□ 검사 인증 가이드
분 야 | 3. 접속기록 관리 |
점검내용 | 3.5 개인정보 다운로드 |
검사코드 | A0040305 |
점검항목 |
○ 개인정보주) 다운로드 시, 다운로드 사유 입력·확인 기능이 있는가? 주) 「청구소프트웨어 보안기능 검사항목」의 2.1 개인정보 암호화 대상 준용 |
관련근거 | [개인정보의 안전성 확보조치 기준] 제8조2 접속기록의 보관 및 점검 ② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조 ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. |
점검 가이드 | 【세부설명】 ○ 개인정보 다운로드 시, 다운로드 사유 입력 기능 여부 확인 - 사유 미 입력 시, 다운로드 불가 - 내부 관리계획으로 정하는 바에 따라 사유 입력 후 다운로드 실행 |
□ Q&A
Q1. 다운로드에 대한 기준은 어떻게 되나요 ? A. 개인정보처리시스템에 접속하여 개인정보취급자의 컴퓨터 등에 개인정보를 엑셀, 워드, 텍스트, 이미지 등의 파일형태로 저장하는 것을 의미합니다. ☞「개인정보의 안전성 확보조치 기준」해설서 참조
Q2. 다운로드 항목인 ‘개인정보 범위’는 어떻게 되나요 ? A.「청구소프트웨어 보안기능 검사항목」의 2.1 개인정보 암호화 대상을 준용하며, 대상항목이 포함된 화면은 모두 해당됩니다. (주민번호 모두 보이는 화면 다운로드시) 단, 처방전, 진단서, 요양급여비용 청구 등 관련 법령에 따라 진행되는 업무의 다운로드 행위는 해당되지 않습니다.
Q3. 다운로드 사유 항목은 어떻게 관리해야 되나요 ? A. 「청구소프트웨어 보안기능 검사항목」의 3.1 접속기록 관리 항목과 같이 다운로드 사유 입력 기록을 보관·관리하여야 됩니다. [예시]
Q4. 다운로드 사유 확인이 필요한 기준을 추가적으로 마련해도 되나요 ? A. 네. 개인정보처리자의 업무 현황을 고려하여 필요한 기준(개인정보 처리건수 등)을 책정할 수 있습니다. 다만, 청구SW 프로그램 내 환경설정에서 기준에 따른 설정기능이 구현되어 있어야 합니다.
[예시] (다운로드 정보주체의 수) 통상적으로 개인정보 처리 건수가 일평균 20건 미만인 소규모 기업에서 개인정보취급자가 100명 이상의 정보주체에 대한 개인정보를 다운로드 한 경우 사유 확인 ☞「개인정보의 안전성 확보조치 기준」해설서 참조
Q5. 변경검사 기간과 갱신검사 기간이 겹칠 경우 어떻게 신청해야 되나요 ? A. 총 19항목(갱신검사 18항목, 변경검사 1항목)에 대한 검사를 한꺼번에 갱신검사로 신청할 수 있습니다. 단, 검사담당자 처리기간을 고려하여 8월 넷째주는 검사 신청을 자제하여 주시기 바랍니다. |