서브메뉴

회원서비스

  • 학생 및 교직원 로그인






본문내용

제 정 : 2012 년 8월 20일
제 정 : 2013 년 6월 12일

제1조 (목적)

충북대학교보건진료원(이하 "진료원")에서 수집·관리되는 고객의 개인정보를 안전하게 보호하고 이용·관리하고 고객의 권리를 보호함을 목적으로 한다.
제2조 (적용범위)

이 지침은 진료원이 개인정보를 처리하는데 있어서 "법", "개인정보보호법", 정보통신망이용촉진 및 정보보호 등에 관한 법률 등의 법령에 관련 규정에 있는 경우에는 해당 법률, 시행령, 시행 규칙이 규정하는 바에 의한다.
제3조 (개인정보보호책임자의 지정)

개인정보 보호법 제31조제1항 및 충북대학교 ‘12 ~ ’13년도 개인정보 보호 추진계획 수립시행에 의하여 진료원의 개인정보보호 및 보안 업무를 총괄 관리하고 시행하는 개인정보호보책임자를 진료원의 원장으로 한다.
제4조 (개인정보보호책임자의 업무)

① 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
   1. 개인정보 보호 계획의 수립 및 시행
   2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
   3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
   4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
   5. 개인정보 보호 교육 계획의 수립 및 시행
   6. 개인정보파일의 보호 및 관리·감독
   7. 개인정보 처리방침의 수립·변경 및 시행
   8. 개인정보 보호 관련 자료의 관리
   9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
제5조 (개인정보취급자의 역할 및 책임)

① 개인정보취급자란 진료원의 업무수행을 위해 개인정보를 처리하는 자
② 개인정보취급자의 주요업무는
   1. 개인정보 보호 활동 참여
   2. 내부관리계획의 준수 및 이행
   3. 개인정보의 기술적·관리적 보호조치 기준 이행
   4. 임직원 또는 제3자에 의한 위법·부당한 개인정보 침해행위에 대한 점검 등
   5. 기타 고객의 개인정보 보호를 위해 필요한 사항의 이행
제6조 (개인정보의 수집)

① 개인정보처리자가 정보추체로부터 개인정보를 수집하는 경우에는 정보주체의 동의를 얻어야 한다. 정보주체의 개인정보를 수집하는 경우는 다음과 같다.
   1. 진료신청서(종이)를 통한 정보 수집
   2. CS상의 진료를 위한 자동 정보 수집
   3. 학생건강검진 신청서(종이)를 통한 정보 수집
   4. 체성분검사 신청서(종이)를 통한 정보 수집
② 제1항의 규정에 의한 동의는 서면의 동의란에 대한 표시 등의 방법에 의한다.
제7조 (개인정보의 수집 제한 및 이용 · 제공 제한)

① 개인정보처리자는 정보주체의 개인정보를 수집하는 경우, 적법하고 공정한 수단에 의하여 서비스 제공에 직접적으로 관련되어 필요한 성명, 연락처 등 최소한의 정보만 수집 한다.
② 개인정보처리자는 개인정보를 제6조의 규정에 의한 범위에 명시한 범위를 넘어 이용하거나 제3자에게 제공하여서는 아니 된다. 다만, 정보주체의 동의가 있거나 다음 각 호의 1에 해당하는 경우에는 예외로 한다.
   1. 진료서비스의 확대
   2. 통계작성·학술연구 또는 시장조사를 위하여 필요한 경우
   3. 금융실명거래 및 비밀보장에관한법률, 신용정보의이용및보호에관한법률, 전기통신기본법, 전기통신사업법, 지방세법, 소비자보호법, 형사소송법 등 법률에 특별한 규정이 있는 경우
제8조 (개인정보 처리의 위탁)

① 개인정보처리자는 타인에게 개인정보의 수집·취급·관리 등을 위탁하는 경우에는 서면, 전자우편, 전화 또는 홈페이지를 통하여 미리 그 사실을 정보주체에게 고지하여야 한다.
② 개인정보처리자는 제1항의 규정에 의한 위탁 계약을 체결하는 때에는 수탁자와 다음 각 호의 사항을 합의하여 서면 또는 전자적 기록으로 보존하여야 한다.
   1. 기술적·관리적 보호의무
   2. 개인정보에 관한 비밀유지의 의무
   3. 처리하는 개인정보의 제3자 제공 금지
   4. 내부 규정에 의한 손해배상 책임
   5. 기타 개인정보를 안전하게 처리하기 위하여 필요한 사항
③ 개인정보처리자는 위탁 처리되는 개인정보가 안전하게 관리될 수 있도록 수탁자가 제2항 각호의 내용을 성실하게 이행하는지 여부에 대하여 위탁한 업무의 범위 내에서 적절한 감독을 행하여야 한다.
④ 제1항의 규정에 의하여 개인정보의 수집을 위탁 받은 자가 개인정보를 수집하는 때에는 미리 위탁 받은 사실을 정보주체에게 고지하여야 한다.
⑤ 제1항의 규정에 의하여 개인정보 수집·취급·관리 등을 위탁 받은 자는 개인정보를 위탁 받은 목적 외의 용도로 이를 이용하거나 제3자에게 제공하여서는 아니된다.
제9조 (기술적 보호조치)

① 개인정보에 대하여 분실, 도난, 누출 또는 훼손되지 않도록 안전성 확보를 위하여 아래와 같은 기술적 대책을 강구해야 한다.
   1. 업무수행에 필요한 최소한의 범위로 권한 차등 부여
   2. 방화벽 등 접근통제시스템 설치·운영
   (업무용 컴퓨터만을 이용해 개인정보 처리시, OS, 보안프로그램의 접근통제기능 이용)
   3. 개인정보가 안전하게 저장·전송될 수 있도록 하기 위한 암호화 등 조치
   (암호화 대상 : 고유식별정보, 비밀번호)
   4. 접속기록의 보관 및 위조·변조 방지를 위한 조치 (최소 6개월이상 보관)
   5. 보안프로그램의 설치 및 주기적인 갱신·점검 조치
   (백신소프트웨어 등 보안프로그램 설치, 자동 또는 일1회이상 업데이트)
② 정보보안을 위한 생활수칙을 의무화 한다.
   1. 자동업데이트가 가능한 백신 소프트웨어 설치 및 실시간 감시기능 사용
   2. 출처, 첨부파일이 의심스러운 E-mail은 열람하지 말고 삭제
   3. 운영체계(윈도우 등)에서 제공하는 자동업데이트 및 방화벽 기능 사용
   4. 패스워드는 영문, 숫자, 특수기호 등을 조합하여 유추가 어렵도록 설정하고 주기적으로 변경
   5. 개인 컴퓨터에 부팅, 로그인, 화면보호기의 패스워드를 설정하고 반드시 사용
   6. 공유폴더 사용은 최소화하고 필요할 경우 반드시 비밀번호를 설정하여 사용
   7. 웹사이트 방문 시 설치하는 프로그램은 인증서 및 디지털 서명을 참고하여 신뢰성 확인 후 설치
   8. 중요한 자료는 패스워드를 설정하여 저장하고 인터넷이 연결된 PC에 저장 금지
   9. 정품소프트웨어 사용
   10. 중요한 자료는 메일을 통해 주고받지 말고 불가피한 경우 첨부파일에 비밀번호 설정
제10조 (물리적 접근제한)

① 정보가 관리되는 자료보관실 등은 출입 통제시스템을 설치하여 출입을 제한한다.
② 종이문서 형태의 개인정보파일이 보관되는 곳은 잠금장치를 설치하여 출입 및 열람을 제한하도록 한다.
제11조 (개인정보의 파기)

① 개인정보처리자는 개인정보의 수집목적 또는 제공받은 목적을 달성한 때에는 개인정보를 지체없이 파기하여야 한다. 다만, 다음 경우에는 예외로 한다.
   1. 상법 등 법령의 규정에 의하여 보존할 필요성이 있는 경우
   2. 제6조의 규정에 의하여 보유기간을 미리 정보주체에게 고지하거나 명시한 경우
   3. 개별적으로 정보주체의 동의를 받은 경우
   4. 개인정보보호책임자의 보존기간 연장 승인을 득한 경우
② 제1항의 규정에 의하여 개인정보를 파기하는 때에는 다음 각 호의 방법에 의한다.
   1. 종이에 출력된 개인정보: 분쇄기로 분쇄하거나 소각
   2. 전자적 파일 형태로 저장된 개인정보: 기록을 재생할 수 없는 기술적 방법을 사용하여 삭제
제12조 (동의의 철회)

① 개인정보처리자는 정보주체가 방문하거나 서면, 전화, 전자우편, 전자서명 또는 이용자 ID등을 이용하여 개인정보의 수집, 이용 또는 제공에 대한 동의를 철회하는 경우에는 본인여부를 확인하고 법령에 다르게 규정하고 있는 경우를 제외하고는 진료원 개인정보를 파기하는 등 지체없이 필요한 조치를 취하여야 한다.
② 인터넷 홈페이지를 통하여 주된 서비스를 제공하는 개인정보처리자는 정보주체가 인터넷 홈페이지에서 자신의 개인정보에 대한 수집, 이용 또는 제공에 대한 동의를 철회할 있도록 필요한 조치를 취하여야 한다.
③ 개인정보처리자는 제1항의 규정에 의하여 정보주체의 동의철회에 따라 진료원 정보주체의 개인정보를 파기하는 등의 조치를 취한 경우에는 그 사실을 정보주체에게 지체없이 통지하여야 한다.
제13조 (열람 및 정정요구에 대한 조치)

① 서비스 제공자는 정보주체가 방문하거나 서면, 전화, 전자우편, 전자서명 또는 이용자 ID등을 이용하여 자신의 개인정보에 대한 열람 또는 정정을 요구하는 경우에는 본인 여부를 확인하고 지체없이 필요한 조치를 취하여야 한다.
② 개인정보처리자는 제1항의 규정에 의하여 정정 조치를 한 경우에는 그 사실을 지체없이 당해 정보주체에게 통지하여야 한다.
③ 개인정보처리자는 당해 개인정보의 전부 또는 일부에 대하여 열람 또는 정정을 거절할 정당한 이유가 있는 경우에는 정보주체에게 지체없이 통지하고 그 이유를 설명하여야 한다.
제14조 (자체감사 주기 및 절차)

년 1회 이상 개인정보책임자가 기간을 정하여 자체감사를 실시하도록 한다.
제15조 (자체감사 결과 반영)

① 개인정보책임자는 자체 감사결과를 바탕으로 도출된 미비점 개선사항에 대하여 즉시 반영하도록 한다.
   1. 부적합한 내용을 확인한다.
   2. 부적합한 원인을 측정하고, 시정 조치 및 예방 조치 대책을 마련한다.
   3. 기한을 정하여 마련된 조치를 시행한다.
   4. 시행된 시정 조치 및 예방 조치의 결과를 기록한다.
제16조 (개인정보보호 교육의 실시)

① 정보 보호 및 보안 교육과 훈련 대상은 개인정보와 서비스에 관련된 모든 직원 및 수탁자를 대상으로 한다.
② 정보 보호 및 보안 교육과 훈련은 정기적으로 실시하며, 정보보호정책이나 절차 및 역할의 변경이 있는 경우에는 수시로 실시한다.
1. 개인정보 취급자 서약서
2. 개인정보 위탁 사업자 서약서
3. 개인정보 열람 정정 삭제 처리 요구서
4. 위임장