안전한 개인정보 처리방안

가. 수집･이용

┃수집･이용┃

< 주요 점검 사항 >

• 처방전, 요양급여청구정보, 조제기록부는 동의 없이 수집･이용 가능함(｢의료법｣ 제18조, ｢노 인장기요양보험법 시행규칙｣ 제30조, ｢약사법｣ 제30조)

• 고객정보 수집 시 동의를 받아야 함(홈페이지 회원정보는 반드시 동의 필요)

: 동의를 받을 때에는 개인정보의 수집‧이용 목적, 수집‧이용하려는 개인정보의 항목 등을 명확히 표시하여 알아보기 쉽게 해야 함

┃개인정보 보호 원칙┃

수집

동 의 없 이 수 집

처 방 전

- 수집목적: 건강보험급여청구 및 증빙자료 보전

- 수집항목: 성명, 주민등록번호, 주소, 연락처, 처방전의 처방내용

(질병분류기호, 의료인의 성명 및 면허종류, 처방의약품, 발급연월일, 사용기간 등) - 수집방법: 약사법에 의해 개인정보가 포함된 처방전 접수

- 정보형태: 종이문서 또는 전자파일 조제

정보 및 요양 급여 청구 정보

- 수집목적: 조제관련 증빙자료 보존 및 건강보험 요양급여청구

- 수집항목: 성명, 주민등록번호, 가입자 성명 및 건강보험증번호, 질병명, 요양급여비 용의 내용, 본인부담금 및 비용청구액, 처방전의 처방내용

- 수집방법: 처방전의 내용에 조제내역, 급여 청구정보 추가 생성 - 정보형태: 전자파일

동 의 를 받 아 수 집

고객 관리 정보

- 수집목적: DM, SMS 등을 통한 홍보 및 마케팅 - 수집항목: 환자 인적 사항 등

- 수집방법: 고객정보 관리에 동의한 환자의 정보만 수집

홈페 이지 회원 정보

- 수집목적: 홈페이지 회원관리

- 수집항목: 필수정보(성명, ID, 비밀번호), 선택정보(생년월일, 전화번호, 이메일, 관심 정보 등)

※ 주의: 홈페이지 회원 정보로 주민등록번호는 수집하지 않도록 해야 함 - 수집방법: 온라인상에서 회원가입 시 동의서를 받고 수집

나. 위탁･관리

┃위탁･관리┃

< 주요 점검 사항 >

• 개인정보 위탁 시 조치사항 준수: 계약 체결 시 수탁자에 의한 위탁목적･안전성확보조치 등의 문서화, 위탁사항이 포함된 개인정보 처리방침 공개, 수탁자에 대한 관리･감독 수행

• 위탁완료 후 개인정보의 파기: 수탁자는 해당 개인 정보 파기 후 약국에 보고

• 처방전, 건강보험심사청구자료의 관리: ▲처방전 2년(요양급여비용을 청구한 처방전은 3년) ▲조제기록 부 및 요양급여청구 관련 자료 5년

• 약국의 안전조치 의무: 관리적(내부 관리계획 수립 및 시행)‧기술적(비밀번호설정, 백신설치, 방화벽 설치 및 접근의 차등제한 등)‧물리적 보호조치(개인정보의 안전한 보관시설 마련 또는 잠금장치 설치 등) • 개인정보 처리방침 공개

• 개인정보 보호책임자 지정

• 개인정보취급자(시간제약사 또는 아르바이트생)에 대한 감독

▪ 동의 받는 방법:

① 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보 주체가 서명하거나 날인한 동의서를 받는 방법

② 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법

③ 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷 주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법 ④ 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법 ⑤ 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법 ⑥ 그 밖에 ①~⑤까지의 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법

▪ 만 14세 미만 아동의 개인정보처리:

① 만 14세 미만 아동의 개인정보를 처리하기 위하여 동의가 필요할 때에는 법정대리인의 동의를 받아야 함 ② 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터

직접 수집할 수 있음

이용

▪ 개인정보의 이용요건: 약국은 개인정보를 이용할 경우 수집 '목적의 범위' 내에서 이용하여야 하며, 정보주 체로부터 수집하기 위하여 동의를 받을 때 이용목적을 알리고 수집하여야 함

- 다만, 약국은 당초 수집목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 개인정보(민감정보 제외)의 추가 이용 가능

▪ 목적 범위 초과 이용 시 준수사항: 약국이 수집 목적을 초과하여 이용하거나, 수집할 때 고지한 사항 중 어느 하나에 변경이 있는 경우에도 정보주체에게 변경 사실을 다시 알리고 동의를 받아야 함

위탁

▪ 위탁에 대한 사항이 포함된 문서: 약국은 처방전 보관, 처방전 폐기 등을 위해 개인정보의 처리 업무를 위탁하는 경우에는 아래 사항이 포함된 문서에 의해 하도록 해야 함

① 위탁업무 수행목적 외 개인정보의 처리금지에 관한 사항 ② 개인정보의 기술적･관리적 보호조치에 관한 사항 ③ 위탁업무의 목적 및 범위

④ 재위탁 제한에 관한 사항

⑤ 개인정보에 대한 접근제한 등 안전성 확보 조치에 관한 사항

⑥ 위탁업무와 관련하여 보유하고 있는 개인정보의 관리현황 점검 등 감독에 관한 사항 ⑦ 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

▪ 위탁사실 공개: 약국은 개인정보의 처리 업무를 위탁하는 경우 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자를 정보주체가 언제든지 쉽게 확인할 수 있도록 인터넷 홈페이지에 지속적으 로 게재하거나 약국에서 정보주체가 쉽게 볼 수 있는 곳에 게재하는 등의 방법으로 공개해야 함

▪ 위탁에 대한 관리감독: 개인정보 처리 업무를 위탁하는 약국은 업무위탁으로 인하여 정보주체의 개인정보가 분실･도난･유출･변조 또는 훼손되지 않도록 수탁자를 교육하고, 처리 현황 점검 등 수탁자를 감독하여야 함

관리

▪ 처방전, 건강보험심사청구자료의 관리:

‣ 약국에서 조제한 처방전은 2년간 보존하여야 함(｢약사법｣ 제29조)

※ 주의: 요양급여비용을 청구한 처방전은 3년간 보존하여야 함(｢국민건강보험법｣ 제96조의2) ‣ 약국에서 의약품을 조제(약사법에 따라 처방전 없이 조제하는 경우 포함)하면 조제기록부(전자문서로

작성한 것 포함)를 5년 동안 보존하야여 함(｢약사법｣ 제30조)

‣ 요양급여비용의 청구에 관한 서류는 5년간 보관하여야 함(｢국민건강보험법｣ 제96조의2, 같은 법 시행 규칙 제58조)

▪ 안전한 관리를 위한 보호조치 이행: 처방전의 정보를 요양급여청구 정보로 등록한 후 증빙자료 용도로 보관하는 처방전이 유출되지 않도록 물리적 보호조치를 취해야 함

▪ 내부 관리계획 수립: 내부 관리계획은 안전성확보를 위해 내부적으로 작성하는 비공개 문서로 다음의 사항들을 포함하여 임의 서식으로 작성

‣ 개인정보 보호책임자의 역할 및 책임

- 개인정보 보호책임자의 지정, 개인정보 보호책임자와 개인정보취급자의 역할 및 책임 ‣ 개인정보 보호 교육

- 개인정보 보호책임자 교육, 개인정보취급자의 교육

‣ 기술적 안전조치

- 접근 권한의 관리, 접근 통제, 개인정보의 암호화, 접속기록의 보관 및 점검, 악성프로그램 등 방지, 관리용 단말기의 안전조치

‣ 관리적 안전조치

- 개인정보 보호조직 구성 및 운영, 개인정보 유출 사고 대응, 위험도 분석 및 대응, 수탁자에 대한 관리 및 감독

‣ 물리적 안전조치

- 물리적 안전조치, 재해 및 재난 대비 안전조치, 개인정보의 파기 ‣ 그 밖에 개인정보 보호를 위하여 필요한 사항

▪ 개인정보의 기술적 조치사항:

‣ 조치대상

- 처방전, 요양급여심사청구자료 등 조제와 관련된 개인정보를 관리하는 정보시스템 - 홈페이지에서 회원정보를 수집하는 경우 수집된 회원의 개인정보

‣ 인터넷에 연결된 경우 방화벽 등 보안장비 설치

- PC만을 이용하여 개인정보를 처리할 때는 PC방화벽, 백신 등으로 해킹에 대비 - 홈페이지 서버를 직접 운영하는 경우 별도의 방화벽 설치

- 홈페이지를 운영할 경우 방화벽을 설치하거나 보안장비 구비 여부 확인 후, 서비스를 위탁하여 운영 ‣ 비밀번호, 주민등록번호 등 중요 정보에 대한 암호화 저장

- 정보서비스 업체에 위탁하여 조제 기록을 관리하는 경우 암호화 기능이 포함될 수 있도록 관리 ‣ 개인정보취급자 지정, 열람제한 및 열람기록 저장

- 개인정보를 열람할 수 있는 담당자를 최소한으로 지정

- 열람기록 및 권한부여, 변경, 삭제 기록을 보관하고 관리감독을 철저히 하여 내부직원에 의한 개인정 보 유출을 방지

▪ 개인정보취급자(시간제약사 또는 아르바이트생)에 대한 감독: 필요한 교육실시, 보안서약서 징구(권고사항) 등

▪ 개인정보 처리방침의 공개: 약국은 개인정보를 처리할 경우 개인정보 처리방침을 공개 하여야 함 ‣ 개인정보의 처리목적, 보유기간, 제3자 제공 및 위탁에 관한사항, 정보주체의 권리･의무에 관한 사항을

홈페이지나 약국에 공개

다. 제3자 제공

┃제3자 제공┃

< 주요 점검 사항 >

• 제3자 제공: 약국 외의 제3자에게 개인정보의 전송, 제3자에 대한 접근권한부여, 약국과 제3자의 개인정 보 공유 등 개인정보의 지배‧관리권을 이전하는 것

• 개인정보 제3자 제공의 방법: 정보주체의 동의 또는 법령 등에 근거한 제공

: 건강보헙심사평가원에 비용청구를 위한 제공(｢국민건강보험법｣ 제47조), 응급환자의 치료를 위한 응급 의료기관 요청에 따른 제공(｢응급의료법｣ 제5조제2항),환자의 가족 또는 관계기관 등의 요청에 따른 조제기록부의 제공(｢약사법｣ 제30조제3항), 한국의약품안전관리원에 약품에 대한 부작용 등의 보고(｢

약사법｣ 제68조의8, 제21조제3항 제4호 등)

▪ 제3자 제공: 개인정보의 저장매체 또는 개인정보가 담긴 출력물이나 책자 등의 물리적 이전, 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 약국과 제3자의 개인정보 공유 등 개인정 보의 이전과 공동으로 이용할 수 있는 상태를 초래하는 모든 행위

▪ 약국의 제3자 제공이 가능한 경우: 정보주체의 동의를 받은 경우나 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 등 개인정보 보호법에서 지정하는 경우 외에는 제공이나 열람할 수 없음 ‣ 건강보헙심사평가원에 비용청구를 위한 제공(｢국민건강보험법｣ 제47조)

‣ 응급환자의 치료를 위한 응급의료기관 요청에 따른 제공(｢응급의료법｣ 제5조제2항) ※ 주의: 환자의 동의를 구할 수 없는 경우로 급박한 상황에 한함

‣ 환자의 가족 또는 관계기관 등의 요청에 따른 조제기록부의 제공(｢약사법｣ 제30조제3항) ‣ 한국의약품안전관리원에 약품에 대한 부작용 등의 보고(｢약사법｣ 제68조의8, 제21조제3항 제4호 등) - 다만, 약국은 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부,

암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 정보주체의 동의 없이 개인정보(민 감정보 제외) 제공 가능

▪ 목적 외 이용이나 제3자 제공에 대한 동의 시: ①제공받는 자 ② 이용 목적 ③이용 또는 제공하는 개인정보 의 항목 ④보유 및 이용 기간

⑤동의를 거부할 권리가 있다는 사실과 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 등을 알리고 동의를 받아야 함

▪ 정보주체의 동의 및 법령 등의 목적 범위 내 제공: 수탁자는 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공 금지