[붙임 11 – 홈페이지 운영 및 진료정보관리를 외부 업체에 위탁할 경우 준수사항]
다. 진료정보관리를 전문업체에 위탁할 때 고려사항
○ 위탁업체 선정시 검토할 사항
- 수탁자의 인력 및 물적 시설, 재정 부담능력, 기술 보유정도, 책임능력 등을 종합적으로 고려하여 수탁자를 선정해야 함(표준개인정보보호지침 제19조제1항)
- 보안시스템 설치현황(방화벽, 백신 등), 비밀번호와 주민등록번호에 대한 암호화 (저장시, 심사평가원 전송시), 사용자 접근제어 등이 가능한지 사전에 확인
○ 위탁계약 체결 시 고려할 사항
- 개인정보 처리업무 위탁은 반드시 문서로 하여야 함(개인정보보호법 제26조제1항)
|
|
<위탁계약 문서에 포함되는 내용> |
|
|
|
|
|
|
1. 위탁업무 수행목적 외 개인정보 처리 금지에 관한 사항 2. 개인정보의 기술적, 관리적 보호조치에 관한 사항(개인정보의 접근제한 등 안전성 확보에 필요한 조치사항 포함) 3. 위탁업무의 목적 및 범위 4. 재위탁 제한에 관한 사항 5. 개인정보 관리현황 점검 등 감독에 관한 사항 6. 수탁자가 의무를 위반한 경우 손해배상 등 책임에 관한 사항 |
||
- 서비스수준협약(SLA)을 통해 개인정보보호 안전성확보조치 고시에 포함된 접근권한관리, 비밀번호관리, 접근통제시스템, 암호화, 접속기록보관, 물리적 접근방지 등이 보장될 수 있도록 계약을 체결
○ 위탁계약 체결 후 운영시 조치할 사항
- 위탁하는 업무의 내용과 수탁자를 공개 (인터넷 홈페이지 등)
- 개인정보가 분실, 도난, 유출, 변조, 훼손되지 않도록 수탁자 교육 및 관리감독
라. 회원정보를 수집하는 홈페이지 위탁 운영시 고려사항
○ 서비스에 대한 보안시스템 구축 여부 점검
- 방화벽, 백신 등 필수 보안시스템이 설치되었는지 점검
- 회원정보 수집시 전송구간에서 암호화가 적용되는지 확인
○ 서비스 위탁자의 관리적 보호조치 점검
- 개인정보 처리를 위한 담당자 지정 및 권한관리 현황 확인
- 개인정보에 대한 열람 및 백업 시 작업기록 보관 및 보호조치 점검
○ 위탁내용을 개인정보처리방침에 담아 운영하는 홈페이지에 게시
