"70년의 경험, 새로운 100년"
오랜 경험과 노하우를 보유한 국내 제일 신경과 병원입니다.
오랜 경험과 노하우를 보유한 국내 제일 신경과 병원입니다.
개인정보처리방침
> 개인정보처리방침
- [목적]
- 모든 환자 정보에 대해 허가되지 않은 공개, 변조, 유출, 파괴 등의 위험으로부터 보호하기 위해 필요한 사항을 정하기 위함이다.
- [용어의 정의]
-
- 개인정보: 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보를 말한다.
- 처리: 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다.
- 정보주체: 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
- 정보자산: 병원이 소유하고 있는 정보 및 정보시스템을 통칭하며, 정보시스템은 병원이 관리하는 모든 하드웨어, 소프트웨어, 네트워크가 포함된다.
- [정책 및 절차]
- 1. 개인정보보호 및 보안
- 가. 개인정보 취급 관리 및 개인정보 의무와 책임
- 1) 개인정보 보호책임자는 정보주체의 개인정보 보호를 위해 다음 각호의 업무를 수행 한다.
- 가) 개인정보 보호 계획의 수립 및 시행
- 나) 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
- 다) 개인정보 처리와 관련한 불만의 처리 및 피해 구제
- 라) 개인정보 유출 및 오용∙남용 방지를 위한 내부통제시스템의 구축
- 마) 개인정보 보호 교육 및 관리 감독
- 바) 개인정보파일의 보호 및 관리 감독
- 사) 개인정보보호법 제30조에 따른 개인정보 처리방침의 수립 및 변경 시행
- 아) 개인정보 보호 관련 자료의 관리
- 자) 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
- 2) 개인정보 보호책임자는 개인정보 보호와 관련하여 관련 법률에 의한 위반 사실을 알게 된 경우 즉시 개선조치를 해야 한다.
- 3) 개인정보 보호실무자의 업무 범위
- 가) 개인정보 보호를 위한 활동계획의 수립
- 나) 관련 정책 및 규정 수립의 지원
- 다) 교육 및 훈련
- 라) 관련 법령 및 규범 등에 대한 문서화 및 유지관리
- 마) 개인정보 보호 관련 불만 및 고충처리
- 바) 기타 개인정보 보호책임자의 지시에 따른 업무
- 4) 개인정보 취급자의 의무와 책임
- 가) 병원의 개인정보 보호 및 보안관련 정책의 준수 및 이행
- 나) 개인정보 기술적∙관리적 보호조치 기준 이행
- 다) 업무상 취득한 개인정보를 제3자에게 제공하지 않음
- 1) 개인정보 보호책임자는 정보주체의 개인정보 보호를 위해 다음 각호의 업무를 수행 한다.
- 나. 개인정보 보호 정책 및 법률과의 부합성
- 1) 개인정보 보호와 관련한 원내 규정 및 지침은 상위법(의료법, 개인정보 보호법 등)의 규정을 준수하며, 법령 개정 시 이를 반영한다.
- 2) 유관기관(행정자치부, 보건복지부 등)에서 법령을 기준으로 해석한 최신 가이드라인을 기준으로 세부 지침을 규정한다.
- 다. 교육훈련 지침
- 1) 개인정보보호 책임자 및 실무자
- 가) 개인정보 보호책임자 및 실무자는 개인 정보의 안전한 관리 및 처리를 위해 안전행정자 치부에서 주관하는 개인정보보안 교육을 연 1회 이상 수료한다.
- 나) 교육방법은 온라인 교육, 오프라인 교육 등이 모두 가능하다.
- 2) 개인정보 취급자
- 가) 모든 개인정보 취급자는 연 1회 이상 개인정보 보호 교육을 이수한다.
- 나) , 인트라넷 교육 등 다양한 방법을 활용하여 실시하도록 하고, 필요한 경우 외부 교육방법은 집체교육 뿐 아니라 조직의 환경을 고려하여 온라인 교육 전문기관이나 전문강사 에 위탁하여 교육을 실시한다.
- 다) 개인정보 보호를 위한 교육은 다음 각
- 라) 개인정보 교육 실행에 관한 사항은 개인정보 보호책임자가 계획 및 관리한다.
- 마) 호의 사항을 포함하여 시행한다.
- (1) 개인정보 보호의 일반 사항
- (2) 개인정보 보호 관련 법령 및 정책
- (3) 병원의 개인정보 보호 관련 규정 및 정책 등 직원 준수 사항
- (4) 환자 정보의 공개에 따른 원칙 및 준수사항
- (5) 기타 정보 보호와 관련하여 필요한 사항
- 1) 개인정보보호 책임자 및 실무자
- 라. 개인정보 보호 및 보안감사
- 1) 개인정보보호법 제29조(안전조치의무)에 의거하여 다음 각호의 사항을 포함하는 개인정보보호 자체 점검은 연 1회 실시한다.
- 가) 개인정보의 안전한 처리를 위한 내부 관리계획의 수립 및 시행
- 나) 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
- 다) 개인정보를 안전하게 저장∙전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
- 라) 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조∙변조 방지를 위한 조치
- 마) 개인정보에 대한 보안프로그램의 설치 및 갱신
- 바) 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
- 2) 개인정보 보호책임자는 자체 점검 결과와 개선계획을 수립하여 병원장과 이사장에게 보고한다.
- 3) 보고된 결과는 게시판을 통해 해당부서 및 전체 직원에게 공지하여 개인정보보호 안전성 확보에 최선을 다한다.
- 1) 개인정보보호법 제29조(안전조치의무)에 의거하여 다음 각호의 사항을 포함하는 개인정보보호 자체 점검은 연 1회 실시한다.
- 마. 개인정보 외부위탁관리 지침
- 1) 환자 개인정보 처리업무를 위탁하는 경우 아래 사항이 포함된 표준 개인정보처리위탁계약서 및 정보보호 서약서를 작성한다.
- 가) 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
- (1) 개인정보의 기술적∙관리적 보호조치에 관한 사항
- (2) 위탁업무의 목적 및 범위
- (3) 재 위탁 제한에 관한 사항
- (4) 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
- (5) 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
- (6) 개인정보보호법 제26조 제2항에 따른 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
- 가) 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
- 2) 위탁업무 등의 공개
- 가) 개인정보처리업무를 위탁 받아 처리하는 수탁자를 정보주체가 확인할 수 있도록 공개해야 한다.
- 나) 정보의 공개 방법은 다음 중 한 가지 이상을 적용한다.
- (1) 병원 홈페이지
- 3) 수탁자 교육 및 감독
- 가) 수탁자에 의해 개인정보 분실, 도난, 유출, 변조, 훼손되지 않도록 관리한다.
- 나) 수탁자는 개인정보보호법, 보건복지부 개인정보 보호 기본지침을 준수해야 한다.
- 다) 수탁자가 위탁 받은 업무와 관련하여 개인정보 처리과정에서 개인정보보호법을 위반하여 발생한 손해배상 책임에 대해서는 수탁자를 의료기관 소속 직원으로 간주한다.
- 1) 환자 개인정보 처리업무를 위탁하는 경우 아래 사항이 포함된 표준 개인정보처리위탁계약서 및 정보보호 서약서를 작성한다.
- 가. 개인정보 취급 관리 및 개인정보 의무와 책임
| 외부 위탁업체 | 위탁 업무의 내용 | 위탁 개인정보 | 개인정보 보유기간 |
|---|---|---|---|
| SCL (재) 서울의과학연구소 | 혈액검사, 소변검사, 검체검사 | 이름, 병록번호, 생년월일 | 위탁계약 종료 시 까지 |
| ㈜인피니트헬스케어 | 의료영상정보시스템 관리 | 환자정보(Database), 의료정보영상 | |
| 이온엠 | 의료정보시스템관리 및 프로그램 개발 | 환자정보(Database), 진료기록 등 | |
| JS정보통신 | CRM | 이름, 전화번호 |
