운영하고 있는가? |
1. 영상정보처리기기 운영관리 방침 2. 수술실내 설치 대수, 설치 위치, 촬영 범위 등 3. 출입자 관리 대장 4. 안내판 설치(수술실 CCTV 설치 목적 포함 등) |
영상정보처리기기(CCTV) 운영・관리 방침 수립 |
| 25 | 2.4.1 위탁 계약 시 문서(계약서)에 의한 계약을 하였는가? | 위탁사업자별 계약서(7개 항목 포함) | 위탁사업자별 계약서 체결(7개 항목 포함) |
| 26 | 2.4.2 수탁업체에 대한 교육 및 처리현황 점검 등 관리 감독을 실시하고 있는가? | 개인정보보호 교육 확인증 | 엘림넷, 개인정보보호 온라인 교육 실시 |
| 27 | 2.4.3 위탁에 관한 사실을 인터넷 홈페이지 또는 사보, 접수실, 대기실 등에 공개 하고 있는가? | 위탁사업자별 계약서(7개 항목 포함) | 접수실, 대기실 등에 게재 및 계약서등 포함하여 발급한 자료 |
| 28 | 2.5.1 개인정보취급자에 대한 보안 서약서를 제출토록 하고 있는가? | 개인정보취급자 보안서약서 | 개인정보취급자 보안서약서 체결 |
| 29 | 2.5.2 개인정보취급자에 대한 정기적인 교육은 실시하고 있는가? | 개인정보보호 교육 확인증 | 엘림넷, 개인정보보호 온라인 교육 실시 |
| 30 | 3.1.1 개인정보의 안전한 처리를 위한 내부 관리계획 을 수립 및 시행하고 내부 관리계획의 이행 실태를 연 1회 이상 점검・관리하고 있는가? | 내부관리계획서 | 내부 관리계획의 이행 실태를 연1회 이상 점검·관리 |
| 31 | 3.2.1 개인정보처리시스템에 대한 접근 권한을 최소한의 범위로 업무담당자에 따라(1인 1계정) 차등 부여하였는가? | 업무별 권한관리 대장 | 개인정보처리시스템 업무담당자별 접근권한 관리 |
| 32 | 3.2.2 개인정보처리시스템 접근 권한의 부여․변경․말소 내역의 기록 관리를 최소 3년간 보관하는 절차를 마련하 고 이를 실행하고 있는가? | 업무별 권한관리 대장 | 업무별 접근권한관리 기록 보관(3년) |
| 33 | 3.2.3 인증수단을 안전하게 적용하고 있는가? | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 의료정보 프로그램 개발사, 안전한 인증 수단(비밀번호) 확인 |
| 34 | 3.2.4 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 접근을 제한하는 등 필요한 조치가 되어 있는가? | 인증 일정 횟수 실패시 접근 제한된 화면 | 의료정보 프로그램 개발사, 인증 실패시 접근 제한 확인 |
| 35 | 3.2.5 개인정보취급자가 일정 시간 이상 업무처리를 하지 않는 경우 시스템 접속 차단하고 있는가? | 세션 차단 설정 및 적용 화면 | 의료정보 프로그램 개발사, 세션 차단 확인 |
| 36 | 3.2.6 개인정보처리시스템에 대하여 불법적인 접근 및 침 해사고를 방지하기 위한 접근통제시스템을 설치/운영하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너UTM 접근 통제 정책 수립 및 운영 |
| 37 | 3.2.7 외부에서 정보통신망을 통하여 개인정보처리시스템 에 접속할 때 가상 사설망(VPN) 등 안전한 접속수단이나 안전한 인증수단을 적용하고 있는가? 3.2.7 개인정보를 안전하게 저장・전송을 하기 위해 정보 통신망을 통하여 정보주체의 개인정보 또는 인증정보를 송신·수신하는 경우 해당 정보의 암호화 또는 이에 상응 하는 조치를 하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너UTM 접근 통제 정책 수립 및 운영 |
| 38 | 3.2.8 P2P, 공유설정, 공개된 무선망 이용 등을 통하여 개인정보가 유・노출 되지 않도록 접근 통제 등에 관한 조치를 하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너UTM 접근 통제 정책 수립 및 운영 |
| 39 | 3.2.9 개인정보를 안전하게 저장·전송을 하기 위해 정 보통신망을 통하여 정보주체의 개인정보 또는 인증정 보를 송신・수신하는 경우 해당 정보의 암호화 또는 이 에 상응하는 조치를 하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너UTM 접근 통제 정책 수립 및 운영 |
| 40 | 3.2.10 업무용 모바일 기기에 비밀번호를 설정하고 있는가? | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 업무용 모바일 기기의 분실․도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 운영 |
| 41 | 3.2.11 개인정보를 다운로드 또는 파기할 수 있을 경 우 업무용담당자 컴퓨터 등에 대한 인터넷망 차단조치를 하고 있는가? | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 전년도 말 기준 3개월간 이용자수 일평균 100만명 이상만 해당 |
| 42 | 3.3.1 비밀번호 및 생체인식정보의 저장 시 안전한 암호 알고리즘을 적용하여 암호화하고 있는가? (비밀번호는 일방향 암호화 저장) | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 의료정보 프로그램 개발사, 비밀번호 일방향 암호화 알고리즘 확인 |
| 43 | 3.3.2 고유식별정보(주민등록번호 제외)를 내부망에 저장 시 암호화 조치 또는 그에 상응하는 조치 적용하고 있는가? (주민등록번호는 반드시 안전한 암호 알고리즘을 적용하 여 암호화 저장) | 이네트너DB암호화 라이선스 인증서 | 엘림넷, 이네트너DB암호화 정형/비정형 데이터 암호화 조치 및 운영 |
| 44 | 3.3.3 고유식별정보, 비밀번호 및 생체인식정보를 정보통신망을 통하여 송․수신하거나 보조저장매체를 통하여 전달 시 암호하고 있는가? | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 오피스 프로그램의 암호화 설정 수립 및 운영 |
| 45 | 3.3.4 고유식별정보의 인터넷과 내부망의 중간지점(DMZ) 저장 시 안전한 암호 알고리즘을 적용하여 암호화하고 있는가? | 이네트너DB암호화 라이선스 인증서 | 엘림넷, 이네트너DB암호화 KCMVP 인증된 안전한 암호화 모듈로 정형/비정형 데이터 암호화 조치 및 운영 |
| 46 | 3.3.5 고유식별정보를 업무용 컴퓨터 또는 모바일 기기에 저장시 안전한 암호화 알고리즘 사용 여부 확인 | 이네트너DB암호화 라이선스 인증서 | 엘림넷, 이네트너PC필터 안전한 암호화 알고리즘 정책 수립 및 운영 |
| 47 | 3.3.6 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용 보관, 배포 및 파기 등에 관한 절차 수립・시행 하였는가? | 이네트너DB암호화 라이선스 인증서 | 엘림넷, 이네트너DB암호화 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 정책 수립 및 운영 |
| 48 | 3.4.1 개인정보취급자의 접속기록을 1년 이상 보관 및 점검하여 관리하고 있고 월1회 이상 점검하고 있는가? (5만명 이상 개인정보를 처리하거나 고유식별정보 또는 민감정보를 처리하는 경우 2년) | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 |
1. 의료정보 프로그램 개발사, 접속기록(ID, 날짜 및 시간, 접속자 IP주소, 처리한 정보주체 정보, 수행업무) 보관 및 점검 2. 엘림넷, 이네트너DB접근제어 접속기록 운영 정책 수립 및 운영 |
| 49 | 3.4.2 접속기록의 위ㆍ변조 및 도난, 분실되지 않도록 접속 기록을 안전하게 보관하고 있는가? | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 |
1. 의료정보 프로그램 개발사, 위ㆍ변조 방지 확인 2. 엘림넷, 이네트너DB접근제어 위ㆍ변조 방지 정책 수립 및 운 |
| 50 | 3.5.1 백신 소프트웨어 등의 보안 프로그램을 설치하고 자동 업데이트 또는 일 1회 이상 업데이트를 실시·운영 하여 발견된 악성프로그램 등에 대해 삭제 등을 하고 있 는가? | 이네트너백신 | 엘림넷, 이네트너백신 정책 수립 및 운영 |
| 51 | 3.6.1 개인정보시스템에서 개인정보 출력(인쇄, 화면표시, 파일생성 등) 시 안전한 보호조치를 수행하고 있는가? | 이네트너PC필터 라이선스 인증서 | 엘림넷, 이네트너PC필터 출력물 보안 정책 수립 및 운영 |
| 52 | 3.7.1 전산실, 자료보관실 등 물리적 보관 장소에 대한 출입통제절차를 수립하여 운영하고 있는가? | 출입통제 관리 대장 | 출입통제 절차 수립 및 관리 |
| 53 | 3.7.2 개인정보가 포함된 서류, 보조 저장 매체 등을 잠금장치가 있는 안전한 장소에 보관하고 있는가? | 잠금장치가 설치된 장소 사진 | 개인정보 파일 잠금장치가 있는 보관함 운영 |
| 54 | 3.7.3 개인정보가 포함된 서류, 보조 저장 매체의 반출・입 통제를 위한 보안 대책을 마련하고 있는가? | 이네트너PC필터 라이선스 인증서 | 엘림넷, 이네트너PC필터 출력물 및 매체 보안 정책 수립 및 운영 |
| 55 | 3.8.1 재해・재난 발생 대비 개인정보처리시스템 보호 를 위한 대응 절 차 및 백업・복구 계획을 마련하고 있는가? | 개인정보 백업·복구 계획 매뉴얼 | 개인정보처리시스템 보호를 위한 대응절차 및 백업·복구 계획 수립 |
| 56 | 3.9.1 개인정보 처리방침을 수립하고 있는가? | 개인정보 처리 방침 | 개인정보 처리 방침 수립 |
| 57 | 3.9.2 개인정보 처리방침을 홈페이지 또 는 보기 쉬 운 장소 (접수대, 대기실 등)에 공개하고 개정사항 안내 /개시 및 이전 버전의 처리방침을 공개하고 있는가? | 개인정보 처리 방침 | 홈페이지 또는 접수실/대기실에 게재 |
| 58 | 3.9.3 정보주체가 개인정보 처리 내역을 쉽게 확인 할 수 있도록 개인정보 처리방침 작성 지침에 제시 된 라벨링을 적용하여 작성하고 있는가? | 개인정보 처리 방침 | 홈페이지 또는 접수실/대기실에 게재 |
| 59 | 3.10.1 개인정보 보호책임자가 지정되고 그 역할이 정의되어 있는가? | 내부관리계획서 | 내부관리계획서(개인정보 보호책임자 자격 요건 및 역할 정의 포함) |
| 60 | 3.10.2 개인정보보호 전담조직과 적정인력을 운영하고 있는가? | 개인정보 처리 방침 | 개인정보보호 전담조직 구성 및 운영 |
| 61 | 3.10.3 개인정보 보호책임자는 교육 및 관리・감독 등 역할을 수행하고 있는가? | 개인정보보호 교육 확인증 | 엘림넷, 개인정보보호 온라인 교육 |
| 62 | 3.11.1 개인정보보호 활동을 수행하는데 필요한 예산을 반영하고 있는가? | 개인정보보호 예산 편성 내역 | 개인정보보호 예산 편성 내역 수립 및 운영 |
| 63 | 4.1.1 손해배상책임 의무가입 대상일 경우 법에 명시된 최소적립금액 이상으로 보험 또는 공제에 가입하거나 준비금을 적립하였는가? | 손해배상책임 보험가입 증서 | 손해배상책임 보험 가입 |
| 64 | 4.2.1 정보보호 공시 의무 대상일 경우 법에 명시된 기준에 따라 정보보호 공시를 수행하였는가? | 정보보호 현황 공시자료 | 상급종합병원이 아닌경우 해당사항 없음 |
