001_성민네트웍스 개인정보보호정책

(주) 성민네트웍스 개인정보보호법에 관련된 프로그램 정책사항 안내 [https://goo.gl/j4Maoa}

https://docs.google.com/document/d/1cOIE1laqakQpZia7WnTh-4ldbkAmtQ1c_emG0gVdNK8/pub

1. 배경 및 목적

1) 개인정보보호 가이드라인에 의한 대응책 마련

2) 주관업체: 행정자치부, 보건복지부

3) 주요 배경 및 내용

항목	내용
배경	○ 의료기관은 환자의 건강상태, 신체적 특징, 병력 등 민감정보, 주민등록번호 등 고유식별정보, 그 밖에 신용카드번호, 통장계좌번호, 근로정보, 개인영상정보 등 다양한 개인정보를 처리하고 있음 ○ 개인정보의 유출로 인하여 환자 및 의료기관 근로자는 자신의 개인정보 자기결정권을 침해받고, 유출된 개인정보로 인하여 2차적 피해를 받게 됨
시행	○ 개인정보 보호를 위한 일반법인 「개인정보보호법」이 2011.3.29. 제정되어 2011.9.30. 부터 시행 중
대상	1) SoftCRM 솔루션 프로그램 2) 서버 DB유지관리
개인정보	-특정 개인을 알아볼 수 있는 정보 - 해당 정보만으로는 특정 개인을 식별할 수 없다고 하더라도 “다른 정보와 쉽게 결합”하여 식별 가능하다면 개인정보에 해당

2. 성민네트웍스 대응업무

1) SoftCRM 프로그램 추가 개발항목 [ 개인정보 내부관리 계획 가이드 기준]

순서

조항

항목

내용

개발완료

제13조

로그인 기록관리

-프로그램 로그인 로그아웃 기록관리

□ 개인정보취급자가 개인정보처리시스템에 접속한 기록은 최소 6개월 이상 위·변조 및 도난, 분실되지 않도록 안전하게 보관하여야 함 < 접속기록 항목 (예시) >

필수 기록 항목	설명
ID	개인정보취급자 식별정보
날짜 및 시간	접속일시
접속자 IP주소	접속지 정보
수행업무	열람, 수정, 삭제, 인쇄, 입력 등

<접속기록(예시)>

※ 응용시스템을 통하여 접속한 기록은 응용시스템에서 직접 로그를 남기는 방식이 일반적으로 적용됨

개발완료

제12조

제10조

로그인 비밀번호 암호화

-로그인 비밀번호 암호화 알고리즘 적용

-로그인 비밀번호 작성체계에 대한 경고알림 활성화

-로그인 비밀번호 3개월단위 수정권한 알림창 활성화

-비밀번호 5회이상 오류시 차단정책 수립

-비밀번호 SMS 본인 확인절차 수립

① 비밀번호 최소길이

- 최소10자리 : 영대문자(A~Z), 영소문자(a~z), 숫자(0~9), 특수문자(32개) 중 2종류 이상의 조합

- 최소8자리 : 영대문자(A~Z), 영소문자(a~z), 숫자(0~9), 특수문자(32개) 중 3종류 이상의 조합

※ 특수문자 32개 예시

~ ․! @ # $ % ^ & * ( ) _ - + = [ ] [ ] | \ ; :‘ “ < > , . ? /

개발완료

제9조

직원 퇴사자 관리

- 퇴사자 개인정보 삭제 [휴대폰 번호만 삭제,이름보관]

- 직원 퇴사, 신규등록, 기록관리

개발완료

제9조

직원 CRM권한설정

- CRM 권한설정 등록, 부여, 삭제 기록관리 3년간보관

<접근권한 부여/변경/말소 내역 기록(예시)>

필수 기록 항목	설명
적용 대상 ID	권한 부여/변경/말소 대상 ID
적용 권한	적용된 권한명(또는 권한 그룹)
유형	부여/변경/말소
사유	입사/조직변경/퇴사/휴직 등 사유
일시	권한 부여/변경/말소 일시
작업자 ID	권한 부여/변경/말소 작업자 ID

개발완료

고객정보 보관

프로그램 보존기간 설정에 의해 데이타 삭제

고객구분	개인정보내용	보존기간	삭제데이타
상담고객 DB고객	이름, 전화번호,메모	설정6 설정6	성명삭제=>”상담고객”으로 이름변경 =마지막 상담일자
신환부도고객	이름, 전화번호,메모,예약	설정6	성명삭제=>”신환고객”으로 이름변경 =마지막 상담일자
내원고객	신상정보,메모,검사정보	5년,10년 선택	모든 정보 삭제 =마지막 내원일자
수술고객	내원고객정보+수술정보	10년	모든 정보 삭제 =마지막 내원일자

법에의해서 주체자와 협의하에 또는 의료법상 요구사항에 의해 삭제기간을 연장할 수 있다.

삭제기능 개발완료

제12조

온라인예약 페이지

암호화

- SSL 인증서 설정완료 됨

개발완료

접근권한관리

엑셀다운로드

권한설정

-권한설정 기능완료

-엑셀 다운로드 기록관리

-인쇄 기록관리

개발완료

통계 세부권한설정

-권한설정 기능완료

개인정보 암호화

-주민번호 암호와 알고리즘 적용 완료

직원퇴직처리

-로그인 불가처리

(주) 성민네트웍스 SoftCRM 솔루션 암호화 정책 안내

항목

내용

관련근거

개인정보보보헙 제 29조

설명1

【설명】 안전행정부의 개인정보의 안전성 확보에 관한 고시 제7조에 의하면 개인정보 처리자는 컴퓨터에 고유식별정보를 저장하여 관리하는 경우 상용 암호화SW 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다고 규정하고 있다.

【참고】 개인정보의 안전성 확보조치 기준 제6조

- 개인정보 : 고유식별정보, 비밀번호 및 바이오정보를 말한다.

- 고유식별정보: 주민번호, 여권번호, 운전면허번호, 외국인등록번호

- 바이오정보 : 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.

- 비밀번호 : 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

설명2

【설명】 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후에 저장하여야 한다.

- 보조저장매체 : 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결·분리할 수 있는 저장매체를 말한다.

구분		알고리즘 명칭
양방향 암호	대칭키 암호 알고리즘	SEED, ARIA-128/192/256, AES-128/192/256,Blowfish, Camelia-128/192/256, MISTY1,KASUMI 등
	공개키 암호 알고리즘	RSA, KCDSA(전자서명용), RSAES-OAEP,RSAES-PKCS1 등
일방향 암호 알고리즘		SHA-2(224/256/384/512) Whirlpool 등

- 개인정보 암호화 확인(평문 저장여부)

SoftCRM

솔루션

암호화

정책

1) 암호화

대상 솔루션

암호화 항목

암호화 정책

SoftCRM

솔루션

프로그램

고객 주민번호

양방향암호/대칭키 암호 알고리즘 / EncryptByPassPhrase_SQL Server 2005

로그인 암호

일방향 암호 알고리즘/

SHA512(해시 알고리즘)

2) 적용일자: 2012년 1월