| 대상 : | 의료기관 |
|---|---|
| 항목 : | 개인정보 보호 자율점검 및 안전성 확보 조치 이행 여부 등 |
| 기관 : | 대한병원협회, 대한의사협회, 대한한의사협회 |
| 실시 기간 : | 병원 ’25. 11.07 까지 (고유식별정보 5만명 미만 : 25.11.14까지)
의원 ‘25. 09.10 ~ 10. 31 한의원(한방병원) : 09.15 ~ 10.31 |
| 실시 방법 : | 협회 홈페이지에서 개인정보 보호 자율점검 결과를 등록 |
개인정보 보호 자율점검 실시 안내
개인정보보호 자율 점검표 대응 방법
대한병원협회, 개인정보보호 자율 점검표 대응 방법
| 순번 | 자율점검내용 | 증빙자료 보유여부 | 대응 방법 |
|---|---|---|---|
| 1 | 1.1.1 진료목적 외로 서면가입(오프라인)・홈페이지(온라인) 등을 통한 회원 가입 시 동의 또는 고지는 받고 있는가? | 회원가입 신청서 | 서면 및 홈페이지를 등을 통한 회원가입을 하지 않는 경우 해당 없음 |
| 2 | 1.1.2 각종 게시판, 기타 개인정보 수집 시 동의는 받고 있는가? | 개인정보 처리 동의서 | 서면 및 홈페이지를 등을 통한 회원가입을 하지 않는 경우 해당 없음 |
| 3 | 1.2.1 목적에 필요한 최소한의 개인정보 수집하고 있는가? | 회원가입 신청서 | 서면 및 홈페이지를 등을 통한 회원가입을 하지 않는 경우 해당 없음 |
| 4 | 1.2.2 최소한 정보 외의 개인정보 수집에 대한 미 동의를 이유로 재화 또는 서비스 제공 거부 하고 있지는 않는가? | 회원가입 신청서 | 서면 및 홈페이지를 등을 통한 회원가입을 하지 않는 경우 해당 없음 |
| 5 | 1.2.3 진료 목적 외로 만 14세 미만 아동의 개인정보를 처리 시, 법정대리인의 동의 여부 | 개인정보 수집 동의서 | 진료 목적으로 수집하는 필요한 최소한의 개인정보는 동의 받지 않아도 됨 |
| 6 | 1.2.4 모바일앱의 기기 접근권한 고지 및 동의를 받고 있는가? | 모바일 앱 접근권한 고지 및 동의 화면 | 모바일 앱 서비스를 제공하지 않는 경우 해당 없음 |
| 7 | 1.2.5 모바일앱의 기기 접근권한에 대한 동의받을 경우, 필수적/선택적 접근권한을 구분하고, 동의 철회 방법과 기능을 제공하고 있는가? | 모바일 앱 접근권한 고지 및 동의 화면 | 모바일 앱 서비스를 제공하지 않는 경우 해당 없음 |
| 8 | 1.2.6 모바일앱을 제공하기 위하여 선택적 접근권한을 설 정하는데 이용자가 동의하지 아니한다는 이유로 이용자 에게 해당 서비스 제공을 거부하고 있지는 않는가? | 모바일 앱 접근권한 고지 및 동의 화면 | 모바일 앱 서비스를 제공하지 않는 경우 해당 없음 |
| 9 | 1.3.1 제3자에게 개인정보 제공 및 목적 외 이용 시 정보 주체(환자)의 별도 동의는 받고 있는가? | 제3자 제공 동의서 | 제3자 정보제공 및 목적 외 이용 사실이 없는 경우 해당 없음 |
| 10 | 1.4.1 개인정보를 목적 외로 이용하거나 제3자에게 제공 하는 경우, 해당 내용을 기록하고 관리하는가? (공공의료기관) | 개인정보 목적 외 이용 및 제3자 정보 제공 대장 | 제3자 정보제공 및 목적 외 이용 사실이 없는 경우 해당 없음 |
| 11 | 1.5.1 진료목적 등으로 수집한 개인정보 보유기간 경과, 처리목적(제공받는 경우 제공받는 목적) 달성 후 지체 없이 개인 정보를 파기(복구 또는 제생되지 않도록 조치)하고 관리대장을 작성하여 관리하고 있는가? |
1. 개인정보파일 파기 요청서 2. 개인정보파일 파기 관리대장 3. 파기 사실 확인서(위탁) 또는 증빙서류(파기현장사진 등) |
환자명부 : 5년, 진료기록부 : 10년, 처방전 : 2년, 수술기록 : 10년, 검사소견기록 : 5년, 방사선 사진 및 그 소견서 : 5년, 간호기록부 : 5년, 조산기록부 : 5년, 진단서 등의 부본 : 3년 |
| 12 | 1.5.2 임시파일 및 출력시 자료 등은 목적달성 후 즉시 파기 하고 있는가? | 이네트너PC필터 라이선스 인증서 | 엘림넷, 이네트너PC필터의 전자적 문서 검출 및 완전 삭제 |
| 13 | 1.5.3 타 법령에 따라 보존하는 경우 개인정보를 별도로 분리보관하고 있는가? | 개인정보 관리 대장 | 개인정보의 전부 또는 일부를 보유할 필요가 없는 경우 해당 없음 |
| 14 | 1.6.1 가명정보 처리 시 추가 정보를 별도 분리하여 보관/ 관리하는 등 안전성 확보 조치를 하고 있는가? | 가명정보, 추가정보의 안전한 관리 증적 자료 | 가명정보 처리가 없다면 해당 없음 |
| 15 | 1.6.2 가명정보가 제3자 제공시 특정 개인을 식별할 수 있는 정보가 포함되어 있지 않으며, 이를 위하여 데이터심의위원회가 적절하게 운영되고 있는가? | 데이터 심의위원회 구성운영 현황 자료 | 가명정보 처리가 없다면 해당 없음 |
| 16 | 2.1.1 민감정보의 동의에 의한 수집 및 제공 시 개인정보 수집 동의와 별도로 구분하여 동의 받고 있는가? (관련 법령에서 구체적으로 허용한 경우는 동의없이 처 리 가능) | 민감정보 수집 동의서 | 민감정보(유전정보)를 수집하지 않는 경우 해당 없음 |
| 17 | 2.2.1 고유식별정보(주민등록번호,운전면허번호, 여권번호, 외국인등록번호) 수집 시 개인정보 수집 동의와 별도로 구분하여 동의를 받고 있는가? (관련 법령에서 구체적으로 허용한 경우는 동의없이 처 리 가능) | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 의료정보 프로그램 개발사, 고유식별정보 암호화 등 안전성 확보조치 수행 |
| 18 | 2.2.2 법률, 대통령령에 구체적으로 허용한 경우에 주민 등록번호를 수집하고 있는가? | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 의료정보 프로그램 개발사, 고유식별정보 암호화 등 안전성 확보조치 수행 |
| 19 | 2.2.3 주민등록번호 외 회원가입 방법 제공 여부 | 주민등록번호 외 회원가입 방법 증빙자료 | 홈페이지를 등을 통한 회원가입을 하지 않는 경우 해당 없음 |
| 20 | 2.3.1 고정형/이동형 영상정보처리기기(CCTV) 운영·관리 방침을 수립하고 있는가? | 영상정보처리기기(CCTV) 운영・관리 방침 | 영상정보처리기기(CCTV) 운영・관리 방침 수립 |
| 21 | 2.3.2 고정형/이동형 영상정보처리기기(CCTV)를 설치한 장 소에 정보주체가 영상정보 처리기기(CCTV) 설치 사실을 인지할 수 있도록 필수기재 사항을 포함한 안내판을 설 치하고 있는가? | 영상정보처리기기(CCTV) 안내판 | 영상정보처리기기(CCTV) 안내판 설치 |
| 22 | 2.3.3 고정형/이동형 영상정보처리기기(CCTV)에 대한 이용・제공・열람・파기 내역을 기록하고 관리 하는가? | 개인영상정보 관리대장 | 개인영상정보 관리대장 기록 및 관리 |
| 23 | 2.3.4 고정형/이동형 영상정보처리기기(CCTV)가 분실・도난・유출・변조 또는 훼손되지 아니하도록 안전성 확보조치를 하고 있는가? | 내부관리계획(안전성 확보조치 사항 포함) | 영상정보처리기기(CCTV) 접근통제 및 잠금장치 설치 |
| 24 | 2.3.5 수술실내 CCTV를 안전하게 설치하여 운영하고 있는가? |
1. 영상정보처리기기 운영관리 방침 2. 수술실내 설치 대수, 설치 위치, 촬영 범위 등 3. 출입자 관리 대장 4. 안내판 설치(수술실 CCTV 설치 목적 포함 등) |
영상정보처리기기(CCTV) 운영・관리 방침 수립 |
| 25 | 2.4.1 위탁 계약 시 문서(계약서)에 의한 계약을 하였는가? | 위탁사업자별 계약서(7개 항목 포함) | 위탁사업자별 계약서 체결(7개 항목 포함) |
| 26 | 2.4.2 수탁업체에 대한 교육 및 처리현황 점검 등 관리 감독을 실시하고 있는가? | 개인정보보호 교육 확인증 | 엘림넷, 개인정보보호 온라인 교육 실시 |
| 27 | 2.4.3 위탁에 관한 사실을 인터넷 홈페이지 또는 사보, 접수실, 대기실 등에 공개 하고 있는가? | 위탁사업자별 계약서(7개 항목 포함) | 접수실, 대기실 등에 게재 및 계약서등 포함하여 발급한 자료 |
| 28 | 2.5.1 개인정보취급자에 대한 보안 서약서를 제출토록 하고 있는가? | 개인정보취급자 보안서약서 | 개인정보취급자 보안서약서 체결 |
| 29 | 2.5.2 개인정보취급자에 대한 정기적인 교육은 실시하고 있는가? | 개인정보보호 교육 확인증 | 엘림넷, 개인정보보호 온라인 교육 실시 |
| 30 | 3.1.1 개인정보의 안전한 처리를 위한 내부 관리계획 을 수립 및 시행하고 내부 관리계획의 이행 실태를 연 1회 이상 점검・관리하고 있는가? | 내부관리계획서 | 내부 관리계획의 이행 실태를 연1회 이상 점검·관리 |
| 31 | 3.2.1 개인정보처리시스템에 대한 접근 권한을 최소한의 범위로 업무담당자에 따라(1인 1계정) 차등 부여하였는가? | 업무별 권한관리 대장 | 개인정보처리시스템 업무담당자별 접근권한 관리 |
| 32 | 3.2.2 개인정보처리시스템 접근 권한의 부여․변경․말소 내역의 기록 관리를 최소 3년간 보관하는 절차를 마련하 고 이를 실행하고 있는가? | 업무별 권한관리 대장 | 업무별 접근권한관리 기록 보관(3년) |
| 33 | 3.2.3 인증수단을 안전하게 적용하고 있는가? | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 의료정보 프로그램 개발사, 안전한 인증 수단(비밀번호) 확인 |
| 34 | 3.2.4 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 접근을 제한하는 등 필요한 조치가 되어 있는가? | 인증 일정 횟수 실패시 접근 제한된 화면 | 의료정보 프로그램 개발사, 인증 실패시 접근 제한 확인 |
| 35 | 3.2.5 개인정보취급자가 일정 시간 이상 업무처리를 하지 않는 경우 시스템 접속 차단하고 있는가? | 세션 차단 설정 및 적용 화면 | 의료정보 프로그램 개발사, 세션 차단 확인 |
| 36 | 3.2.6 개인정보처리시스템에 대하여 불법적인 접근 및 침 해사고를 방지하기 위한 접근통제시스템을 설치/운영하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너UTM 접근 통제 정책 수립 및 운영 |
| 37 | 3.2.7 외부에서 정보통신망을 통하여 개인정보처리시스템 에 접속할 때 가상 사설망(VPN) 등 안전한 접속수단이나 안전한 인증수단을 적용하고 있는가? 3.2.7 개인정보를 안전하게 저장・전송을 하기 위해 정보 통신망을 통하여 정보주체의 개인정보 또는 인증정보를 송신·수신하는 경우 해당 정보의 암호화 또는 이에 상응 하는 조치를 하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너UTM 접근 통제 정책 수립 및 운영 |
| 38 | 3.2.8 P2P, 공유설정, 공개된 무선망 이용 등을 통하여 개인정보가 유・노출 되지 않도록 접근 통제 등에 관한 조치를 하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너UTM 접근 통제 정책 수립 및 운영 |
| 39 | 3.2.9 개인정보를 안전하게 저장·전송을 하기 위해 정 보통신망을 통하여 정보주체의 개인정보 또는 인증정 보를 송신・수신하는 경우 해당 정보의 암호화 또는 이 에 상응하는 조치를 하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너UTM 접근 통제 정책 수립 및 운영 |
| 40 | 3.2.10 업무용 모바일 기기에 비밀번호를 설정하고 있는가? | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 업무용 모바일 기기의 분실․도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 운영 |
| 41 | 3.2.11 개인정보를 다운로드 또는 파기할 수 있을 경 우 업무용담당자 컴퓨터 등에 대한 인터넷망 차단조치를 하고 있는가? | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 전년도 말 기준 3개월간 이용자수 일평균 100만명 이상만 해당 |
| 42 | 3.3.1 비밀번호 및 생체인식정보의 저장 시 안전한 암호 알고리즘을 적용하여 암호화하고 있는가? (비밀번호는 일방향 암호화 저장) | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 의료정보 프로그램 개발사, 비밀번호 일방향 암호화 알고리즘 확인 |
| 43 | 3.3.2 고유식별정보(주민등록번호 제외)를 내부망에 저장 시 암호화 조치 또는 그에 상응하는 조치 적용하고 있는가? (주민등록번호는 반드시 안전한 암호 알고리즘을 적용하 여 암호화 저장) | 이네트너DB암호화 라이선스 인증서 | 엘림넷, 이네트너DB암호화 정형/비정형 데이터 암호화 조치 및 운영 |
| 44 | 3.3.3 고유식별정보, 비밀번호 및 생체인식정보를 정보통신망을 통하여 송․수신하거나 보조저장매체를 통하여 전달 시 암호하고 있는가? | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 | 오피스 프로그램의 암호화 설정 수립 및 운영 |
| 45 | 3.3.4 고유식별정보의 인터넷과 내부망의 중간지점(DMZ) 저장 시 안전한 암호 알고리즘을 적용하여 암호화하고 있는가? | 이네트너DB암호화 라이선스 인증서 | 엘림넷, 이네트너DB암호화 KCMVP 인증된 안전한 암호화 모듈로 정형/비정형 데이터 암호화 조치 및 운영 |
| 46 | 3.3.5 고유식별정보를 업무용 컴퓨터 또는 모바일 기기에 저장시 안전한 암호화 알고리즘 사용 여부 확인 | 이네트너DB암호화 라이선스 인증서 | 엘림넷, 이네트너PC필터 안전한 암호화 알고리즘 정책 수립 및 운영 |
| 47 | 3.3.6 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용 보관, 배포 및 파기 등에 관한 절차 수립・시행 하였는가? | 이네트너DB암호화 라이선스 인증서 | 엘림넷, 이네트너DB암호화 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 정책 수립 및 운영 |
| 48 | 3.4.1 개인정보취급자의 접속기록을 1년 이상 보관 및 점검하여 관리하고 있고 월1회 이상 점검하고 있는가? (5만명 이상 개인정보를 처리하거나 고유식별정보 또는 민감정보를 처리하는 경우 2년) | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 |
1. 의료정보 프로그램 개발사, 접속기록(ID, 날짜 및 시간, 접속자 IP주소, 처리한 정보주체 정보, 수행업무) 보관 및 점검 2. 엘림넷, 이네트너DB접근제어 접속기록 운영 정책 수립 및 운영 |
| 49 | 3.4.2 접속기록의 위ㆍ변조 및 도난, 분실되지 않도록 접속 기록을 안전하게 보관하고 있는가? | 증빙자료가 없어도 점검기준을 만족하는 경우에 점검결과를 양호로 선택 |
1. 의료정보 프로그램 개발사, 위ㆍ변조 방지 확인 2. 엘림넷, 이네트너DB접근제어 위ㆍ변조 방지 정책 수립 및 운 |
| 50 | 3.5.1 백신 소프트웨어 등의 보안 프로그램을 설치하고 자동 업데이트 또는 일 1회 이상 업데이트를 실시·운영 하여 발견된 악성프로그램 등에 대해 삭제 등을 하고 있 는가? | 이네트너백신 | 엘림넷, 이네트너백신 정책 수립 및 운영 |
| 51 | 3.6.1 개인정보시스템에서 개인정보 출력(인쇄, 화면표시, 파일생성 등) 시 안전한 보호조치를 수행하고 있는가? | 이네트너PC필터 라이선스 인증서 | 엘림넷, 이네트너PC필터 출력물 보안 정책 수립 및 운영 |
| 52 | 3.7.1 전산실, 자료보관실 등 물리적 보관 장소에 대한 출입통제절차를 수립하여 운영하고 있는가? | 출입통제 관리 대장 | 출입통제 절차 수립 및 관리 |
| 53 | 3.7.2 개인정보가 포함된 서류, 보조 저장 매체 등을 잠금장치가 있는 안전한 장소에 보관하고 있는가? | 잠금장치가 설치된 장소 사진 | 개인정보 파일 잠금장치가 있는 보관함 운영 |
| 54 | 3.7.3 개인정보가 포함된 서류, 보조 저장 매체의 반출・입 통제를 위한 보안 대책을 마련하고 있는가? | 이네트너PC필터 라이선스 인증서 | 엘림넷, 이네트너PC필터 출력물 및 매체 보안 정책 수립 및 운영 |
| 55 | 3.8.1 재해・재난 발생 대비 개인정보처리시스템 보호 를 위한 대응 절 차 및 백업・복구 계획을 마련하고 있는가? | 개인정보 백업·복구 계획 매뉴얼 | 개인정보처리시스템 보호를 위한 대응절차 및 백업·복구 계획 수립 |
| 56 | 3.9.1 개인정보 처리방침을 수립하고 있는가? | 개인정보 처리 방침 | 개인정보 처리 방침 수립 |
| 57 | 3.9.2 개인정보 처리방침을 홈페이지 또 는 보기 쉬 운 장소 (접수대, 대기실 등)에 공개하고 개정사항 안내 /개시 및 이전 버전의 처리방침을 공개하고 있는가? | 개인정보 처리 방침 | 홈페이지 또는 접수실/대기실에 게재 |
| 58 | 3.9.3 정보주체가 개인정보 처리 내역을 쉽게 확인 할 수 있도록 개인정보 처리방침 작성 지침에 제시 된 라벨링을 적용하여 작성하고 있는가? | 개인정보 처리 방침 | 홈페이지 또는 접수실/대기실에 게재 |
| 59 | 3.10.1 개인정보 보호책임자가 지정되고 그 역할이 정의되어 있는가? | 내부관리계획서 | 내부관리계획서(개인정보 보호책임자 자격 요건 및 역할 정의 포함) |
| 60 | 3.10.2 개인정보보호 전담조직과 적정인력을 운영하고 있는가? | 개인정보 처리 방침 | 개인정보보호 전담조직 구성 및 운영 |
| 61 | 3.10.3 개인정보 보호책임자는 교육 및 관리・감독 등 역할을 수행하고 있는가? | 개인정보보호 교육 확인증 | 엘림넷, 개인정보보호 온라인 교육 |
| 62 | 3.11.1 개인정보보호 활동을 수행하는데 필요한 예산을 반영하고 있는가? | 개인정보보호 예산 편성 내역 | 개인정보보호 예산 편성 내역 수립 및 운영 |
| 63 | 4.1.1 손해배상책임 의무가입 대상일 경우 법에 명시된 최소적립금액 이상으로 보험 또는 공제에 가입하거나 준비금을 적립하였는가? | 손해배상책임 보험가입 증서 | 손해배상책임 보험 가입 |
| 64 | 4.2.1 정보보호 공시 의무 대상일 경우 법에 명시된 기준에 따라 정보보호 공시를 수행하였는가? | 정보보호 현황 공시자료 | 상급종합병원이 아닌경우 해당사항 없음 |
개인정보보호 자율 점검표 대응 방법
대한의사협회, 대한한의사협회 개인정보 보호 자율 점검표 대응 방법
| 순번 | 자율점검내용 | 증빙자료 | 대응 방법 |
|---|---|---|---|
| 1 | 1.1.1 진료(조제, 복약지도 포함) 목적 외로 서면(오프라인) 및 홈페이지(온라인) 등을 통한 개인정보 수집 시 정보주체의 동의를 받고 있는가? | 개인정보 수집 동의서, 회원가입신청서 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 2 | 1.1.2 진료(조제, 복약지도 포함) 목적 외로 만 14세 미만 아동의 개인정보를 수집・처리 시, 법정대리인의 동의를 받았는가? | 개인정보 수집 동의서 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 3 | 1.2.1 목적에 필요한 최소한의 개인정보만 수집하고 있는가? | 개인정보 수집 동의서 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 4 | 1.2.2 최소한의 개인정보 수집 외에 선택정보에 대한 미동의를 이유로 재화 또는 부가 서비스 제공을 거부하고 있지 않은가? | 개인정보 수집 동의서 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 5 | 1.2.3 개인정보 수집 시 목적에 따라 구분하여 동의를 받고 있는가? | 개인정보 수집 동의서 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 6 | 1.3.1 개인정보를 수집 목적 외 이용하거나 제3자에게 제공하는 경우 정보주체에게 별도의 동의를 받고 있거나 법적 근거가 있는가? | 목적외 이용 및 제 3자 개인정보제공동의서 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 7 | 1.4.1 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에 지체 없이 파기하고 있는가? | 개인정보 파기 관리 대장 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 8 | 1.4.2 타 법령(전자상거래법, 형사소송법, 민사소송법 등)에 따라 개인정보를 파기하지 않고 보존하는 경우 별도로 분리하여 보관하고 있는가? | 타 법령의 근거에 따라 별도 분리 보관하는 개인정보가 있는경우 개인정보처리시스템 내 분리 저장된 화면캡처 또는 물리적 보관 사진 | 개인정보 보유기간 경과 또는 처리목적 달성 후에도 타법에 따라 폐기가 불가능한 경우 다른 개인정보와 분리하여 아래와 같이 저장 ∙ 서면:물리적 장소 분리 사진 ∙ 전자파일: 별도의 DB, Table, 파일 등으로 분리 화면 캡처 |
| 9 | 2.1.1 진료(조제, 복약지도 포함) 목적 외로 민감정보를 수집할 경우, 별도 동의를 받고 있는가? | 민감정보 수집・이용 동의서, 개인정보 처리 방침 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 10 | 2.2.1 주민등록번호를 처리(수집·이용·보관 등)함에 있어 법령의 근거가 있는가? | ''의료법'등 법령에 의거한 주민등록번호 수집 및 처리시 별도 증빙자료 없이 양호 선택 | 진료 목적 사용시 양호 선택 |
| 11 | 2.2.2 여권번호, 운전면허번호, 외국인등록번호를 처리(수집·이용·보관 등)함에 있어 법령의 근거 또는 정보주체의 동의가 있는가? | ''의료법'등 법령에 의거한 여권번호, 운전면허번호, 외국인등록번호 수집 및 처리시 별도 증빙자료 없이 양호 선택 | 진료 목적 사용시 양호 선택 |
| 12 | 2.3.1 고정형 영상정보처리기기 운영 관리방침을 수립 및 공개하고 있는가? | 영상정보처리기기운영・관리 방침 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 13 | 2.3.2 고정형 영상정보처리기기를 설치한 장소에 정보주체가 해당 기기의 설치 사실을 인지할 수 있도록 필수기재 사항을 포함한 안내판을 설치하고 있는가? | 영상정보처리기기(CCTV) 설치안내 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 14 | 2.3.3 고정형 또는 이동형(자율주행 자동차, 드론 등) 영상정보처리기기에 대한 이용・ 제공・열람・파기 내역을 기록하고 관리 하는가? | 개인영상정보 관리대장 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 15 | 2.3.4 고정형 또는 이동형 영상정보처리기기의 안전성 확보조치를 하고 있는가? | 영상정보처리기기(CCTV) 물리적 시건장치 사진 또는 접속계정(ID)관리화면 캡처 | CCTV 설치 업체 문의 |
| 16 | 2.3.5 이동형 영상정보처리기기로 촬영을 하는 경우 촬영 사실을 알리고 있는가? | 촬영시 불빛, 소리, 안내판 등 | 병원내에 이동용 촬영 사실 안내 |
| 17 | 2.4.1 업무 위탁 시 개인정보 처리 관련 필수사항 등을 계약서(문서)에 포함하였는가? | 표준 개인정보처리위탁 계약서 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 18 | 2.4.2 위탁에 관한 사실을 홈페이지 또는 사보, 접수실, 대기실 등에 공개하고 있는가? | 위탁에 관한 사실을 공개한 증빙자료(개인정보 처리방침, 위탁계약서) | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 (개인정보 처리방침) |
| 19 | 2.4.3 수탁업체에 대한 관리 감독을 실시하고 있는가? | 수탁업체 개인정보 보호 실태 점검표 및 수탁업체 개인정보보호 교육 결과 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 20 | 2.5.1 개인정보취급자에 대한 보안서약서를 징구하였는가? | 개인정보취급자 목록 및 보안서약서, 비밀유지 서약서 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 21 | 2.5.2 개인정보취급자에 대한 정기적인 교육은 실시하고 있는가? | 개인정보 보호 교육 수료증등 | 엘림넷, 개인정보보호 온라인 교육 실시 |
| 22 | 2.6.1 개인정보 처리방침을 알기 쉽게 작성하고 보기 쉬운 곳(홈페이지, 접수대, 대기실 등)에 공개하고 있는가? | 개인정보처리방침, 공개사실 확인할 수 있는 자료 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 23 | 2.7.1 개인정보 보호책임자를 지정하여 개인정보 보호 총괄 업무를 수행하고 있는가? | 내부관리계획 문서 등 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 24 | 2.7.2 개인정보 유출 등 발생에 대비한 대응절차를 숙지하고 있는가? | 개인정보침해 및 유출등 대비한 대응, 지침,절차 매뉴얼등 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 25 | 2.8.1 개인정보 유출 등 발생 시 손해배상책임 이행이 보장될 수 있도록 보험 등에 가입하거나 준비금을 적립하고 있는가? | 개인정보 손해배상 책임보험등 | [대상]전년도 매출액 10억원 미만 또는 직전 년도 3개월 저장 관리 하는 환자 수 일일평균 1만명 이하 요양기관은 해당 없음 |
| 26 | 3.1.1 개인정보의 안전한 처리를 위한 내부 관리계획을 수립·시행 및 점검을 하고 있는가? | 개인정보 내부관리 계획 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 (5만명 이상 고유식별정보 보유 시 증빙 필수) |
| 27 | 3.2.1 개인정보처리시스템에 (전자차트, 청구S/W 등) 대한 접근 권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에게 차등 부여하고 있는가? | 사용자 ID 관리 대장 | 의료정보 프로그램 개발사 기능 문의 |
| 28 | 3.2.2 개인정보취급자 또는 개인정보취급자의 업무 변경 시, 지체 없이 개인정보처리시스템에 대한 접근 권한을 변경 또는 말소하고 있는가? | 사용자 ID 관리 대장 | 의료정보 프로그램 개발사 기능 문의 |
| 29 | 3.2.3 개인정보처리시스템(전자차트, 청구S/W 등) 접근 권한의 부여‧변경‧말소 내역 등을 최소 3년간 보관하고 있는가? | 접근, 권한, 변경 말소 내역 최소 3년간 보관 증빙 화면 및 관리기록 | 의료정보 프로그램 개발사 기능 문의 하여 3년간(22년) 기록 검색 (5만명 이상 고유식별정보 보유 시 증빙 필수) |
| 30 | 3.2.4 개인정보취급자별로 개인정보처리시스템에 대한 사용자계정(ID)을 발급하고 해당 사용자계정을 다른 개인정보취급자 등과 공유하고 있지는 않는가? | 의료정보 프로그램 내의 계정 목록 캡처 | 의료정보 프로그램 개발사 기능 문의 |
| 31 | 3.2.5 개인정보취급자 또는 정보주체의 비밀번호 등 인증수단을 안전하게 적용하고 관리하고 있는가? | 의료정보 프로그램 비밀번호 관리 | 의료정보 프로그램 개발사 기능 문의 |
| 32 | 3.2.6 개인정보취급자 또는 정보주체가 일정 횟수 이상 인증에 실패한 경우, 개인정보처리 시스템에 대한 접근을 제한하는 등 필요한 조치를 하고 있는가? | 의료정보 프로그램 비밀번호 관리 | 의료정보 프로그램 개발사 기능 문의 |
| 33 | 3.3.1 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너UTM 보안 정책 수립 및 운영 |
| 34 | 3.3.2 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 접속한 IP주소 등을 분석하여 개인정보 유출시도를 탐지 및 대응하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너UTM 보안 정책 수립 및 운영 |
| 35 | 3.3.3 외부에서 개인정보취급자가 정보통신망을 통해 개인정보처리시스템에 접속 시, 인증서, 보안토큰, 일회용비밀번호 등 안전한 인증수단을 적용하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너UTM 보안 정책 수립 및 운영 (5만명 이상 고유식별정보 보유 시 증빙 필수) |
| 36 | 3.3.4 개인정보가 인터넷 홈페이지, P2P, 공유설정 등으로 유출되지 않도록 개인정보처리시스템, 개인 정보취급자 컴퓨터 등에 접근통제 조치를 하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너UTM 보안 정책 수립 및 운영 |
| 37 | 3.3.5 홈페이지의 개인정보 노출 방지를 위한 보안 조치를 실시하고 있는가? | 홈페이지 개인정보 노출 방지 점검 내역, 웹 취약점 점검 수행 결과서 | 홈페이지가 없거나 있어도 개인정보 내역 없으면 해당없음 |
| 38 | 3.3.6 일정시간 이상 업무처리를 하지 않을 시 자동으로 시스템 접속이 차단되도록 하고 있는가? | 의료정보 프로그램 일정시간 이상 미사용시 접근 제한 적용화면 또는 설정화면 캡처 | 의료정보 프로그램 개발사 기능 문의 (5만명 이상 고유식별정보 보유 시 증빙 필수) |
| 39 | 3.3.7 업무용 모바일 기기의 분실ㆍ도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하고 있는가? | 업무용 모바일 기기 보호조치 설정 화면 | 비밀번호, 패턴 화면 잠금 설정등, 모바일 기기로 개인정보 처리 업무 안하면 해당 없음 |
| 40 | 3.3.8 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리 시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대하여, 인터넷망 차단 조치를 하고 있는가? | 점검 대상 아니면 해당 없음 | [점검대상]전년도 말 기준 직전 3개월간 의료정보 프로그램에 이용자수가 일일평균 100만명 이상인 개인정보처리자 (망분리 요건) |
| 41 | 3.4.1 개인정보처리시스템에 고유식별정보, 비밀번호 및 생체인식정보를 저장하는 경우, 안전한 알고리즘으로 암호화 조치를 하고 있는가? | 이네트너DB암호화 라이선스 인증서 | 엘림넷, 이네트너DB암호화 KCMVP 인증된 안전한 암호화 모듈로 정형/비정형 데이터 암호화 조치 및 운영 |
| 42 | 3.4.2 개인정보를 정보통신망을 통하여 인터넷망 구간으로 송ㆍ수신하는 경우 안전한 알고리즘에 의한 암호화 조치를 하고 있는가? | 이네트너UTM 라이선스 인증서 | 엘림넷, 이네트너 UTM SSLVPN 기능 활용 |
| 43 | 3.4.3 컴퓨터, 모바일 기기, 보조저장매체 등에 고유식별정보, 비밀번호 및 생체인식정보를 저장 하는 경우, 안전한 알고리즘으로 암호화 조치를 하고 있는가? | 이네트너PC필터 라이선스 인증서 | 엘림넷 이네트너 PC필터 보안 정책 수립 및 운영 (5만명 이상 고유식별정보 보유 시 증빙 필수) |
| 44 | 3.4.4 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차 수립하였는가? | 점검 대상 아니면 해당 없음 | [점검대상]개인정보의 보유량 10만명 이상 대기업, 중견기업 또는 100만명 이상 중소기업,단체가 대상 |
| 45 | 3.5.1 개인정보취급자가 개인정보처리시스템에 접속한 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행한 업무내용 등이 포함된 접속기록을 2년 이상 보관· 관리하고 있는가? | 의료정보 프로그램 활용하여 23년 9월이 접속 기록이 보이도록 검색 캡처 | 의료정보 프로그램 개발사 기능 문의 (5만명 이상 고유식별정보 보유 시 증빙 필수) |
| 46 | 3.5.2 개인정보의 오·남용, 분실, 도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리 시스템의 접속기록, 다운로드가 확인된 경우 사유 확인 등을 월 1회 이상 점검하고 있는가? | 개인정보취급자 접속기록 점검표 | 의료정보 프로그램 개발사 기능 문의 (5만명 이상 고유식별정보 보유 시 증빙 필수) |
| 47 | 3.6.1 악성 프로그램을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치· 운영 및 최신의 상태로 유지하고 있는가? | 이네트너백신 라이선스 인증서 | 의료정보 프로그램 개발사 기능 문의 (5만명 이상 고유식별정보 보유 시 증빙 필수) |
| 48 | 3.7.1 개인정보 등 중요자료가 보관된 물리적 장소에 대한 출입 통제 절차를 수립하여 운영하고 있는가? | 출입통제 절차 수립, 출입관리대장 | 대한의사협회 개인정보 자율점검사이트 자료실 내 증빙자료 참고 |
| 49 | 3.7.2 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보의 출력ㆍ 복사물을 안전하게 관리하기 위해 필요한 안전조치를 하였는가? | 이네트너PC필터 라이선스 인증서 | 엘림넷 이네트너 PC필터 보안 정책 수립 및 운영 |
| 50 | 3.8.1 재해·재난 발생 시, 개인정보의 손실·훼손 등을 방지하기 위하여 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응 절차를 마련하고 있는가? | 개인정보 백업·복구 계획 매뉴얼, 점검대상 아니면 해당 없음 | [점검대상]개인정보의 보유량 10만명 이상 대기업, 중견기업 또는 100만명 이상 중소기업,단체가 대상 |
