안녕하세요 소프트웨어 개발보안 가이드가 발간되었습니다.

출처는 행자부, KISA입니다.

소프트웨어 개발시 참고용으로 사용하세요~.

관련링크

개인정보안전성 확보조치 기준 개정,[시행 2016.9.1] [행정자치부고시 제2016-35호, 2016.9.1, 전부개정]

개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행)

표준개인정보보호지침(출처: 행자부 고시 제2016-21호)

개인정보의_안전성_확보조치_기준(2016-35호)_해설서(개정).pdf

개인정보 안전성 확보지치 기준 해설서가 배포되었다.

출처: 행자부, KISA, 개인정보보호포털

제정 2011. 9.30. 행정안전부고시 제2011-43호
개정 2014.12.30. 행정자치부고시 제2014-7호
개정 2016. 9. 1. 행정자치부고시 제2016-35호

제1조(목적)
이 기준은 「개인정보 보호법」(이하 “법”이라 한다) 제23조제2항, 제24조제3항 및 제29조와 같은 법 시행령
(이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가
분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적
안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.
제2조(정의)
이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. “ 정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을
말한다.
2. “ 개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나
구성한 개인정보의 집합물(集合物)을 말한다.
3. “ 개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을
통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
4. “ 대기업”이란 「독점규제 및 공정거래에 관한 법률」제14조에 따라 공정거래위원회가 지정한 기업
집단을 말한다.
5. “ 중견기업”이란「중견기업 성장촉진 및 경쟁력 강화에 관한 특별법」제2조에 해당하는 기업을 말한다.
6. “ 중소기업”이란 「중소기업기본법」제2조 및 동법 시행령 제3조에 해당하는 기업을 말한다.
7. “ 소상공인”이란 「소상공인 보호 및 지원에 관한 법률」제2조에 해당하는 자를 말한다.
8. “ 개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서
영 제32조제2항에 해당하는 자를 말한다.
9. “ 개인정보취급자”란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는
자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.

개인정보보호법 해설서입니다.

업무에 참고하시기 바랍니다.

출처: 행정자치부

▶ 본 해설서는 개인정보 보호법, 동법 시행령·시행규칙 및 표준지침·
고시의 해석기준을 제시하기 위한 목적으로 발간되었습니다.
▶ 법령에 대한 구체적인 유권해석은 행정자치부로 문의하여 주시기
바랍니다.

이 법의 입법 목적은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를
보호하고, 나아가 개인의 존엄과 가치를 구현하는 것이다. 이에 따라 개인정보의 수집·이용,
제공 등 개인정보 처리 기본원칙, 개인정보의 처리 절차 및 방법, 개인정보 처리의 제한, 개인
정보의 안전한 처리를 위한 관리·감독, 정보주체의 권리, 개인정보 권리 침해에 대한 구제 등에
대하여 규정하고 있다.
헌법재판소는 인간의 존엄과 가치 및 행복추구권을 규정하고 있는 「헌법」 제10조 제1문에서
도출되는 일반적 인격권과 「헌법」 제17조에 의하여 보호받고 있는 사생활의 비밀과 자유를 근거
규정으로 하여 우리나라 「헌법」상으로도 ‘개인정보자기결정권’이 기본권으로 보장되고 있다고
보고 있다.
개인정보자기결정권이란 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또
이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리, 즉 정보주체가 개인정보의
공개와 이용에 관하여 스스로 통제·결정할 수 있는 권리를 말한다.

개인정보_보호법_해설서.pdf

출처: 행정자치부

안녕하세요 TS입니다.

정보보호공시 가이드라인 입니다 업무에 참고하시기 바랍니다.

관련 근거는 다음과 같습니다.

목적:

o 법인 등의 정보보호 현황은 위험관리(Risk Management)와 관련한 주요 정보이지만 그동안 시장에서 자생적으로 유통되지 못했음

- 이에 따라, 관계자들*은 불충분한 정보로 투자 등 의사결정을 하고, 경영주체들은 정보보호를 단순 비용으로 취급하는 문제가 존재

* 주주, 소비자·고객·국민, 기업 등 관계자

o 정보보호 공시제도는 관계자들이 의사결정에 필요한 정보보호 현황을 공시주체에 요구하여 보안을 고려한 기업 선택권 보장 및 안전성을 증대하고, 공시주체가 해당정보의 자발적 생산·유통하는 기반조성을 위한 제도

정보보호산업의 진흥에 관한 법률 시행령

제8조(정보보호 공시의 방법 등) ① 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자가 법 제13조에 따라 정보보호 현황을 공개하는 경우에는 그 내용에 다음 각 호의 내용을 포함하여야 한다.

1. 정보기술부문 투자 현황 대비 정보보호부문 투자 현황

2. 정보기술부문 인력 대비 정보보호부문 전담인력 현황

3. 정보보호 관련 인증·평가·점검 등에 관한 사항(해당하는 경우로 한정한다)

4. 그 밖에 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 이용하는 자의 

정보보호를 위한 활동 현황

개인정보 수집 최소화 가이드라인(2016.11 행정자치부).pdf

개인정보 수집 가이드라인을 첨부합니다.

목적범위내에서 최소한의 정보만 수집해야 할 것입니다.

Ⅱ. 개인정보 수집 원칙

□ 필요 최소한의 개인정보 수집

○ 정보주체의 동의를 받거나 법령에 따른 개인정보 수집 또는 계약의

체결·이행 등을 위해 불가피하게 개인정보를 수집하는 경우에도

필요 최소한의 개인정보만을 수집하여야 함

○ 이 경우 개인정보를 수집하고자 하는 목적에 필요한 범위 내에서

최소한의 개인정보를 수집하여야 하며 필요 최소한의 개인정보라는

입증책임은 개인정보처리자가 부담함

□ 정보주체의 실질적 동의권 보장

○ 개인정보처리자가 정보주체의 동의를 받아 개인정보를 수집하는

때에는 정보주체에게 ⅰ) 동의의 내용과 ⅱ) 동의를 거부할 권리가

있다는 사실 및 ⅲ) 동의 거부에 따른 불이익이 있는 경우 그 불이익의

내용을 구체적으로 알리고 동의를 받아야 함

○ 정보주체의 동의 여부는 정보주체가 직접 판단하여 선택하는 것을

전제로 하여야 하며, 선택적으로 동의할 수 있는 사항을 동의하지

아니한다는 이유로 재화 또는 서비스의 제공을 거부해서는 아니됨

□ 고유식별정보 및 민감정보 처리 제한

○ 주민등록번호를 제외한 고유식별정보 및 민감정보는 법령에 근거가

있거나 별도로 동의를 받은 경우에만 수집할 수 있음

※ 주민등록번호는 법률·시행령·헌법기관 규칙에서 허용한 경우만 처리 가능

○ 주민등록번호 대체수단도 법령에서 본인확인을 요구하거나 서비스

과정에서 본인특정이 필요한 경우 등에 한정하여 사용하여야 함

행자부의 개인영상정보보호법안입니다.

관련 업무 종사자분들은 참고하시기 바랍니다.

출처: http://www.moi.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000017&nttId=57028

행정자치부공고 제2016-370호

「개인영상정보 보호법」을 제정하는 데에 있어, 그 제정이유와 주요내용을 국민에게 미리 알려 이에 대한 의견을 듣기 위하여 「행정절차법」 제41조에 따라 다음과 같이 공고합니다. 

2016년 12월 16일

행정자치부장관


「개인영상정보 보호법」 제정법률(안) 입법예고

★개인영상정보보호법 제정안.hwp

★개인영상정보보호법 제정안.pdf

★조문별 제개정 이유서.hwp

★조문별 제개정 이유서.pdf

1. 제정이유

영상정보 처리 기술의 고도화 및 사회적 유용성 증대로 사회 모든 영역에 걸쳐 영상정보처리기기의 설치·운영이 크게 증가하고 있으나, 국가 사회 전반을 규율하는 개인영상정보 보호 원칙과 기준이 마련되지 못해 개인영상정보의 오·남용 및 사생활 침해 등에 대한 우려가 증가하고 있는 바, 개인영상정보 보호 원칙과 처리 단계별 기준 등을 규정하고 피해 구제 제도를 강화함으로써 모든 영상정보처리기기로부터 국민의 권리와 이익을 보장하려는 것임


2. 주요내용

가. 개인영상정보 보호의 범위(안 제2조)

1) 공공기관뿐만 아니라 민간사업자 및 비영리단체 등 업무를 목적으로 개인영상정보를 처리하는 자는 이 법에 따른 규정을 준수하도록 함

2) 영상정보 처리 기술의 발전을 고려하여 고정형 및 이동형(착용형, 휴대형, 부착형 등) 등 모든 형태의 영상정보처리기기를 규율함

3) 개인영상정보 보호 원칙을 규정하는 일반법 체계가 마련됨에 따라, 그동안 법률 적용을 받지 않았던 사각지대가 해소될 것으로 기대


나. 영상정보처리기기의 설치·운영에 대한 기준 마련(안 제6조～제9조)

1) 모든 영상정보처리기기를 설치·운영 형태에 따라 고정형과 이동형으로 구분하고, 법령에서 구체적으로 허용한 경우 등을 제외하고는 당초 설치·운영 목적 외의 용도로 운영할 수 없도록 함

2) 고정형 영상정보처리기기는 현행과 같이 범죄예방 및 수사, 화재예방 등 특정 목적을 위한 경우에 한해 설치·운영을 허용하는 한편, 학술연구, 연구개발 등을 위한 경우에는 행정자치부의 허가를 통해 안전하게 설치·운영할 수 있도록 함

3) 이동형 영상정보처리기기는 촬영 장소 및 범위를 특정하기 어렵고 일상 생활 전반에서 널리 활용되고 있음을 고려하여 인격권이나 사생활의 자유 등 타인의 자유와 권리를 부당하게 침해하지 않는 범위 내에서 운영할 수 있도록 함

4) 영상정보처리기기의 설치·운영 기준을 마련함으로서 공공기관 및 민간사업자 등의 무분별한 영상정보처리기기 설치·운영을 예방하고 국민의 개인영상정보 보호를 강화할 수 있을 것으로 기대


다. 개인영상정보 처리 단계별 보호기준 마련(안 제10조～제11조)

1) 영상정보처리기기의 특성을 고려하여 개인영상정보를 수집·이용 또는 제공할 수 있는 경우를 구체적으로 명시함

2) 다만, 영상정보처리기기를 통해 공개된 장소를 촬영할 경우 의도하지 않은 개인영상정보 수집이 발생할 수 있음을 고려하여 사후적으로 열람 및 삭제요구권 등 영상정보주체의 권리를 보장

3) 공공기관이 개인영상정보를 당초 목적 외 용도로 이용하거나 제3자에게 제공한 경우 그 사실을 인터넷 홈페이지 등을 통해 공개토록 하여 개인영상정보의 관리를 투명하게 하고 오·남용 우려를 예방함 


라. 개인영상정보의 수집 사실 표시(안 제12조)

1) 일정한 장소에 설치되어 영상정보를 수집하는 고정형 영상정보처리기기는 현재와 같이 안내판을 통해 수집 사실을 표시토록 함

2) 설치 장소나 촬영 범위 특정이 어려운 이동영 영상정보처리기기는 안내판, 불빛, 소리 등 가능한 수단으로 수집 사실을 표시토록 함
※ 다만, 무인항공기(드론)와 같이 안내판, 불빛, 소리 등으로도 수집 사실 인식이 곤란한 경우는 대통령령으로 정하는 전자적 방식으로 표시  

3) 개인영상정보를 수집하는 경우 수집 사실을 표시토록 함으로서 영상정보주체의 자기정보결정권이 강화될 것으로 기대


마. 개인영상정보의 안전한 관리를 위한 조치(안 제14조～제15조)

1) 개인영상정보처리자는 개인영상정보가 분실, 도난, 유출 등이 되지 아니하도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적·물리적 조치를 의무화

2) 개인영상정보처리자는 개인영상정보 보호책임자를 지정토록 하고, 보호책임자는 내부 관리체계 구축 등의 업무를 수행토록 함. 다만 보호책임자를 별도로 지정하지 아니한 경우에는 대표자를 보호책임자로 간주하여 법적 책임을 부과


바. 영상정보처리기기 운영현황 점검(안 제16조)

1) 영상정보처리기기를 운영하는 공공기관과 일정 규모 이상의 영상정보처리기기를 운영하는 법인 등 대통령령으로 정하는 자는 매년 이 법의 준수 여부에 대한 자체 점검을 실시하고, 그 점검 결과를 행정자치부에 신고토록 함

2) 이 법 준수 여부에 대한 자체 점검을 통해 개인영상정보처리자의 자율적인 법 준수가 강화되고, 공공 및 민간분야의 영상정보처리기기 운영 현황 파악을 통해 관련 정책 효율성이 제고될 것으로 기대


사. 통합관제센터 운영·관리 강화(안 제17조～제20조)

1) 지방자치단체가 구축·운영하는 CCTV 통합관제센터의 법적 근거를 명확히 하고, 통합관제센터 운영계획을 행정자치부에 신고토록 함 

2) 통합관제센터 구축·운영시 영향평가, 목적 외 관제 금지, 종사자 자격과 근무 수칙 등의 규제를 명확히 함으로서 통합관제센터가 처리하는 개인영상정보의 보호가 강화될 것으로 기대


아. 영상정보주체의 권리 보장(안 제21조부터 제25조까지)

1) 영상정보주체에게 개인영상정보의 열람 또는 출처확인 요구권, 보관 요구권, 삭제 또는 처리정지 요구권 등을 부여하고, 그 권리행사 방법 등을 규정함.

2) 개인영상정보처리자는 개인영상정보의 안전한 관리와 열람·출처확인·보관·삭제요구 등 영상정보주체의 권리 보호를 위해 개인영상정보의 처리 이력을 관리하도록 함 

3) 영상정보주체의 권리행사 방법과 절차 등을 법률에 명확히 규정함으로써 영상정보주체가 훨씬 용이하게 자신의 개인영상정보에 대한 자기통제권을 실현할 것으로 기대.


자. 적용의 일부 예외(안 제27조)

1) 개인정보 자기결정권과 언론·종교의 자유 등 다른 헌법적 가치와의 균형을 위해 국가안전보장, 공공의 안전과 안녕, 언론·종교단체·정당의 고유목적 달성 등을 위한 경우에는 이 법의 적용을 제외함


카. 영상정보처리기기의 종합적 관리체계 마련(안 제28조)

1) 행정자치부장관은 영상정보처리기기가 중복되거나 불필요하게 운용되지 않도록 종합적인 관리체계를 구축하고, 공공기관이 준수해야 할 영상정보처리기기 설치·운영 지침이나 기술기준을 정할 수 있도록 함

2) 종합적 관리체계 마련을 통해 영상정보처리기기의 무분별한 설치·운영을 예방하고, 예산 집행의 효율성을 제고할 수 있을 것으로 기대


타. 개인영상정보 침해사실의 신고(안 제31조)

1) 개인영상정보처리자로부터 권리 또는 이익을 침해받은 자는 행정자치부에 그 침해사실을 신고할 수 있으며, 행정자치부는 신고 접수 및 업무처리 지원을 위해 개인영상정보 침해신고센터를 설치·운영함.

2) 개인영상정보 침해사실을 신고하고 상담할 수 있는 창구를 마련하여 영상정보주체의 신속한 권리구제와 고충처리에 기여할 것으로 기대


파. 시정 명령 또는 시정 권고(안 제33조).

1) 행정자치부장관은 과태료 처분 사유가 되는 위반 행위가 즉시 시정 가능한 경미한 위반 행위인 경우에는 과태료를 처분하지 아니하고 1개월 이내의 기간을 정하여 시정을 명령할 수 있도록 함

2) 행정자치부장관은 개인영상정보가 침해될 우려가 있다고 판단되는 경우 등에는 침해행위 중지 등의 시정을 권고할 수 있도록 함

3) 영상정보처리기기가 일상 생활 전반에 널리 활용되고 있음을 고려할 때, 처벌 위주 집행 보다는 시정명령 또는 권고 중심의 집행을 통해 이 법 규정이 사회 전반에 안정적으로 정착 될 것으로 기대


3. 의견제출

이 제정안에 대해 의견이 있는 기관·단체 또는 개인은 2017년 1월 24일까지 통합입법예고센터(http://opinion.lawmaking.go.kr)를 통하여 온라인으로 의견을 제출하시거나, 다음 사항을 기재한 의견서를 행정자치부장관에게 제출하여 주시기 바랍니다.

가. 예고 사항에 대한 찬성 또는 반대 의견(반대 시 이유 명시)
나. 성명(기관ㆍ단체의 경우 기관ㆍ단체명과 대표자명), 주소 및 전화번호
다. 그 밖의 참고 사항 등


※ 제출의견 보내실 곳
- 일반우편 : 서울특별시 종로구 세종대로 209 정부서울청사 815호
- 전자우편 : jijung@korea.kr
- 팩스 : 02-2100-4140


4. 그 밖의 사항

 본 개정안 전문은 법제처 홈페이지(http://www.moleg.go.kr > 입법예고)에 게재되어 있으며, 개정안에 대한 자세한 사항은 행정자치부 개인정보보호협력과(전화 02-2100-4141, 팩스 02-2100-4140)로 문의하여 주시기 바랍니다. 

개인정보의 안전성 확보조치 기준 해설서입니다.

안전성 확보조치는 취약점이 다수 발생되는 분야입니다.

업무시 참고하시기 바랍니다.

Ⅰ 개인정보의 안전성 확보조치 기준

제정 2011. 9.30. 행정안전부고시 제2011-43호

개정 2014.12.30. 행정자치부고시 제2014- 7호

개정 2016. 9. 1. 행정자치부고시 제2016-35호

제1조(목적) 이 기준은 「개인정보 보호법」(이하 “법”이라 한다) 제23조제2항, 제24조제3항 및

제29조와 같은 법 시행령(이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보처리자가

개인정보를 처리함에 있어서 개인정보가 분실․도난․유출․위조․변조 또는 훼손되지

아니하도록 안전성 확보에 필요한 기술적․관리적 및 물리적 안전조치에 관한 최소한의 기준을

정하는 것을 목적으로 한다.

제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.

1. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는

사람을 말한다.

2. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로

배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

3. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는

다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

4. “대기업”이란 「독점규제 및 공정거래에 관한 법률」제14조에 따라 공정거래위원회가

지정한 기업집단을 말한다.

5. “중견기업”이란「중견기업 성장촉진 및 경쟁력 강화에 관한 특별법」제2조에 해당하는

기업을 말한다.

6. “중소기업”이란 「중소기업기본법」제2조 및 동법 시행령 제3조에 해당하는 기업을 말한다.

7. “소상공인”이란 「소상공인 보호 및 지원에 관한 법률」제2조에 해당하는 자를 말한다.

8. “개인정보보호책임자”란개인정보처리자의개인정보처리에관한업무를총괄해서책임지는자로서

영 제32조제2항에 해당하는 자를 말한다.

9. “개인정보취급자”란 개인정보처리자의 지휘․감독을 받아 개인정보를 처리하는 업무를

담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.

10. “개인정보처리시스템”이란 데이터베이스시스템등개인정보를처리할수 있도록체계적으로

구성한 시스템을 말한다.

안녕하세요 

개인정보보호위원회 제3차 기본계획입니다.

제3차 개인정보 보호 기본계획

(2 0 1 8 ~ 2 0 2 0년 )

향후 정책방향을 가늠해볼 수 있겠네요

제3차 개인정보 보호 기본계획(2016.12.26.).pdf

2016.12월

개인정보보호위원회

□ 범국가적 개인정보 보호 대책 수립 및 추진기반 마련

○ 개인정보 보호법 제정(‘11.3월)에 따라 관련 법제의 안정적 정착을

위해 3개년 기본계획 수립 체계 확보

○ 제2차 기본계획은 정부, 개인정보처리자, 일반국민, 산업계의 역량

강화와 능동적 실천을 통한 보호문화 정착을 목표로 추진 중(‘15~’17)

○ ‘14.1월 카드사 개인정보 유출사고 이후 범정부 차원의 ’개인정보

보호 정상화 대책‘을 수립하여 이행 중(’14.7월~)

※ 전체 98개 중 완료 72(73%), 정상추진 22(23%), (일부)지연 4(4%) (’16.8.31 기준)

□ 현장에서 체감하는 ‘제2차 기본계획’에 대한 평가는 보통 수준

○ 개인정보처리자에 대한 보호 관리체계 및 정보주체의 권리보장 등

법체계 정비에 관련 과제들은 보통이상 수준으로 평가

※ 학계, 법조계, 민간기업 등 각계 전문가 35명을 대상으로 현장에서 체감하는 제2차

기본계획의 이행성과 평가 의견을 5점 척도로 조사하여 3점 이상이면 보통으로 평가

○ 반면 글로벌 상호 운용성, 영상정보 보호 관리체계 및 개인정보

보호 관련 산업의 선순환적 생태계 조성은 미흡 으로 평가

□ 개인정보 보호 관련 다양한 대책에도 개인정보 유출사고 지속

○ 대규모 개인정보 유출이 지속되고 유출분야도 금융, 정보통신,

의료, 교육 등 확산되고 있음

※ 배달통 개인정보 유출(’15.1월, 13만건), 메리츠 화재(’15.2월, 70만건), 뽐뿌(’15.9월,

190만건), 보건복지인력개발원(‘15.12월, 5만여건), 인터파크(‘16.5월, 2,600만건) 등

[언론보도 기준]

○ 빅데이터, IoT, 핀테크, 헬스케어, 인공지능 등 4차 산업혁명 도래에 따라

변화하는 현장상황을 반영한 개인정보 보호 법ㆍ제도 개선 요구 증대

안녕하세요

의료기관에서의 개인정보 수집이용 동의서 필요성 여부와

종교, 학력, 직업 여부에 대한 동의여부(정신과)에 대한 질의답변 내용입니다.

-------------------------------------------------------------

출처: 개인정보의료분야상담사례집, 행정안전부, 복건복지부(2012)

○ 의료기관에서 의료법에 근거하여 수집하는 개인정보는 수집이용 동의서를 받을
필요가 없습니다. 또한 동의를 받을 경우 최초 방문 시에만 받으면 됩니다. 다만, 이후
이용 목적이 추가되거나 제3자 제공 등 처리 목적 등이 변경될 경우에는 별도의 동
의를 받아야 합니다.

○ 또한 전화번호는 처방전 오류 등 위급한 상황 시 연락이나 진료와 직접적인 관
련이 있는 내용의 안내(진료예약시간, 검사결과 통보 등) 등 법 제15조제1항제4
호에 해당하는 경우에는 동의 없이 수집이용 가능합니다.

○ 그러나, 의료법에서 요구하는 이외의 사항을 수집하는 경우에는 정보주체의 동의
가 필요합니다. 만약 병원소식, 건강정보, 백신접종 홍보 등 정보주체의 직접적인
진료와 관계없는 내용을 문자, 우편 등으로 보내고자 한다면 수집이용 동의를 받아야
합니다.

○ 참고로 병원에서 쓰는 프로그램에서 자동으로 동의서를 제공하는 경우가 있는
데, 해당 병원이 수집하는 개인정보 항목과 수집 목적을 고려해서 동의서를 받
을지 여부를 판단해야 합니다.

[관련법령]
◎ 개인정보보호법 제15조제1항(개인정보의 수집․ 이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수
집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. (생략)
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5.~6. (생략)
◎ 의료법 시행규칙 제14조(진료기록부 등의 기재 사항)
1. 진료기록부
가. 진료를 받은 자의 주소․성명, 주민등록번호․ 병력(病歷) 및 가족력(家族歷)
나. 주된 증상, 진단 결과, 진료경과 및 예견
다. 치료내용(주사․투약․처치 등)

○ 개인정보보호법 제15조제1항제4호에 따라 정보주체와의 계약의 체결 및 이행을
위하여 불가피하게 필요한 경우에는 정보주체의 동의 여부와 관계없이 개인정보
를 수집하여 그 수집 목적의 범위에서 이용할 수 있으나, 같은 법 제23조에 따른
민감정보(사상․신념 등 사생활을 현저히 침해할 우려가 있는 정보)에 대하여는 법
령상 근거 또는 정보주체의 동의를 받은 경우에 한하여 처리하실 수 있습니다.
※ ‘사상․신념’이란 개인의 가치관에 기초하여 형성된 믿음이나 생각 등으로서 이
데올로기, 사상적 경향, 종교적 신념 등을 말함

신입사원 입사지원서 예시 및 경력사원 입사지원서 예시

위탁시 직원에 대한 동의서 예시를 참조하시기 바랍니다.

임직원 채용시 개인정보보호에도 유의할 필요가 있습니다.

출처: 인사노무분야 개인정보보호가이드라인(행안부)

<참고 1> 표준 양식

신입사원 채용 입사지원서 (예시)

사진		기 본 사 항	성명		지원 부문
			생년월일			성별
			전화번호
			이메일
			주소
학 력	기간			학교		전공			졸업여부
활동사항	기간			내용(인턴, 아르바이트, 봉사활동)			기관․단체
자 격	자격증명			취득일		인증기관
어 학	시험명			점수/급		취득일
상훈	종류			기관		수상일
기 타	보훈 대상(우대)			장애인(우대)		기타 우대 사항

                            - 기본사항은 서류전형을 위한 필수정보이므로 반드시 기재하시기 바랍니다.

                            - (채용직무, 선호인재상 등에 따라 필수정보를 달리 지정할 수 있음)

                            - 나머지 항목들은 채용 참고자료이므로 선택적으로 작성하실 수 있습니다.