개인정보 내부관리계획

제1장 총 칙

제1조(목적과 근거)
① 이 계획은 위드여성병원이 보유하고 있는 개인정보(의료인, 의료기사, 의료지원부서 재원환자 및 퇴원환자등) 처리의 적법성과 절차의 적정성을 확보함으로써 병원직원과 내원환자의 권익을 보호하고, 위드여성병원 홈페이지 이용자의 보호와 공공업무의 적정한 수행을 도모하기 위하여 조치하여야 할 사항과 준수사항을 규정함을 목적으로 한다.
② 이 지침은 개인정보 보호에 관한 법률 제20조와 동법 시행령 제28조 및 관련 법령에 따른다.

제2조(개인정보의 의의)
① “개인정보”는 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명, 주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보만으로는 특정개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)이다.
② 체력, 건강상태, 신체적 특징, 병력 등 심신의 상태, 학력, 범죄경력, 직업, 자격, 소속 정당·단체 등 사회경력, 재산상황, 소득, 채권채무관계 등 경제관계 및 성명, 주소, 본적, 가족관계, 출생지, 본관 등 생활·가정·신분관계등을 말한다.

제2장 내부관리계획의 수립 및 시행

제3조(내부관리계획의 수립 및 시행)
① 개인정보 보호담당자는 매년도초에 개인정보 내부관리계획을 수립하여 개인정보 보호 책임자의 승인을 받아야 한다.
② 승인된 내부관리계획은 위드여성병원 대표 홈페이지에 게재한다.

제3장 개인정보 보호 책임자의 의무와 책임

제4조(개인정보 보호 책임자의 지정)
① 위드여성병원의 개인정보 보호 책임자는 행정과장으로 한다.
② 부서별 개인정보 보호취급자는 다음 각호와 같다.
1. 직원 개인정보 보호취급자는 재무팀장 및 인사담당 팀원
2. 환자 개인정보 보호취급자는 간호과장, 원무팀장 및 인사담당 팀원
3. 전산자료 보호취급자는 전산팀장 및 종합정보시스템 담당 팀원

제5조(개인정보 보호 책임자의 임무)
① 책임자은 개인정보 취급자를 지정하고 개인정보보호 업무를 지도·감독한다.
② 개인정보 처리시스템의 사용자 권한설정 등 제반 보호장치에 관한 사항을 확인·감독한다.
③ 개인정보 보호업무의 수행과 관련하여 오류, 부정행위가 발생하거나 예상될 경우 병원장에게 즉시 보고한다.
④ 기타 개인정보 보호를 위하여 필요한 사항 등을 행하며, 개인정보취급자와 그 의무에 관하여는 공공기관의 개인정보 보호에 관한 법률 제11조를 참조한다.

제6조(개인정보 보호 책임자의 변경과 인수인계)
개인정보 보호 책임자가 변경될 경우에는 아래의 사항을 철저히 인수인계하여야 한다.
1. 개인정보 보호에 관한 기본지침
2. 업무분장에 관한 주요사항
3. 통상적으로 제공하는 개인정보에 관한 사항
4. 개인정보 유출사례를 포함한 교육교재
5. 기타 개인정보 보호업무 수행에 필요한 사항

제7조(병원홈페이지 게재)
① “개인정보 보호 정책(붙임파일)”을 위드여성병원 대표 홈페이지에 게재한다.
② 게재 내용은 다음과 같다.
1. 인터넷 이용자의 개인정보 보호 등을 포함하는 위드여성병원의 ‘개인정보보호 방침’
2. 사전 통보되는 개인정보화일의 보유근거와 목적
3. 통상적으로 다른 공공기관에 제공하는 개인정보화일 현황
4. 개인정보 화일의 열람과 정정청구 안내
5. 권익침해 구제절차에 대한 안내
6. 개인정보 보호 책임자 및 담당자 현황 및 연락처
③ 전산팀의 취급자는 “ 개인정보 보호정책”을 위드여성병원 대표 홈페이지에 이용자가 쉽게 찾아 볼 수 있도록 한다.

제4장 개인정보 보호를 위한 조치

제8조(개인정보 처리시스템에 대한 조치)
① 전산정보팀의 취급자는 정보처리시스템에 대하여 다음과 같은 임무가 있다.
1. 업무별 접근권한을 설정하고 주기적으로 비밀번호를 변경하도록 조치한다.
2. 입·출력, 수정 사항, 화일별·담당자별 데이터 접근내역 등을 자동으로 기록하는 로그 파일을 생성하고 관리한다.
가. 로그화일은 개인정보 취급시의 책임을 명확히 할 목적 이외에는 사용을 금지한다.
나. 로그화일은 컴퓨터 시스템의 모든 사용내역을 기록하고 있는 화일을 말하는 것으로, 컴퓨터 시스템에 해킹사고 등이 발생할 경우에는 로그파일을 근거로 사고 원인과 해커를 추적한다.
3. 출력자료 등에 작업자, 면수 및 출력장비의 고유번호 등을 표시함으로써 개인정보의 유출과 오·남용방지를 위하여 시스템적으로 구현되도록 조치한다.
② 허가받은 개인정보 취급자만이 화일에 접근하고 단말기 등을 취급하도록 한다.
③ 단말기와 시스템 등을 사용하지 않을 경우에는 반드시 전원을 차단하고, 화면보호기 비밀번호를 설정한다.

제9조(개인정보의 열람)
① 내원환자, 직원기본신상자료 등 인적관련 개인정보는 원무행정팀에서 열람한다.
② 내원환자 진료범위내의 인적관련 개인정보는 간호팀에서 열람한다.
③ 개인정보의 열람부서는 열람업무에 종사하는 팀원에 대하여 열람·정정 청구, 보호대책 및 권익구제 절차 등에 대하여 수시로 교육하여야 한다.

제10조 (개인정보 침해신고의 처리)
① 개인정보 보유부서와 전산정보팀은 공공기관의 개인정보 보호에 관한 법률 시행규칙에 의한 개인정보 침해신고 처리대장(별지 1호서식)을 비치하고 침해신고를 접수·처리하여야 한다.
② 개인정보 침해신고의 처리절차는 민원사무처리 관계법령에 준용하여 처리한 후, 결과를 신고자에게 통보하여야 한다.

제5장 개인정보 보호를 위한 해당 부서 및 취급자의 준수사항

제11조(개인정보의 수집과 보유에 관한 준수사항)
① 개인정보의 수집과 보유는 반드시 법령에 근거하거나 정보주체의 동의에 의하며, 목적달성에 필요한 최소한의 범위로 하여야 한다. 여기서 “필요한 범위”는 당해 파일의 보유가 소관업무 수행에 필요할 뿐 아니라 기록항목, 개인범위, 보유기간도 필요한 범위내로 한정한다.
② 정보주체의 동의에 의하여 수집할 경우 사전에 수집목적, 보유기간, 이용범위, 목적달성 후 처리방법 및 이의제기 절차 등에 대하여 충분한 사전에 설명한 후 이를 수집한다.
③ 수집한 개인정보는 수집목적을 달성한 즉시 폐기하며, 그 원형태와 수록된 데이터를 식별할 수 없도록 파쇄기 또는 소각의 방법 등을 통하여 폐기하여야 한다. 다만, 법령에 보유기간 등이 명시되어 있는 경우에는 그러하지 아니하다.

제12조(홈페이지 이용에 따른 개인정보 수집)
① 업무별 담당자의 성명, 전화번호, 이메일 주소 등 위드여성병원 업무 접촉의 편의를 제공하기 위한 개인정보를 안내한다.
② 전산팀은 병원 홈페이지의 개선·보완과 침입탐지 등의 목적을 위하여 접속한 홈페이지 이용자에 대한 최소한의 정보만을 수집한다.
1. 수집된 개인정보는 개인을 식별할 수 없는 통계형태 등으로 처리되어야 하며, 관계법령의 이행목적이나 수집시 동의한 목적이외에는 사용할 수 없다. 2. 개인을 식별할 수 있는 로그파일 등도 개인정보에 해당한다.

제13조(개인정보 보호관리에 따른 관련대장 작성과 유지)
① 개인정보화일을 보유한 개인정보 보호책임관이 지정된 부서는 개인정보침해신고 처리대장
(별지 1호서식)을 작성·운영하여야 한다.
② 개인정보를 보유한 부서와 법령, 기타 개별법에 의하여 다른 기관에 개인정보를 제공하는 부서는 개인정보 제공대장(별지 2호서식)을 작성·운영하여야 한다.
③ 개인정보 보호 책임자는 공공기관의 개인정보 보호에 관한 법률 시행규칙에 의한 각종 대장을 비치·관리하여야 한다.

제14조(개인정보의 이용과 제공시 지켜야 할 사항)
① 기관내 부서간의 개인정보 이용 또는 조회는 법령에 근거하거나 소관업무를 수행하기 위하여 필요한 최소한의 범위로 제한한다.
② 정보주체의 동의 없이 개인정보를 수집하거나 보유목적외로 내부직원 등이 이용 또는 조회하지 못하도록 엄격하게 관리한다.
③ 해당 부서가 다른 기관에 개인정보를 제공할 경우에는 다음 사항을 종합적으로 참조하여 판단하여야 한다.
1. 개인정보 제공 요청의 법령상 근거 또는 이용목적
2. 요청목적에 따른 제공목적의 적정성
3. 적절한 보안대책 등의 강구
④ 정보통신망을 이용하여 제공할 경우에는 전자정부법 시행령 제18조에 따라 전자관인과 이에 상응하는 보안기술을 적용하여 송신하여야 한다.
⑤ 개인정보를 제공하는 해당 부서는 처리정보를 법률에 의하여 제공할 때에도 다음의 사항을 명확히 하도록 하여야 한다. 1. 제공범위, 데이터의 가공여부, 제공하는 파일의 형태 및 특성에 따른 보안·폐기방법 등 보호조치
2. 폐기방법과 확인에 관한 사항

제15조(개인정보와 관련한 업무 처리시 유의사항)
① 정보주체에게 제공되는 개인정보 중 내부 문서 수발절차에 의한 경우에도 제3자에 의한 노출에 유의하여야 한다.
② 개인정보가 포함된 사항의 교육 등을 이용할 때에는 목적을 달성한 후 이를 폐기하거나 계속 이용할 경우 이를 식별할 수 없도록 조치하여야 한다.

제16조(개인정보가 기록된 출력물 등의 처리)
① 폐·휴지 수집업자에 대한 매각 등을 금지한다.
② 매각과 처리를 위탁할 경우에는 사전에 대책을 강구하여야 한다. 소각시에는 입회인 선임 등을 하여야 하며, 매각시에는 출력물을 직접 파쇄 조치 후 재생지 용도로만 활용하여야 한다.

제17조(개인정보 취급자 등의 교육)
① 정기적인 보안교육과 수시교육으로 구분하여 실시한다.
② 개인정보 보호 책임자는 개인정보 보호교육을 실시하도록 조치한다.
③ 각 부서별 취급자는 신규로 개인정보를 취급하게 된 경우, 특별히 유출방지 등의 예방을 필요로 하는 경우에 수시로 교육을 실시한다.

부 칙
이 지침은 2014년 8월 7일부터 시행한다.