직원자료

개인정보 보호 지침

작성자 관리자 · 2026-05-22 · 조회 26

[개인정보보호 지침]

제1조 【목적】

본 지침은 개인정보보호법에 의거하여 재가장기요양급여 제공 과정에서 취급되는 수급자와 직원의 개인정보를 안전하게 보호하고, 기관 내에서 실천해야 할 구체적인 관리 요령을 규정함으로써 상호 신뢰 기반의 안심할 수 있는 돌봄 환경을 조성하는 것을 목적으로 한다.

제2조 【정의】

본 지침에서 사용하는 용어의 뜻은 다음과 같다.

  1. “개인정보”란 생존하는 개인에 관한 정보로서 성명, 고유식별정보, 영상 등을 통하여 해당 개인을 알아볼 수 있는 정보(다른 정보와 쉽게 결합하여 특정 개인을 식별할 수 있는 것을 포함)를 말한다.
  2. “개인정보파일”이란 수급자 서류철 등과 같이 타인이 필요한 정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.
  3. “고유식별정보”란 법령에 따라 개인을 고유하게 구분하기 위해 부여된 주민등록번호 등의 고유한 번호를 의미한다.
  4. “본인부담금 자동이체(CMS)”란 수급자가 납부해야 할 장기요양 이용료를 금융기관을 통해 지정된 계좌에서 자동으로 출금 및 결제하는 전산 시스템을 말한다.

제3조 【개인정보 관리책임자의 선정

  1. 기관은 수집된 개인정보를 총괄적으로 관리하고 안전하게 보호하기 위하여 개인정보 관리책임자를 선정하도록 한다.
  2. 개인정보 관리책임자는 업무분장상 관리 업무를 담당하는 시설장, 사회복지사, 또는 요양보호사 중에서 선정하는 것을 원칙으로 한다.
  3. 시설장과 사회복지사 선정이 어려운 경우, 기관 내에서 2년 이상 성실히 근무하여 업무 역량을 갖춘 요양보호사를 관리책임자로 지정할 수 있다.

제4조 【개인정보 관리책임자의 직무】

  1. 개인정보 관리책임자는 다음 각 호의 업무를 성실히 수행한다. 가. 개인정보보호 관련 지침의 제정 및 개정 나. 기관 내 개인정보보호 계획의 수립 및 실천 다. 개인정보 처리 실태에 대한 주기적 점검 및 개선 조치 라. 개인정보 취급 관련 불만 접수 및 적절한 피해 구제 조치 마. 개인정보 유출 및 오남용 방지를 위한 임직원 교육 계획의 수립 및 시행 바. 개인정보파일 및 관련 대장의 등록, 파기 승인 및 관리·감독 사. 개인정보보호 관련 제반 자료의 체계적 보관
  2. 개인정보 관리책임자는 개인정보보호 전반의 활동을 주도하며, 원활한 자원 확보를 위해 필요한 예산 및 행정적 지원을 시설장 등에게 요청할 수 있다.

제5조 【개인정보의 수집 및 이용 목적】

기관은 개인정보보호법 제15조에 근거하여 장기요양서비스의 원활한 제공과 적법한 행정 처리를 위하여 최소한의 범위 내에서 개인정보를 수집·이용한다.

  1. 수급자 정보의 이용 목적은 다음 각 호와 같다. 가. 본인 식별 절차 수행 및 장기요양급여 계약서 작성 나. 급여제공계획 수립을 위한 수급자 욕구사정 및 서비스 연계 다. 국민건강보험공단 급여내용 통보서 작성·전송 및 급여비용 청구 라. 지자체 및 관계 공공기관의 법합당한 자료 제출 요구에 대한 대응 마. 안내 문자메시지, 팩스, 이메일 등을 통한 원활한 소통 경로 확보 바. 장기요양사업 관련 전산 프로그램의 정상적 운영 사. 본인부담금 자동이체(CMS) 신청 시 계좌번호 등 결제 정보 처리 아. 서비스 질 수준 향상을 위한 기초 자료 활용
  2. 직원 정보의 이용 목적은 다음 각 호와 같다. 가. 채용, 재직, 퇴직 등 인사 행정 처리 및 본인 식별 나. 이력 관리, 자격 검증 및 인사기록부 작성 다. 지자체 및 국민건강보험공단 등 공공기관에 대한 직원 현황 및 연말정산 자료 제출 라. 법정 건강검진 결과의 보관 및 관리 마. 재직·경력 증명서 등 제반 증명서 발급 관리 바. 사회보험 및 민간보험 가입·관리를 위한 자료 제출 사. 업무 관련 연락을 위한 문자메시지 발송 및 전산 프로그램 활용 아. 관계 법령에 따른 범죄경력 조회 및 확인

제6조 【수집하는 개인정보의 항목】

기관은 개인정보보호법 제16조에 따라 목적 달성에 필요한 최소한의 항목만을 수집하도록 노력한다.

  1. 수급자 관련 수집 항목은 다음 각 호와 같다. 가. 고유식별정보: 주민등록번호 등 법령상 허용된 식별번호 나. 일반 개인정보: 성명, 주소, 연락처, 이메일, 장기요양인정번호, 장기요양 등급, 유효기간, 이용 급여종류, 혼인 여부 다. 서비스 참고정보: 신체기능, 사회생활기능, 인지기능, 행동변화, 질병 및 증상, 영양상태, 지역사회자원 이용현황, 가족 사항 및 주거 환경, 보호자 정보 라. 결제 정보: 카드 결제 시 카드사명, 카드번호 등 승인에 필요한 정보
  2. 직원 관련 수집 항목은 다음 각 호와 같다. 가. 고유식별정보: 주민등록번호 등 법령상 허용된 식별번호 나. 일반 개인정보: 성명, 주소, 연락처, 이메일, 자격·면허 정보, 교육 및 서비스 제공 이력, 건강검진 결과 다. 관리 서식 정보: 기본 인적사항, 재직 정보, 급여 지급 정보, 금융기관 계좌번호 등

제7조 【개인정보 취급 시의 상호 의무】

  1. 정보를 제공하는 수급자 및 직원은 개인정보 안전을 위하여 기관 측에 이용 목적, 방법, 기간, 형태 등을 제한하도록 요청할 수 있으며, 안전성 확보 조치를 마련해 줄 것을 정당하게 요구할 수 있다.
  2. 정보를 제공받는 기관은 개인정보 보호를 위한 기술적·물리적 조치를 취하고 그 사실을 정보주체에게 신뢰성 있게 공유한다. 또한 정보주체의 별도 동의가 있거나 법률에 특별한 규정이 있는 경우를 제외하고는 수집 목적 외로 이용하거나 제3자에게 임의로 제공하지 않으며, 이를 위반할 경우 관련 법령에 따른 책임이 발생할 수 있음을 인지한다.

제8조 【개인정보의 안전성 관리 방안】

  1. 기관 내에서 수집·이용 중인 개인정보는 수급자 관리를 담당하는 직원과 개인정보 관리책임자 등 허가된 인원만이 접근하여 취급할 수 있도록 통제한다.
  2. 개인정보를 컴퓨터, 모바일 기기, 전산프로그램 등 디지털 매체로 관리하는 경우 접근 권한이 있는 자별로 고유한 식별부호(ID)와 암호화된 비밀번호를 부여하여 오남용 시의 책임 소재를 명확히 구분한다.
  3. 기관의 모든 임직원은 업무상 알게 된 개인정보를 정당한 권한 없이 훼손, 침해, 변경 또는 누설하지 않도록 보안을 유지한다.
  4. 개인정보가 포함된 종이 문서 및 저장 매체의 안전한 보관을 위하여 잠금장치가 구비된 전용 보관 시설을 구비하는 등 물리적 조치를 충실히 이행한다.

제9조 【개인정보의 보유 및 이용기간】

기관은 개인정보보호법 제21조에 따라 동의받은 기간 또는 관계 법령에 규정된 보유 의무 기간 내에서만 개인정보를 안전하게 처리하며, 기간 만료 시 지체 없이 파기하도록 한다.

  1. 수급자 정보의 처리 기간은 다음 각 호와 같다. 가. 수집 및 이용기간: 장기요양급여 계약 개시일부터 계약 만료일까지(장기요양인정서 유효기간 내) 나. 보존 기간: 계약 종료일로부터 5년간 보관 (노인장기요양보험법 제35조 제4항에 근거)
  2. 직원 정보의 처리 기간은 다음 각 호와 같다. 가. 수집 및 이용기간: 채용 시점부터 퇴사 시점까지 나. 보존 기간: 퇴사일로부터 3년간 보관 (근로기준법 제42조에 근거)

제10조 【개인정보보호 교육 운영】

  1. 개인정보 관리책임자는 정기적인 보호 교육 실시를 위해 내실 있는 교육 계획을 수립하고, 이를 상급 책임자에게 공유하도록 한다.
  2. 개인정보 관리책임자가 시설의 최고 관리책임자를 겸하는 경우에는 별도의 승인 절차 없이 확정된 계획에 의거하여 교육을 주도적으로 진행할 수 있다.
  3. 교육의 전문성을 높이기 위하여 필요한 경우 외부 전문 강사를 초빙하여 결성력 있는 교육을 도모할 수 있다.
  4. 개인정보보호 교육은 기관 운영규정상의 법정 의무 교육 또는 직원 교육 항목으로 통합하여 운영할 수 있으며, 실시 후에는 참석자 명부 및 사진 등 증빙 서류를 철저히 기록으로 남긴다.

제11조 【개인정보 유출의 범위】

본 지침에서 규정하는 개인정보 유출 사고는 다음 각 호의 어느 하나에 해당하는 상황을 말한다.

  1. 개인정보가 수록된 문서, 이동식 저장장치(USB 등), 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
  2. 개인정보처리시스템 또는 데이터베이스에 정당한 권한이 없는 자가 무단으로 접근한 경우
  3. 고의 혹은 주의 의무 소홀로 인하여 개인정보 파일이나 종이 문서가 권한이 없는 타인에게 잘못 전달된 경우
  4. 그 밖에 관리 부주의로 인해 제3자가 개인정보를 열람하거나 시스템 접근이 가능하게 된 경우

제12조 【유출 발생 시 대처 및 통지 절차】

  1. 개인정보 관리책임자는 유출 사고를 인지한 즉시 상급자에게 상황을 공유하고, 정당한 사유가 없는 한 5일 이내에 해당 정보주체(수급자 또는 직원)에게 유출 사실을 알리도록 조치한다.
  2. 최초 유출 시점과 인지 시점 사이에 상당한 지연이 발생한 경우, 관리책임자는 관리상의 과실이 없었음을 객관적으로 설명할 수 있어야 한다.
  3. 긴급한 후속 처리가 필요한 경우 관리책임자는 다음 각 목의 방어 조치를 신속히 취한 후 정보주체에게 통지 절차를 진행한다. 가. 추가 유출 확산을 방지하기 위한 전산 시스템 접속 경로 차단 및 비밀번호 변경 나. 유출 매개 정보의 삭제 및 외부 접근 기록 등 관련 증거물의 안전한 보존 다. 시스템 보안 취약점의 정밀 점검 및 즉각적인 보완 조치
  4. 정보주체에게 통지할 때는 다음 각 호의 사항을 명확히 포함하도록 한다. 가. 유출된 개인정보의 세부 항목, 유출 시점 및 인지된 경위 나. 추가 피해를 방지하기 위해 정보주체가 취할 수 있는 자구책 및 방법 다. 기관 차원의 대응 조치 내용 및 구체적인 피해 구제 절차 라. 피해 접수 및 상담을 수행하는 담당 부서와 직통 연락처 마. 유출 상황이 완전히 파악되지 않은 경우 유출 사실을 우선 신속히 알리고, 상세 내용은 확인되는 대로 추가 통지하도록 한다.
  5. 유출 통지는 방문, 서면, 우편, 전화, 문자메시지 등 정보주체가 명확히 인지할 수 있는 신뢰성 있는 수단을 적극 활용한다. 만약 당사자와 연락이 닿지 않을 경우에는 보호자나 가족에게 사실을 전하여 인지할 수 있도록 돕는다.

제13조 【침해 사실 신고 및 손해배상】

  1. 개인정보 침해로 인하여 부당한 피해를 입은 당사자는 관련 전문 기관인 개인정보침해신고센터(한국인터넷진흥원 국번없이 118)를 통해 원활하게 상담 및 신고를 진행할 수 있다.
  2. 개인정보 유출로 인하여 손해가 발생한 경우 정보주체는 기관을 상대로 합당한 손해배상을 청구할 수 있다.
  3. 제2항의 청구가 있을 시 기관은 개인정보 관리에 있어 고의 또는 주의 의무 위반이 없었음을 객관적으로 증명하여야 한다. 기관이 선량한 관리자로서 성실히 의무를 다했음이 입증되는 경우에는 법적 책임이 감면되거나 조정될 수 있다.
  4. 규정을 위반하여 고의로 개인정보를 유출하거나 타인에게 부당하게 누설한 임직원에 대해서는 사안의 중대성에 따라 관련 법령에 의거한 사법적 책임 및 교정 조치가 따를 수 있다.
목록