| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- 의료기관자율점검
- 개인정보보호
- 창업
- 계약서
- 자가점검
- 보안서약서
- 심평원자가점검
- 협찬계약서
- 소상공인지원센터
- 무료계약서
- 개인정보보호자율점검
- 소상공인창업대출
- 의원자가점검
- 신용보증재단
- 병원자율점검
- 개인정보보호자가점검
- 공동사업자
- 심평원자율점검
- 병원자가점검
- 정책자금
- 소상공인진흥공단
- 의원자율점검
- 중소기업진흥공단
- 계약서검토
- 병원컨설팅
- 병원개인정보보호
- 법인전환
- 테이크루트
- 재무관리
- 자율점검
- Today
- Total
테이크루트
자율점검보다 포괄적인 개인정보의안전성확보조치 설명 본문
어제 PC만으로 운영하는 작은 의원에서 암호화 솔루션 구매 필요성을 문의해 주셨습니다.
그래서 2014년말에 나온 행정자치부 고시(기준서)안을 말씀드리고 그때 작성했던 블로그 내용을 옮겨봅니다.
개인정보의 안전성 확보조치 기준서는 병원뿐만 아니라 일반적인 개인정보처리자(개인 외 법인 및 단체 등을 모두 포함)가
개인정보를 취급할 때 실질적으로 적용받는 compliance입니다.
많은 분들이 개인정보보호법을 말씀하시지만,
실제 법 적용은 본 위임행정규칙(개인정보의 안전성 확보조치 기준)에 따릅니다.
따라서 실무를 담당하는 분들은 넓게 보기위하여 개인정보보호법을 인지하셔야 하고, 실무상으로는 기준서를 참고하셔야 합니다.
오늘 첨부한 파일은 그 기준서와 해설서입니다. 꼭 내려받아서 공부하셔야겠습니다.
먼저 개인정보보호법 법령 구조를 살펴보겠습니다.
결국, 개인정보보호를 위한 최소한의 안전성 확보조치는 다음 8개의 항목을 준수하는 것으로 시작합니다.
-
내부관리계획의 수립 및 시행
-
접근 권한의 관리
-
접근통제
-
개인정보의 암호화
-
접속기록의 보관 및 점검
-
악성프로그램 등 방지
-
물리적 접근 방지
-
개인정보의 파기
위의 내용을 설명하는 것은 첨부파일을 공부하시는 것으로 대신하고, 현업에서 느낀 몇 가지 이슈에 대하여 설명드리겠습니다.
[ PC로 병원 업무를 처리하는 경우의 안전성확보조치는? ]
의원급 병원을 방문하였을 때 가장 많이 접하는 경우입니다.
대부분 PC로 병원 업무를 수행하고 있었는데, 개인정보보호법에 대한 막연한 두려움과 어려움을 갖고 있었습니다.
하지만 이전 블로그 게시글에서 볼 수 있듯이 상시근로자수가 5인 미만(원장 제외)이면서 PC만으로 병원 업무를 보고 있다면
안전성 확보조치 중 많은 부분이 줄어듭니다.
|
먼저 내부관리계획의 수립 의무가 경감됩니다. |
→ 기준서 제3조 제2항 |
|
또한 1인 1PC라면 접근 권한과 접속기록 관리 역시 비용을 들여 시스템을 설치하기보다 문서로 관리할 수 있습니다. |
→ 추적성(accountability) 및 무결성(integrity) 확보, 해설서 p.38, p.57 |
|
접근통제의 경우 PC에서 제공하는 침입차단 기능을 설정함으로써 해결할 수 있습니다. |
→ 기준서 제5조 제6항, 해설서 p.47 |
|
암호화는 PC의 상용프로그램(ex. 엑셀)에서 제공하는 비밀번호 설정 기능을 사용하여 암호화해도 무방합니다. |
→ 기준서 제6조 제7항, 해설서 p.55 |
|
악성프로그램을 차단하도록 일반적인 백신 프로그램을 설치하고 잠금장치가 있는 캐비넷을 운영하여 물리적 접근 방지 의무를 이행할 수 있습니다. |
|
[ 내부관리계획과 개인정보처리방침은 다른건가? ]
개인정보처리방침은 개인정보보호법 제30조(개인정보처리방침의 수립및공개)에 명시되어 있습니다.
정보주체를 보호하기 위한 여러 지침을 공개하도록 되어 있는데,
그 방법은 동법 시행령 제31조에 따라 인터넷 홈페이지에 게재하도록 되어 있습니다.
다만, 홈페이지 게재가 어려울 경우 사업장(병원) 등의 공개된 장소(정보주체의 접근이 용이한 로비 등)나
간행물/소식지/계약서 등에 지속적으로 알리는 방법이 있습니다.
개인정보처리방침의 주요 내용은 다음과 같습니다.
-
개인정보의 처리 목적
-
개인정보의 처리 및 보유 기간
-
개인정보의 제3자 제공에 관한 사항
-
개인정보처리의 위탁에 관한 사항
-
정보주체의 권리ㆍ의무 및 그 행사방법에 관한 사항
-
처리하는 개인정보의 항목
-
개인정보의 파기에 관한 사항
-
개인정보의 안전성 확보 조치에 관한 사항
한편, 내부관리계획은 개인정보처리자의 내부 규정이라 말할 수 있습니다.
이를 통하여 사업장(병원) 내부 개인정보취급자 전원이 동일한 개인정보보호 활동을 취할 수 있도록 강제한 전사적 규정입니다.
내부관리계획의 주요 내용은 다음과 같습니다.
-
개인정보 보호책임자의 지정에 관한 사항
-
개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
-
개인정보의 안전성 확보에 필요한 조치에 관한 사항
-
개인정보취급자에 대한 교육에 관한 사항
-
기타(수탁자 관리감독, 개인정보 침해대응 및 피해구제 등)
결론적으로 개인정보처리방침과 내부관리계획은 다르며, 따로 준비하셔야 합니다.
다만, 5인 미만의 사업장(병원)이라면 내부관리계획의 수립 의무는 없습니다.
(Cf. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(통상 정보통신망법)을 적용받는 사업장(정보통신서비스제공자)은 개인정보취급방침을 작성하여 공개해야 합니다.)
[ 수탁자의 의무? ]
개인정보처리자로부터 업무를 위탁받아 처리하는 수탁자 역시 위탁자와 동일한 개인정보의 안전성 확보 조치를 이행하여야 합니다. 이는 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리제한)에 나와있으며, 특히 제7항에 보면 위탁자와 동일한 법적
준용을 받고 있음을 알 수 있습니다.
따라서 수탁자라 하더라도 그 책임이 경감되는 것이 아님을 분명히 알고 있어야 합니다.
[ 개인정보보호 교육은 의무? ]
개인정보보호법 제28조(개인정보취급자에 대한 감독) 제2항에는 개인정보처리자에게 개인정보취급자에 대한 정기적인 필요 교육의 실시 의무를 부담지우고 있습니다. 또한 제31조(개인정보보호책임자의 지정) 제1항 제5호에서 개인정보보호책임자에게 교육 계획의 수립 및 시행 의무를 부담지우고 있습니다.
물론 내부관리계획에도 개인정보보호 교육에 관한 사항이 포함됩니다.
'자율점검-자가점검' 카테고리의 다른 글
| 2016년 자가점검(자율점검) 시작하기 (0) | 2016.07.20 |
|---|---|
| 자율점검, 그리고 자가점검 단상 (0) | 2016.07.19 |
| 보안서약서 (0) | 2016.04.19 |
| 2016년도 자율점검 대비를 위한 정기점검을 시작합시다. (0) | 2016.03.09 |
| 심평원 자율점검 미신청 의료기관의 핵심 준비 사항! (0) | 2016.02.04 |
