1. 관련근거 : 행정안전부 고시 제2017-2호 (2017. 7. 31.)

1. 관련근거 : 행정안전부 고시 제2017-2호 (2017. 7. 31.)
                  대한병원협회 전산정보 제 2018.10 (2018. 7. 31.)

2. 본회는 2016년 10월 행정안전부로부터 병원급「의료기관 개인정보보호 자율규제 단체」로 지정 받아 지난

   7월 부터 11월까지 자율점검을 실시 하였습니다.

3. 위와 관련, 2018년 개인정보보호 자율점검을 마감을 안내해 드리며, 미처 자율점검 관련 서류를 제출하지

   못한 병원에서는 11월30일(금) 까지 '자율규제 규약 동의서' 및 '자율점검표'를 회신하여 주시기 바랍니다.

4. 미회신 시에는 행정안전부가 지원하고 있는 <자율점검 참여병원 인센티브> 를 받으실 수 없습니다.

      가. 자율점검 실시
             ○ 대상 : 본회 정회원 병원 중 자율점검 미 실시 병원
             ○ 회신기한 : 2018년 11월 30일(금) 까지
             ○ 회신자료 : 자율규제 규약 동의서(붙임2) 및 자율점검표(붙임3)
               - 회신방법 : 이메일 (privacy@kha.or.kr)
             ○ 문의 : 전산정보팀 02-705-9237, 9238

 
<자율점검 참여병원 인센티브>
    ○ 자율점검 평가 결과 우수 포상
    ○ 행정안전부 개인정보 보호 실태조사에 대한 현장점검 대상에서 제외
    ○ 개인정보보호법 위반에 대한 과태료 경감
   ※ 자율규제규약에 따라 자율점검 성실 이행* 및 개선계획을 추진한 회원병원에 제공
     * 자율점검 성실 이행 : 자율규제 규약에 동의 하고 자율점검표를 거짓 없이 작성 하고
       본회 회신, 개선 필요 사항에 대해 개선계획(기간 등)을 명확히 명시하여 추진
--------------------------------------------------------------------

개인정보 보호 자율규제 규약(병원급 의료기관)2018. 07.
- 1 -
▶관련규정
① 개인정보 보호법 제5조제3항, 제13조제2호, 제4호 및 제5호
② 개인정보 보호법 시행령 제14조
③ 개인정보보호 자율규제단체 지정 등에 관한 규정(이하‘자율규제단체지정 규정’이라 한다)
(행정안전부고시 제2017-2호)
①“개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여
개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른
정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
②"정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는
사람을 말한다.
③“회원사”란「의료법」제3조제2항 제3호에 따른 병원급 의료기관 중 병원협회에 가입한
병원, 요양병원, 종합병원을 말한다.
④“의료인”이란 보건복지부장관의 면허를 받은 의사․치과의사․한의사․조산사 및 간호사를
말한다.
⑤“진료정보”란 진료를 목적으로 수집하여 처리하는 개인정보가 포함된 정보로 진료기록부,
수술기록부, 조산기록부, 간호기록부, 환자명부 등으로 관리되는 정보를 말하고, 사망한 자의
진료정보도 포함한다.
⑥“개인정보의 처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집,
검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다.
⑦“개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로
개인정보 보호 자율규제 규약
2017. 2. 23. 제정
2018. 07. 19. 개정
제1장 총칙
1. 목적
이 규약은 관련규정에 따라 대한병원협회(이하“병원협회”라 한다)와 그 회원사가
수행하는 개인정보 보호 및 자율규제 활동에 관한 사항을 정함으로써 회원사의 개인정보
보호 수준을 제고하고 개인정보 관련 분쟁을 예방하기 위한 내용을 정함을 그 목적
으로 한다.
2. 용어의 정의
이 규약에서 사용하는 용어의 뜻은 다음과 같다.
- 2 -
① 처리목적의 명확화 원칙
회원사는 개인정보의 처리 목적을 명확하게 하여야 함
② 최소수집의 원칙
회원사는 개인정보의 처리 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게
수집하여야 함
③ 적법한 수집 원칙
회원사는 개인정보를 적법하고 정당하게 수집하여야 함
④ 목적 외 이용금지 원칙
회원사는 처리목적에 직접적으로 필요한 범위 내에서 적합하게 개인정보를 처리하여야 하며
그 목적 외의 용도로 활용하지 않아야 함
⑤ 정확성의 원칙
회원사는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이
보장되도록 하여야 함
⑥ 안전성의 원칙
회원사는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과
배열하거나 구성한 개인정보의 집합물을 말한다.
⑧“영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을
촬영하거나 이를 유․무선망을 통하여 전송하는 일체의 장치로써 개인정보 보호법 시행령
제3조에 따른 폐쇄회로 텔레비전(CCTV) 및 네트워크 카메라를 말한다.
⑨“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는
다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
⑩“개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서
책임지거나 업무처리를 최종적으로 결정하는 자로서, 개인정보 보호법(이하 “법”이
라 한다) 제31조(개인정보 보호책임자의 지정)에 따른 지위에 해당하는 자를 말한다.
⑪“개인정보취급자”란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를
담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에
의해 개인정보에 접근하여 처리하는 모든 자를 말한다.
⑫“내부관리 계획”이란 회원사의 개인정보를 안전하게 처리하기 위하여 내부 의사결정
절차를 통하여 수립․시행하는 내부 기준을 말한다.
⑬“자율규제 협의회”란「개인정보보호 자율규제단체 지정 등에 관한 규정」제4조에 따라
행정안전부장관이 자율규제단체 지정 등에 관한 업무를 위하여 구성・운영하는 협의회를
말한다.
3. 개인정보 보호 원칙
병원협회와 회원사는 다음의 원칙을 준수하면서 개인정보 보호 관련 업무 및
활동을 한다.
- 3 -
그 위험 정도를 고려하여 그에 상응하는 적절한 관리적·기술·물리적 보호조치를 통하여
개인정보를 안전하게 관리하여야 함
⑦ 공개의 원칙
회원사는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 함
⑧ 정보주체 권리 존중의 원칙
회원사는 열람청구권, 정정·삭제요구권, 처리정지요구권 등 정보주체의 권리를 보장하여야 함
⑨ 사생활 침해 최소화의 원칙
회원사의 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 함
⑩ 익명처리의 원칙
회원사는 개인정보를 적법하게 수집한 경우에도 익명에 의하여 업무 목적을 달성할 수
있으면 개인정보를 익명에 의하여 처리될 수 있도록 하여야 함
⑪ 책임의 원칙
회원사는 개인정보 보호 관련 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써
정보주체의 신뢰를 얻기 위하여 노력하여야 함
▶ 개인정보 보호와 관련한 구체적이고 실제적인 규범은「의료법」,「개인정보 보호법」,
「정보통신망 이용촉진 및 정보보호에 관한 법률」,「모자보건법」 등 개인정보 보호 관련
법령에 따름.
4. 관련 법령의 준수
이 규약은 병원협회와 회원사 사이의 개인정보 보호 활동 의지를 확인하고 자율
규제 활동을 통하여 이를 실현하고자 하는 약속으로서의 효력을 지닌다. 이 규약
에서 정하고 있지 않은 회원사의 개인정보 보호 활동에 대해서는『의료법』,
『개인정보 보호법』등 개인정보 보호 관련 법령이 정하는 바에 따른다.
5. 자율규제단체
가. 자율규제단체의 지위 및 역할
회원사는 병원협회가「자율규제단체지정 규정」에 따른 자율규제단체임을 확인하며,
병원협회는 자율규제단체로서 회원사를 대상으로 다음과 같은 업무를 수행한다.
① 개인정보 보호 교육 및 홍보 활동
② 개인정보 보호 자율규제 규약의 제·개정
③ 개인정보 자율점검 및 컨설팅
④ 개인정보 보호 관리 시스템의 설치 및 운영
⑤ 그 밖의 개인정보 보호에 관한 업무
- 4 -
나. 보고의무
병원협회는 년 1회 개인정보보호 자율규제 수행 결과를 자율규제 협의회에
보고하여야 한다.
다. 자율점검의 실시
① 병원협회는 회원사의 개인정보 처리 실태를 점검하고 미흡한 점을 개선하도록
지도할 수 있다.
② 병원협회는 회원사의 실태점검을 하기 최소 1개월 전에 회원사가 스스로 개인정보
처리 실태를 점검할 수 있도록 「표준 자율점검표」를 마련하여 배포하여야 한다.
③ 실태점검은 인력 및 비용 등을 고려하여 병원협회에 가입한 회원사를 우선적으로
실시할 수 있다.
라. 자율점검에 따른 포상 등
① 『개인정보보호 자율규제단체 지정 등에 관한 규정』제15조(수행계획에 따른 결과의
평가 등) ②에 따라 평가 결과가 우수한 회원사는 행정안전부장관 포상을 받을 수 있다.
② 소속 회원사가 자율규제 규약의 자율점검을 수행하고 개선사항을 성실하게 추진
하는 경우 해당 회원사는 법 제63조 개인정보 관련 실태 점검 대상에서 제외되는
등 혜택을 받을 수 있다.
6. 회원사의 권리
회원사는 개인정보 보호 자율규제 활동의 참여 여부에 관하여 자율적으로 선택할 수 있다.
7. 자율규제 규약
① 행정안전부 개인정보보호 자율규제 협의회의 검토와 병원협회 상임이사회의 승
인을 득하여 본 규약을 제정 및 개정할 수 있다.
② 병원협회는 회원사가 이 규약을 준수하도록 개선지도·권고(규약 동의, 자율점검 등) 등
필요한 조치를 할 수 있으며, 이에 응하지 않는 경우 회원사 자율규제 규약 동의를
철회 할 수 있다.
③ 회원사는 개인정보 보호 활동을 하며 이 규약을 준수하도록 노력해야 한다.
④ 본 규약은 병원협회 자체적인 자율규제를 할 수 있는 실무 참고자료로써, 법률적
검토와 실행은 개인정보보호법령과 지침을 우선 적용하여야 한다.
- 5 -
제2장 개인정보 처리단계별 조치기준
1. 개인정보의 수집·이용
회원사는 최소수집의 원칙에 따라 목적에 필요한 최소한의 개인정보를 수집하여야 하며,
그 수집목적의 범위에서 이용하여야 한다. 필요한 최소한의 개인정보에 관한 입증책임은
회원사가 진다.
가. 개인정보 수집·이용 요건
1) 회원사는 다음 중 어느 하나에 해당하는 경우에 개인정보를 수집할 수 있으며
그 수집 목적의 범위에서 이용할 수 있다.
○ 정보주체의 동의를 받은 경우
* 이 경우 회원사는 정보주체에게 다음 사항을 고지하여야 한다.
① 개인정보의 수집·이용 목적 (예 : 병적 조회, 진료기록 작성 등)
② 수집하려는 개인정보의 항목 (예 : 성명, 주소, 연락처, 생년월일 등)
③ 개인정보의 보유 및 이용 기간
(예 : 의료법 시행규칙에 따라 환자명부는 5년, 진료기록부는 10년간 보유함)
④ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는
그 불이익의 내용
▶ 동의를 서면(전자문서 포함)으로 받을 경우 중요한 내용*은 글씨 크기 최소 9pt 이상, 다른 내용
보다 20퍼센트 이상 크게 하고, 색깔, 굵기 또는 밑줄 등을 통하여 명확히 표시되도록 하여
고객이 쉽게 알아볼 수 있도록 하여야 한다. (동의 사항이 많아 중요한 내용이 명확히 구분되기
어려운 경우 중요한 내용을 다른 내용과 별도로 구분하여 표시)
* 1) 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인
정보를 이용하여 정보주체에게 연락할 수 있다는 사실
2) 처리하는 개인정보 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호
3) 개인정보의 보유 및 이용 기간
▶ 이 중 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
▶ 위반 시, 3천만원 이하의 과태료가 부과 (법 제75조)
○ 법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우
○ 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
○ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명
등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의
급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
○ 회원사의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의
권리보다 우선하는 경우
- 6 -
* 이 경우 회원사의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과
하지 아니하는 경우에 한한다.
- 회원사 근로자인 의료인 또는 직원의 징계, 각종 소청 또는 소송의 제기 및
진행 등을 위하여 증빙자료를 조사하고 확보하는 경우
나. 개인정보의 수집 제한과 입증책임
1) 회원사는 개인정보를 수집하는 경우 최소수집 원칙에 따라 개인정보를 수집하
여야 하며, 그 입증책임은 해당 개인정보를 수집한 회원사가 부담한다.
2) 회원사는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의
정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로
알려야한다.
3) 회원사는 필요 최소한의 개인정보 외의 수집에 동의하지 아니한다는 이유로
정보주체에게 서비스 제공을 거부해서는 안 된다.
다. 고유식별정보·민감정보의 처리 제한
1) 본 항에서의 ‘고유식별정보’란 여권번호, 운전면허번호, 외국인등록번호를 말하며,
‘민감정보’란 사상·신념, 정치적 견해, 건강, 성생활 및 개인정보 보호법 시행령에
따른 유전정보 및 범죄경력 등 정보주체의 사생활을 현저히 침해할 우려가 있는
개인정보를 말한다.
2) 회원사는 다음 중 하나에 해당하는 경우 고유식별정보·민감정보를 처리할 수 있다.
① 정보주체에게 다른 개인정보의 처리와 별도로 동의를 받은 경우
② 법령에서 구체적으로 처리를 요구하는 경우
라. 주민등록번호의 처리 제한
1) 회원사는 다음 중 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를
처리할 수 없다.
① 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회 규칙 및 감사원
규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우*
② 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고
인정되는 경우
* 의료법 시행령 제42조의2, 의료법 제17조제1항 및 시행규칙 제9조, 제12조,
제14조 등
- 7 -
2) 회원사는 주민등록번호를 보관할 시 암호화 조치를 통하여 안전하게 보관하여야
한다. 암호화 조치를 어긴 경우 5천만 원 이하의 과태료가 부과된다.
마. 금지되는 개인정보의 수집·이용
1) 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에
관한 동의를 받는 행위를 하는 경우, 3년 이하의 징역 또는 3천만 원 이하의
벌금이 부과된다.
2. 개인정보 제3자 제공
개인정보는 정보주체의 동의를 받은 경우, 법령에서 정한 개인정보 수집목적 범위 내에서
제3자에게 제공할 수 있다.
가. 제3자 제공 요건
1) 회원사는 다음의 경우 중 어느 하나에 해당하는 경우 정보주체의 개인정보를
제3자에게 제공할 수 있다.
○ 정보주체의 동의를 받은 경우 및 목적 외의 용도로 제3자에게 제공하는 경우
* 이 경우 회원사는 정보주체에게 다음 사항을 고지하여야 한다.
① 개인정보를 제공받는 자
② 개인정보를 제공받는 자의 개인정보 이용 목적
③ 제공하는 개인정보의 항목
④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는
그 불이익의 내용
▶ 동의를 서면(전자문서 포함)으로 받을 경우 중요한 내용*은 글씨 크기 최소 9pt 이상, 다른 내용
보다 20퍼센트 이상 크게 하고, 색깔, 굵기 또는 밑줄 등을 통하여 명확히 표시되도록 하여
고객이 쉽게 알아볼 수 있도록 하여야 한다. (동의 사항이 많아 중요한 내용이 명확히 구분되기
어려운 경우 중요한 내용을 다른 내용과 별도로 구분하여 표시)
* 1) 처리하는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호
2) 개인정보를 제공받는 자의 보유 및 이용 기간
3) 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적
▶ 이 중 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
▶ 위반 시, 5천만 원 이하의 벌금 부과 (법 제71조)
○ 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우*
* 다만, 법령상 의무 준수하기 위해 불가피한 경우에는 개인정보 수집 목적
범위 내에서만 가능
- 8 -
- 「의료법」제21조(기록열람 등) 제3항 요건을 부합하는 경우에 한하여만 환자
에 관한 기록을 제3자에게 열람하게 하거나 사본을 교부할 수 있다.
○ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소
불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의
급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
나. 고유식별정보·민감정보의 처리 제한
1) 본 항에서의 ‘고유식별정보’란 여권번호, 운전면허번호, 외국인등록번호를 말하며,
‘민감정보’란 사상·신념, 정치적 견해, 건강, 성생활 및 개인정보 보호법 시행령
에 따른 유전정보 및 범죄경력 등 정보주체의 사생활을 현저히 침해할 우려가
있는 개인정보를 말한다.
2) 회원사는 다음 중 하나에 해당하는 경우 고유식별정보·민감정보를 처리할 수 있다.
① 정보주체에게 다른 개인정보의 처리와 별도로 동의를 받은 경우
② 법령에서 구체적으로 처리를 요구하는 경우
다. 주민등록번호의 처리 제한
1) 회원사는 다음 중 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를
처리할 수 없다.
① 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회 규칙 및 감사원
규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우*
② 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고
인정되는 경우
* 의료법 시행령 제42조의2, 의료법 제17조제1항 및 시행규칙 제9조, 제12조,
제14조 등
2) 회원사는 주민등록번호를 보관할 시 암호화 조치를 통하여 안전하게 보관하여야
한다. 암호화 조치를 어긴 경우 5천만 원 이하의 과태료가 부과된다.
라. 금지되는 개인정보 제공 행위
1) 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공
하는 행위는 5년 이하의 징역 또는 5천만 원 이하의 벌금이 부과된다.
- 9 -
<개인정보 처리 위탁 계약서 기재사항>
① 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
② 개인정보의 기술적·관리적 보호조치에 관한 사항
③ 위탁업무의 목적 및 범위
④ 재위탁 제한에 관한 사항
⑤ 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
⑥ 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
⑦ 법 제26조제2항에 따른 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등
책임에 관한 사항
<인터넷 이외의 방법에 의한 위탁업무 공개방법>
① 위탁자의 사업장․영업소․사무소․점포 등(이하 “사업장 등”이라 한다)의 보기 쉬운 장소에
게시하는 방법
② 관보나 위탁자의 사업장 등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는
「신문 등의 진흥에 관한 법률」제2조제1호가목·다목 및 같은 조 제2호에 따른 일반일간
신문, 일반주간신문 또는 인터넷신문에 싣는 방법
③ 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는
청구서 등에 지속적으로 싣는 방법
④ 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주
체에게 발급하는 방법
3. 개인정보 처리 업무위탁
회원사는 개인정보의 처리 업무를 제3자에게 위탁하는 경우에는 문서로 하여야 하며,
위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자를 정보주체가
언제든지 쉽게 확인할 수 있도록 공개하여야 한다.
가. 위탁 방법
1) 회원사에서 정보주체 개인정보 처리업무(예 : 진료 신청서 처리사무, 진료비 수납사무,
연말정산사무, 각종 증명서 발급사무 등)를 위탁하는 경우 아래 사항이포함된문서로하여야함
나. 위탁업무 등의 공개
1) 개인정보처리업무를 위탁하는 회원사는 개인정보처리업무를 위탁받아 처리하는
수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 홈페이지에 ‘개인정보
처리방침’으로 지속적으로 게재하여야 함
2) 인터넷 홈페이지에 게재할 수 없는 경우에는 다음의 방법 중 어느 하나 이상의
방법으로 위탁하는 업무의 내용과 수탁자를 공개하여야 함
- 10 -
* 통지사항
- 개인정보를 이전하려는 사실
- 개인정보를 이전받는 자(영업양수자 등)의 성명(법인의 경우에는 법인의 명칭을
말한다), 주소, 전화번호 및 그 밖의 연락처
- 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차
* 통지방법
영업양도 등에 따라 개인정보 이전 사실을 아래의 방법으로 통지하여야 함
- 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법
다. 수탁자 교육 및 감독
1) 개인정보처리업무를 위탁한 회원사는 수탁자에 대하여 개인정보가 분실・도난・
유출・변조・훼손되지 않도록 교육하여야 함
2) 개인정보처리업무를 위탁한 회원사는 수탁자가 ‘개인정보 보호법과 시행령, 보건
복지부 개인정보 보호 기본지침’에 따라 준수하고 있는지 감독하여야 함
라. 손해배상 책임
1) 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에 개인정보 보호법을
위반하여 발생한 손해배상 책임에 대하여는 수탁자를 회원사의 소속직원으로 간주함
4. 영업의 양도
영업양도, 합병 등으로 다른 회원사에 정보주체의 개인정보를 이전할 때에는 영업양도
자는 해당 정보주체에게 알려야 하며, 개인정보를 이전받은 회원사는 이전 당시의 본래
목적으로만 개인정보를 이용할 수 있다.
1) 영업양도, 합병 등으로 정보주체의 개인정보를 다른 회원사에게 이전하여야 하는 때에는
개인정보를 이전하기 전에 해당 정보주체에게 다음의 사항을 통지하여야 함
○ 정보주체가 최소한 이전 사실을 확인하고 회원탈퇴, 동의철회 등의 권리를 행사
할 수 있는 시간적 여유를 주어야함
2) 회원사는 영업양도 등에 따라 개인정보 이전 사실을 통지하여야 함
3) 개인정보를 이전받은 회원사는 정보주체에게 개인정보의 이전사실 등을 개인정보를
이전받은 후 지체 없이 통지*하여야 함
○ 회원사가 개인정보의 이전사실 등을 이미 알린 경우에는 통지하지 않아도 됨
- 11 -
<영상정보처리기기 설치․운영 사유>
① 법령에서 구체적으로 허용하고 있는 경우
② 범죄의 예방 및 수사를 위하여 필요한 경우
③ 시설안전 및 화재 예방을 위하여 필요한 경우
④ 교통단속을 위하여 필요한 경우
⑤ 교통정보의 수집․분석 및 제공을 위하여 필요한 경우
- 개인정보를 이전하려는 의료기관이 과실 없이 서면 등에 따른 방법으로 통지사항을
정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상
게재하여야 함
- 다만, 인터넷 홈페이지를 운영하지 아니하는 의료기관은 사업장 등의 보기 쉬운
장소에 30일 이상 게시하여야 함
- 개인정보를 이전받은 의료기관은 환자 등 정보주체에게 개인정보의 이전사실 등
을 개인정보를 이전받은 후 지체 없이 통지하여야 함
4) 개인정보를 이전받은 회원사는 영업의 양도·합병 등으로 개인정보를 이전받은
경우, 이전 당시의 본래 목적으로만 개인정보를 이용할 수 있으며, 「개인정보 보호법」의
개인정보처리자로서의 권리와 의무를 짐
○ 영업의 양도, 합병 당시의 처리 목적과 다른 용도로 개인정보를 이용하고자 하는
경우에는 정보주체로부터 별도로 동의를 받아야 함
5. 영상정보처리기기의 설치․운영
회원사가 영상정보처리기기(CCTV, 네트워크 카메라)를 설치․운영하고자 할 때에는 개인의
사생활이 침해되지 않도록 영상정보처리기기를 최소한으로 설치․운영하여야 한다.
가. 영상정보처리기기 설치․운영 제한
1) 공개된 장소에서 영상정보처리기기 설치는 원칙적으로 금지되지만, 예외적으로
다음의 사유에 해당하는 경우에는 설치할 수 있음
2) 목욕실, 화장실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의
내부를 볼 수 있도록 하는 영상정보처리기기 설치․운영은 금지됨
나. 영상정보처리기기 임의조작․녹음 금지
1) 영상정보처리기기는 설치목적과 다른 목적으로 임의로 조작하거나 다른 곳을
비추거나 녹음기능을 사용하는 것은 금지됨
다. 영상정보처리기기 설치 시 의견수렴 절차 실시
1) 공공기관이 공개된 장소 및 교도소·정신보건시설 등 대통령령으로 정한 장소에
- 12 -
<개인영상정보 이용 및 제3자 제공의 허용>
① 정보주체의 별도의 동의를 얻은 경우
② 다른 법률에 특별한 규정이 있는 경우
③ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로
사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체,
재산의 이익을 위하여 필요하다고 인정되는 경우
④ 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는
형태로 개인영상정보를 제공하는 경우
영상정보처리기기를 설치·운영하려는 경우에는 다음의 절차 중 하나를 거쳐 관
계 전문가 및 이해관계인의 의견을 수렴해야 함
○「행정절차법」에 따른 행정예고의 실시 또는 의견청취
○ 해당 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로
하는 설명회, 설문조사 또는 여론조사
2) 법에 따른 교정시설이나 정신의료기관 등 개인 사생활 침해우려 장소에 영상정보처리기기를
설치·운영하려는 자는 다음의 사람들로부터 모두 의견을 수렴하여야 함
○ 관계 전문가
○ 해당 시설에 종사하는 사람, 해당 시설에 구금되어 있거나 보호받고 있는 사람
또는 그 사람의 보호자 등 이해관계인
라. 안내판 설치를 통한 설치․운영 사실 공개
1) 회원사가 공개된 장소에 영상정보처리기기를 설치․운영할 때 정보주체가 쉽게
알아 볼 수 있도록 안내판을 설치하여야 함
마. 영상정보처리기기 운영․관리 방침
1) 영상정보처리기기를 운영하는 회원사는 영상정보처리기기 운영․관리 방침을
수립하여 홈페이지, 게시판 등에 공개하여야 함
2) 영상정보처리기기를 운영하는 회원사는 개인영상정보 처리에 관한 업무를 총괄
하여 책임질 ‘개인영상정보 관리책임자’를 지정하여야 함
바. 영상정보의 목적 외 이용․제공 제한 및 보관․파기 철저
1) 영상정보처리기기를 운영하는 회원사는 다음의 사유에 해당하는 경우를 제외하고
개인영상정보를 수집목적 이외로 이용하거나 제3자에게 제공하는 것은 금지됨
- 13 -
⑤ 개인영상정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른
법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 개인정보 보호위원회의 심의・
의결을 거친 경우
⑥ 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여
필요한 경우
⑦ 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
⑧ 법원의 재판업무 수행을 위하여 필요한 경우
⑨ 형(形) 및 감호, 보호처분의 집행을 위하여 필요한 경우
※ ⑤~⑨번은 공공회원사에 한함
2) 영상정보처리기기를 운영하는 회원사는 영상정보 보유목적 달성을 위한 특별한
기간 산정이 곤란한 때에는 영상정보의 보관기간은 개인영상정보 수집 후 30일
이내로 하고, 이 기간이 종료한 때에는 파기하여야 함
사. 영상정보처리기기의 설치․운영 위탁 시 관리․감독 철저
1) 영상정보처리기기를 운영하는 회원사는 영상정보처리기기의 설치․운영에 관한 사무를
위탁할 수 있으며, 이 경우 개인정보 처리업무 위탁에 관한 규정을 준수하여야 함
아. 개인영상정보 열람․존재확인․파기 청구권 보장
1) 영상정보처리기기를 운영하는 회원사는 정보주체로부터 개인영상정보의 열람,
존재확인 또는 파기를 요청받은 경우 지체 없이 필요한 조치를 취해야 함
○ 다만, 의료인 폭행 등과 같이 정보주체의 요구를 거부할 만한 정당한 사유가 존재하는
경우에는 거부사유를 10일이내에 서면으로 정보주체에게 통지하고 열람 등 거부
자. 개인영상정보의 안전성 확보 조치 및 자체 점검 실시
1) 영상정보처리기기를 운영하는 회원사는 개인영상정보가 분실․도난․유출․변조
또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 하여야 함
2) 한편, 영상정보처리기기를 운영하는 보건복지부 소관 회원사는 「보건복지부
개인정보 보호 기본지침」준수 여부에 대한 자체점검을 통해 개인영상정보의 침
해 방지를 위해 노력하여야 함
6. 개인정보파일의 등록(공공 회원사에만 적용)
공공 회원사가 개인정보파일을 운용하기 위해서는 행정안전부에 등록하여야 하며,
변경한 경우에도 같다.
- 14 -
1) 개인정보파일의 등록․변경등록은 개인정보 보호책임자가 행정안전부에 등록하여야 함
2) 개인정보파일의 등록․변경등록은 개인정보취급자의 신청을 받은 개인정보 분야별
책임관이 소속 기관의 개인정보 보호책임자에게 신청하여야 함
3) 개인정보파일의 등록․변경등록 신청을 받은 개인정보 보호책임자는 등록․변경
등록 사항을 검토하고, 그 적정성을 판단하여야 하며, 해당 개인정보파일을 운용
하기 시작한 날부터 60일 이내에 행정안전부에 등록․변경등록을 하여야 함
○ 다만, 개인정보파일 등록 시 보건복지부에 사전에 보고하고 확인을 받아야 함
4) 개인정보파일을 등록․변경등록하기 위하여서는 ‘개인정보 파일 등록․변경등록 신청서’
를 작성하여 신청하고, 등록한 개인정보파일을 보유하는 경우에는 1개의 개인정보파일
에 1개의 개인정보파일대장을 작성하여 관리하여야 함
7. 개인정보의 안전성 확보조치
회원사는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부관리 계획 수립,
접속기록 보관 등 안전성 확보에 필요한 조치를 하여야 한다.
가. 원칙
사업자는 처리하는 개인정보가 분실‧도난‧유출‧변조 또는 훼손되지 아니하도록 안전성
확보에 필요한 관리적‧물리적 및 기술적 안전조치를 하여야 한다. 이 규약에서 제시된
안전조치 사항은 최소한의 기준을 정한 것으로서 사업자의 규모 및 유형, 개인정보
보유량 등을 고려하여 스스로의 환경에 맞는 안전조치 기준을 수립하여 시행하여야
한다.
나. 적용 기준
개인정보의 안전성 확보조치는 사업자의 규모 및 유형, 개인정보 보유량에 따라 필수적
으로 적용해야 하는 항목이 서로 다르므로, 각 사업자는 아래의 표를 참조하여 어떤
유형에 속하는지를 우선 파악한 후 필요한 안전조치를 적용하여야 한다.
===
- 16 -
<비밀번호 작성규칙>
① 비밀번호 최소길이
- 최소10자리 : 영대문자(A~Z), 영소문자(a~z), 숫자(0~9), 특수문자(32개) 중 2종류 이상의 조합
- 최소8자리 : 영대문자(A~Z), 영소문자(a~z), 숫자(0~9), 특수문자(32개) 중 3종류 이상의 조합
② 추측하기 어려운 비밀번호 사용
- 일련번호, 전화번호 등 쉬운 문자열이 포함되지 않도록 함
- 잘 알려진 단어, 키보드 상에 나란히 있는 문자열이 포함되지 않도록 함
- 사용자 ID와 동일한 비밀번호는 사용하지 않도록 함
③ 비밀번호의 주기적인 변경 및 동일한 비밀번호 사용 제한
- 비밀번호를 최소 6개월마다 변경하여 동일한 비밀번호를 장기간 이용하지 않도록 관리
- 2개의 비밀번호를 교대로 사용하지 않도록 함
④ 비밀번호 설정․변경할 때 입력값의 자리수와 조합을 체크하여 안전한 비밀번호 작성규
칙에 위배되는 경우, 법 위반을 알리고 작성규칙을 준수하도록 함
다. 비밀번호 관리
1) 개인정보취급자가 안전한 비밀번호를 설정할 수 있도록 이행 가능한 ‘비밀번호 작성규칙’
을 수립한 후, 개인정보처리시스템 및 접근통제시스템 등에 이를 적용하고 운영하여야 함
2) 비밀번호분실시, SMS 등을통해본인확인절차를거쳐, 비밀번호를재설정할수있도록하여야함
3) 일정 횟수 이상 비밀번호 입력 오류 시 계정 잠금을 통해 무작위 대입 공격(Brute
Force Attack) 등에 의한 비인가자의 로그인 시도를 차단하여야 하며, 잠금 해제
시에도 본인확인 절차를 마련하여 적용하여야 함
라. 접근통제 시스템의 설치․운영
1) 회원사는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위하여 침입차단
시스템(Firewall) 또는 침입방지시스템(IPS : Intrusion Prevention System) 등 접근
통제시스템을 설치하여 운영하여야 함
2) 회원사는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에
접속하려는 경우에는 가상사설망(VPN : Virtual Private Network) 또는 전용선 등
안전한 접속수단을 적용하여야함
3) 회원사는 개인정보가 저장된 업무용 컴퓨터에 해커 등 비인가자의 접근을 통제하
기 위해 상용 침입차단 프로그램 또는 업무용 컴퓨터 운영체제에서 제공되는 침입
차단 프로그램을 사용하여 불법적인 접근을 차단하여야 함
- 17 -
4) 회원사 내에서 업무용으로 무선네트워크를 사용할 경우, 무선 네트워크를 통한
내부망 침투, 개인정보처리시스템 접근 및 네트워크 도청 등 유선 네트워크에 비해
침해 가능성이 높으므로 이를 방지하기 위한 보안 조치 적용이 필요함
5) 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를
위하여 개인정보 취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동
으로 시스템 접속이 차단되도록 하여야 함
마. 개인정보 암호화
1) 고유식별정보, 비밀번호, 바이오정보 등과 같은 주요 개인정보가 암호화되지 않고
개인정보처리시스템에 저장되거나 네트워크를 통하여 전송될 경우, 유출․노출 및
위․변조 등의 위험이 있으므로 암호화 등의 안전한 보호조치가 제공되어야 함
2) 암호화대상 개인정보를 저장할 때 암호화를 적용하는 경우 ① 개인정보의 저장 현황,
② 개인정보의 저장에 따른 위험도 분석절차(또는 영향평가 절차) 및 방법, ③ 암호화
추진 일정 등이 포함된 “암호화계획”을 수립하여야 함
바. 접속기록의 보관 및 위․변조 방지
1) 개인정보취급자가 개인정보처리시스템에 접속한 기록은 최소 6개월 이상 위·변조
및 도난, 분실되지 않도록 안전하게 보관하여야 함
사. 보안 프로그램의 설치 및 운영
1) 회원사는 악성 프로그램 등을 방지․치료할 수 있는 백신 소프트웨어 등의 보안
프로그램을 설치․운영할 것
아. 개인정보의 안전한 보관을 위한 보관시설 등
1) 회원사는 원무실, 전산실, 의무기록실 및 그 밖의 문서보관실 등 개인정보를 보관
하는 장소에 대한 출입통제 계획을 마련하고 시행하여야 함
자. 전자의무기록의 안전한 관리․보존
1) 의료인이나 회원사의 개설자가 전자의무기록을 안전하게 관리․보존하기 위한
장비를 갖추어야 함
차. 개인정보 표시 제한 보호조치 적용(권고 사항)
- 18 -
회원사는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을
때에는 지체 없이 그 개인정보를 파기하여야 하고, 파기할 때에는 복구 또는 재생되지
아니하도록 조치하여야 한다.
1) 개인정보의 조회, 출력, 다운로드 시 업무상 불필요한 개인정보의 노출을 최소화할 수
있도록 개인정보의 일부분을 마스킹하여 표시제한 조치를 취하는 것이 바람직함
2) 이 경우, 상이한 마스킹 적용에 따른 완전한 개인정보 조합 가능성을 차단하기
위하여 회원사별로 마스킹 적용규칙을 수립하여 일관성을 유지하는 것이 필요함
타. 관리용 단말기의 안전조치
1) 회원사는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에
대해 다음과 같은 안전조치를 하여야 함
○ 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
○ 본래 목적 외로 사용되지 않도록 조치
○ 악성프로그램 감염 방지 등을 위한 보안조치 적용
파. 재해․재난 대비 안전조치
1) 회원사는 화재, 홍수, 단전 등의 재해․재난 발생 시 개인정보처리시스템 보호를
위한 위기 대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 함
2) 회원사는 재해․재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을
마련하여야 함
8. 개인정보의 파기
1) 회원사는 보존기간이 경과하거나 수집·목적을 달성한 진료기록 등 의료정보에
대해서는 지체 없이 파기하는 것이 바람직함
○ 개인정보 보호책임자는 파기 계획수립, 시행 등을 관리하여야 하며, 그 사실을
기록하고 관리하여야 함
2) 민간 회원사 개설자가 폐업 또는 휴업 신고를 할 때에는 기록·보존하고 있는 진료기록부,
조산기록부, 간호기록부, 그 밖의 진료에 관한 기록을 관할 보건소장에게 넘겨야 함
3) 공공 회원사가 폐업한 경우 그 사무를 승계하는 기관이 없을 때에는 폐업하는 회원사의 장은
지체 없이 그 기관의 기록물을 소관 영구기록물관리기관으로 이관하여야 함
- 19 -
① 개인정보의 처리목적
② 개인정보의 처리 및 보유기간
③ 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정함)
④ 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정함)
⑤ 정보주체와 법정대리인의 권리‧의무 및 그 행사방법에 관한 사항
⑥ 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의
명칭과 전화번호 등 연락처
⑦ 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치‧운영 및 그 거부에 관한
사항(해당하는 경우에만 정함)
⑧ 처리하는 개인정보의 항목
종 류 보존기간 종 류 보존기간
환자명부 5년 방사선사진 및 그 소견서 5년
진료기록부 10년 간호기록부 5년
처방전 2년 조산기록부 5년
수술기록 10년 진단서 등의 부분 3년
검사소견기록 5년
4) 정보주체가 회원사의 인터넷 홈페이지 회원에서 탈퇴하는 경우에는 더 이상 해당
정보주체의 개인정보를 보유할 이유가 없으므로 회원사는 정보주체가 탈퇴한 날부터
5일 이내에 파기하여야 함
5) 회원사의 개인정보 가운데 진료기록의 보존기간과 보존방법은 다음과 같음
< 진료기록의 보존기간 >
6) 개인정보를 파기할 때에는 개인정보가 복구 또는 재생되지 않도록 조치하여야 함
7) 정보주체의 진료정보는 법정 보존기간이 경과하여 처리 목적을 달성한 경우에는
지체 없이 파기하는 것이 원칙이며 다만, 계속적인 진료를 위하여 필요한 경우에
는 1회에 한정하여 <진료기록의 보존기간>에 정하는 기간의 범위에서 그 기간
을 연장하여 보존할 수 있음
9. 개인정보 처리방침의 수립 및 공개
1) 회원사는 개인정보처리방침을 수립하여 정보주체가 쉽게 확인할 수 있도록 인터
넷 홈페이지의 첫 화면에 공개하여야 하며, 홈페이지가 없는 경우에는 사업장의
보기 쉬운 장소에 게시하는 방법 등으로 공개하여야함
< 개인정보처리방침에 포함되어야 하는 필수 사항 >
- 20 -
① 사업주 또는 대표자
② 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
▶ 위반 시, 1천만원 이하 과태료 부과(법 제75조제3항제8호)
▶ 사업주 또는 대표자가 아닌 경우에는, 인사 발령 등 공식적인 지정 절차 필요
① 개인정보 보호 계획의 수립 및 시행
② 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
③ 개인정보 처리와 관련한 불만의 처리 및 피해 구제
④ 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
⑤ 개인정보 보호 교육 계획의 수립 및 시행
⑥ 개인정보파일의 보호 및 관리·감독
⑦ 개인정보 처리방침 수립·변경 및 시행
⑧ 개인정보 보호 관련 자료의 관리
⑨ 처리목적이 달성되거나 보유기간이 경과한 개인정보 파기
⑩ 개인정보침해 관련 민원의 접수․처리
⑪ 개인정보취급자가 등록 또는 변경등록 신청한 개인정보파일의 등록 또는 변경등록 사항의
적정성에 대한 판단 및 행정안전부 등록
⑫ 그 밖에 개인정보 보호를 위하여 필요한 업무
⑨ 개인정보 파기에 관한 사항
⑩ 개인정보의 안전성 확보조치에 관한 사항
▶ 위반 시, 1천만원 이하 과태료 부과(법 제75조제3항제7호)
▶ 제3자 제공 또는 위탁이 존재하는 경우, 제공 받는 자 또는 수탁자의 명칭 및 관련 사항
은 빠짐없이 공개되어야 함
10. 개인정보 보호책임자 지정
1) 개인정보의 처리에 관한 업무 총괄 및 다음의 업무 수행을 위해 개인정보 보호
책임자를 지정하여야 함
< 개인정보 보호책임자의 업무 >
< 개인정보 보호책임자의 자격 요건(아래 요건 중 하나에 해당되어야 함) >
11. 정보주체의 권익보호
회원사는 정보주체의 요구가 있으면 정보주체의 정보를 열람․정정․삭제하여야 하고, 정보주
체 개인정보가 유출된 경우 정보주체에게 그 사실을 알려야 한다.
- 21 -
① 개인정보의 수집 출처 및 개인정보의 처리 목적
② 개인정보의 처리정지를 요구할 권리가 있다는 사실
<고지의 예외>
다 만 , ① 고 지 를 요 구 하 는 대 상 이 되 는 개 인 정 보 가 행 정 안 전 부
등 록 대 상 이 되 는 개 인 정 보 파 일 에 포함되어 있거나 ② 고지로 인하여 다른
사람의 생명․신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게
침해할 우려가 있는 경우 가운데 어느 하나에 해당하는 경우에는 정보주체의 권리보다 명백
히 우선하는 경우에 한하여 고지하지 않을 수 있음
가. 정보주체 이외로부터 수집한 개인정보에 대한 고지
1) 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정당한 사유가 없는 한 정보주체의
요구가 있은 날로부터 3일 이내에 다음의 사항을 알려야 함
< 고지사항 >
2) 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 그 요구가 있은
날로부터 3일 이내에 그 거부의 사유를 정보주체에게 알려야 함
3) 5만명 이상의 민감정보 처리, 100만명 이상의 개인정보 처리자는 개인정보를 제공
받은 날부터 3개월 이내에 서면, 전화, 문자전송, 전자우편 등 정보주체가 쉽게 알 수
있는 방법으로 정보주체에게 알려야 함
나. 개인정보 열람‧정정‧삭제‧처리정지 요구 방법 마련
1) 회원사는 정보주체가 자신의 개인정보에 대한 열람, 정정, 삭제, 처리 정지를 요구
하기 위한 방법과 절차를 마련하여야 함.
2) 이때 열람, 정정, 삭제, 처리 정지 요구를 위한 방법과 절차는 개인정보의 수집 방
법과 절차에 비하여 어렵지 않도록 다음 사항을 준수하여야 함
○ 서면, 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로
제공할 것
○ 개인정보를 수집한 창구의 지속적 운영이 곤란한 경우 등 정당한 사유가
있는 경우를 제외하고는 최소한 개인정보를 수집한 창구 또는 방법과 동일
하게 개인정보의 열람을 요구할 수 있도록 할 것
○ 인터넷 홈페이지를 운영하는 회원사는 홈페이지에 열람 요구 방법과 절차
를 공개할 것
- 22 -
다. 개인정보 열람 요구
1) 정보주체가 개인정보에 대한 열람을 요구할 경우 회원사는「개인정보 보호법」에
따라 열람 요구를 받은 날부터 10일 이내에 조치하여야 함
○ 다만, 환자의기록에대해서는「의료법」제21조(열람요구등)에따라열람요구를 처리해야함
2) 10일 이내에 열람할 수 없는 정당한 사유가 있으면 그 사유를 알리고 열람을 연기
할 수 있으며, 사유가 소멸하면 소멸한 날로부터 10일 이내에 열람하도록 하여야 함
3) 회원사에서는 열람의 제한․거절사유에 해당하는 경우에는 열람을 요구하는 정보
주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있음
4) 의료인이나 직원 등 회원사 근로자는 정보주체가 아닌 다른 사람에게 정보주체에
관한 기록을 열람하게 하거나 그 사본을 내주는 등 정보주체의 개인정보의 내용을
확인할 수 있게 하여서는 아니 됨
○ 다만, 의료인이나 회원사 종사자는 아래의 ‘열람 또는 사본의 교부 등 허용사유’에
해당하는 경우 기록을 열람하게 하거나 그 사본을 교부하는 등 내용을 확인 할 수 있도록 함
○ 위의 ‘열람 또는 사본의 교부 등 허용 사유’에 대해 의사가 환자의 진료를 위하여
불가피하다고 인정하는 경우에는 허용하지 않을 수 있음
○ 정보주체가 본인에 관한 진료기록 등을 열람하거나 그 사본의 발급을 원하는
경우에는 본인임을 확인할 수 있는 신분증을 회원사 개설자에게 제시하여야 함
○ ‘열람 또는 사본의 교부 등 허용사유’ 가운데 ‘정보주체가 지정하는 대리인이 환자
본인의 동의서와 대리권이 있음을 증명하는 서류를 첨부하는 등 보건복지부령으로
정하는 요건을 갖추어 요청한 경우’에는 회원사 개설자는 해당 정보주체에 관한
기록의 열람 또는 사본의 교부 등을 하여야 함
5) 회원사의 정보주체로부터 개인정보의 제3자 제공 현황의 열람청구를 받은 경우,
국가안보에 긴요한 사안으로 “다른 법률에 따라 진행 중인 감사 및 조사에 관한
업무”를 수행하는데 지장을 초래할 때에는 제3자에게 열람청구의 허용 또는 제한,
거부와 관련한 의견을 조회하여 결정할 수 있음
라. 개인정보의 정정·삭제 요구
1) 자신의 개인정보를 열람한 정보주체가 해당 개인정보의 정정․삭제를 요구할
경우, 10일 이내에 조사․조치하고 그 결과를 해당 정보주체에게 통지하여야 함
○ 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를
- 23 -
요구할 수 없으므로, 해당 정보주체에게 그 사실 및 이유와 이의제기 방법을
알려야 함
○ 진료기록부, 조산기록부, 간호기록부에 기재되어 있는 개인정보는 의료법관련
법렵에 근거하여 수집되고 있으므로 환자는 그 삭제를 요청할 수 없음
○ 진료기록부 등의 진료정보 이외의 회원정보, 인사정보 등에 대해서는 정보주체가
해당 개인정보의 정정·삭제를 요구할 경우 10일 이내에 조사․조치하고 그 결과를
통지하여야 함
2) 의료인은 진료기록부, 조산기록부, 간호기록부, 그 밖의 진료에 관한 기록을 고의로
사실과 다르게 정정하거나 삭제할 수 없음
마. 개인정보 처리정지 요구
1) 정보주체는 회원사에 대하여 자신의 개인정보에 대한 처리정지를 요구할 수 있음
○ 이 경우, 공공 회원사에 대해서는 행정안전부에 등록하여야 하는 개인정보파일
가운데 자신의 개인정보에 대한 처리의 정지를 요구할 수 있음
2) 정보주체는 자신의 개인정보에 대한 처리정지를 요구할 경우 정당한 사유가 없는 한
그 요구를 받은 해당 회원사는 요구를 받은 날로부터 10일 이내에 해당 개인정
보의 파기 등 정보주체의 요구에 상응하는 조치 결과를 알려야 함
○ 다만, 다음과 같은 경우에는 처리정지 요구를 거절할 수 있고, 이 경우 거절의 사유,
거절 사실 및 이유, 이의제기 방법을 요구 받은 날로부터 10일 이내에 알려야 함
① 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
② 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을
부당하게 침해할 우려가 있는 경우
③ 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수
없는 경우
④ 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의
이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한
경우
바. 개인정보 유출 시 통지
1) 정보주체의 개인정보 유출사고가 발생한 것을 확인 한 때부터 5일 이내에 알려야 함
○ 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단,
- 24 -
취약점 점검․보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는
그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있음
2) 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에게 지체없이
통지하고, 조치결과를 행정안전부장관 또는 전문기관(한국인터넷진흥원) 중 어
느 하나에 신고하여야 함
▶ 유출신고는 개인정보 유출신고(보고)서 작성하여 신고
▶ 신고 방법은 https://www.privacy.go.kr/wcp/dcl/spl/splRptInfo.do 에 접속하여 확인
3) 개인정보 유출시 정보주체에 대한 통지 및 통지사항을 인터넷 홈페이지에 정보
주체가 알아보기 쉽도록 7일 이상 게재하여야 함
12. 피해 구제방법
1) 개인정보 보호법은 다음과 같은 피해 구제방법을 규정하고 있음
○ 개인정보 처리 관련 모든 당사자 사이의 분쟁을 조정하는 ‘개인정보 분쟁조정’
○ 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로
발생하고 다음의 요건을 갖춘 경우에 이루어지는 ‘개인정보 집단분쟁조정’
< 집단분쟁조정 신청요건 >
① 피해 또는 권리침해를 입은 정보주체의 수가 다음 각 목의 정보주체를 제외하고 50명 이상일 것
가. 개인정보처리자와 분쟁해결이나 피해보상에 관한 합의가 이루어진 정보주체
나. 같은 사안으로 다른 법령에 따라 설치된 분쟁조정기구에서 분쟁조정 절차가 진행 중
인 정보주체
다. 해당 개인정보 침해로 인한 피해에 대하여 법원에 소(訴)를 제기한 정보주체
② 사건의 중요한 쟁점이 사실상 또는 법률상 공통될 것
○ 개인정보처리자가 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지
아니한 경우에 하는 ‘개인정보 단체소송’
○ 개인정보를 처리할 때 개인정보에 관한 권리 또는 이익을 침해받은 사람이
행정안전부장관 또는 개인정보침해 신고센터로 그 침해 사실을 신고하는 ‘침해사실 신고’
-----------------

- 45 -

[붙임17]과태료 규정
부과액/ 요 건/ 근거 법령
5천만원이하
제15조제1항을 위반하여 개인정보를 수집한 자 법 제75조제1항제1호
제22조제6항을 위반하여 법정대리인의 동의를 받지 아니한 자 법 제75조제1항제2호
제25조제2항을 위반하여 영상정보처리기기를 설치·운영한 자 법 제75조제1항제3호
3천만원이하
제15조제2항, 제17조제2항, 제18조제3항 또는 제26조제3항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자 법 제75조제2항제1호
제16조제3항 또는 제22조제5항을 위반하여 재화 또는 서비스의 제공을 거부한 자 법 제75조제2항제2호
제20조제1항 또는 제2항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 아니한 자

법 제75조제2항제3호
제21조제1항을 위반하여 개인정보를 파기하지 아니한 자 법 제75조제2항제4호
제24조의2제1항을 위반하여 주민등록번호를 처리한 자 법 제75조제2항제4호의2
제24조의2제2항을 위반하여 암호화 조치를 하지 아니한 자 법 제75조제2항제4호의3
제24조의2제3항을 위반하여 정보주체가 주민등록번호를 사용하지 아니할 수 있는 방법을 제공하지 아니한 자
법 제75조제2항제5호
제23조제2항, 제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자 법 제75조제2항제6호
제25조제1항을 위반하여 영상정보처리기기를 설치·운영한 자 법 제75조제2항제7호
제32조의2제6항을 위반하여 인증을 받지 아니하였음에도 거짓으로 인증의 내용을 표시하거나 홍보한 자
법 제75조제2항제7호의2
제34조제1항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 아니한 자
법 제75조제2항제8호
제34조제3항을 위반하여 조치 결과를 신고하지 아니한 자 법 제75조제2항제9호
제35조제3항을 위반하여 열람을 제한하거나 거절한 자 법 제75조제2항제10호
제36조제2항을 위반하여 정정·삭제 등 필요한 조치를 하지아니한 자 법 제75조제2항제11호
제37조제4항을 위반하여 처리가 정지된 개인정보에 대하여 법 제75조제2항제12호 파기 등 필요한 조치를 하지 아니한 자
제64조제1항에 따른 시정명령에 따르지 아니한 자 법 제75조제2항제13호
1천만원이하
제21조제3항을 위반하여 개인정보를 분리하여 저장·관리하지 아니한 자
법 제75조제3항제1호
제22조제1항부터 제4항까지의 규정을 위반하여 동의를 받은 자 법 제75조제3항제2호
제25조제4항을 위반하여 안내판 설치 등 필요한 조치를 하지 아니한 자 법 제75조제3항제3호
제26조제1항을 위반하여 업무 위탁 시 같은 항 각 호의 내용이 포함된 문서에 의하지 아니한 자
법 제75조제3항제4호
제26조제2항을 위반하여 위탁하는 업무의 내용과 수탁자를 공개하지 아니한 자
법 제75조제3항제5호
제27조제1항 또는 제2항을 위반하여 정보주체에게 개인정보의 이전 사실을 알리지 아니한 자
법 제75조제3항제6호
제30조제1항 또는 제2항을 위반하여 개인정보 처리방침을 정하지 아니하거나 이를 공개하지 아니한 자
법 제75조제3항제7호
제31조제1항을 위반하여 개인정보 보호책임자를 지정하지 아니한 자 법 제75조제3항제8호
제35조제3항·제4항, 제36조제2항·제4항 또는 제37조제3항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자 법 제75조제3항제9호
제63조제1항에 따른 관계 물품·서류 등 자료를 제출하지 아니하거나 거짓으로 제출한 자
법 제75조제3항제10호
제63조제2항에 따른 출입·검사를 거부·방해 또는 기피한 자 법 제75조제3항제11호