1. 개인정보 처리방침 공개 ○ 약국에서 관리하는 처방전, 요양급여청구정보, 조제기록부, 홈페이지 회원정보 등에 대하여 개인정보 처리방침을 수립하고 공개하여야 함

- 홈페이지 운영약국은 홈페이지에 게재, 홈페이지 미운영약국은 접수창구 등에 게시

- 약국의 조제기록 및 고객정보를 외부 업체 위탁 관리하는 경우는 해당 사실을 개인정보처리방침에 반드시 기재하여야 함

2. 약국에서 개인정보 수집 및 이용 ○ 고객 동의 없이 개인정보 수집·이용 가능

- 처방전, 요양급여청구정보, 조제기록부 ○ 고객 개인정보 동의를 받아야 하는 내용

- 고객관리 정보(DM, SMS 등 홍보마케팅용)

- 홈페이지 회원 정보(회원정보는 주민등록번호는 수집하지 않으며 온라인 상에서 회원가입시 반드시 동의서를 받고 수집) ○ 법령에 근거없는 주민등록번호 수집 제한

- 2014.8.7부터 개인정보보호법 개정& 8228;시행으로 법령에 근거없는 주민등록번호 수집은 할수 없음.

- 약국에서는 법령에 의거 개인의 주민등록번호를 적법하게 수집하였더라도 안전하게 관리하지 않아 유출시 최고 5억까지 과징금 납부, 철저관리

3. 약국에서 처방전 보관 등 개인정보 업무 □ 일반사항 ○ 약국은 개인정보가 유출되지 않도록 처방전 등 종이문서는 별도 공간 또는 잠금장치에 보관

- 일과시간중 조제를 위한 경우는 제외

- 일과시간 이후에는 반드시 별도 공간 및 잠금장치를 하여 보관 (시건장치가 된 캐비넷, 키카드 등 전자적 잠금장치가 된 곳에 보관) ○ 전자정보는 접근통제, 암호화, 접속기록 보관, 보안프로그램 설치 등 안전성 확보(법 제29조) ○ 약국의 업무용 컴퓨터에 비밀번호 반드시 설정

- 윈도우 : [시작] → [제어판] → [사용자계정] □ 개인정보 보관 및 파기 ○ 법에서 정한 보유기간이 지난 처방전, 조제기록부, 마약류관리 기록 등 각종 개인정보는 보유기간 이후 파기 해야 함(법 제21조, 영 제16조)

- 보유기간 : 처방전 2년(요양급여비용을 청구한 처방전은 3년), 요양급여청구정보 5년, 조제기록부 5년 ※ 약국개설자가 조제 정보의 연장 보관이 필요하다고 판단하는 경우 내부 심의절차에 따라 보존기간을 연장할 수 있음. ○ 파기 방법

- 종이 등 기록매체 : 개인정보가 복구 또는 재생되지 않도록 파쇄 또는 소각

- 전자파일 : 복원이 불가능한 방법으로 영구삭제(보유기간 경과 후 5일 이내 파기) ※ 보존기간이 지난 개인정보 미파기 : 3천만원 이하의 과태료(법 제29조) ○ 약국 폐업시 개인정보의 조치

- 약국을 폐업하는 경우 개인정보는 원칙적으로 파기

- 단, 조제기록부, 처방전, 요양급여청구 등 약사법, 국민건강보험법에 의해 의무기간동안 보관(처방전 2년(요양급여를 청구한 처방전은 3년), 조제기록부 등 건강보험청구 관련 자료 5년) ○ 약국 양도시 개인정보의 조치

- 개인정보 주체자(고객)에게 통보해야함(서면, 홈페이지 또는 약국내에 이전사실을 30일 이상 공지)

□ 개인정보의 위탁 및 관리 ○ 약국에서 처방전 보관 및 폐기 등 위탁관리 할 경우

- 계약체결 : 반드시 서면으로 계약서 작성(구두계약 불가)

- 수거 : 처방전 보관업체 또는 폐기업체가 직접수거(3자 위탁 또는 대행금지)

- 위탁완료 후 개인정보 파기 : 수탁자는 해당 개인정보 파기 후 약국에 보고

- 위탁사실 공개 : 홈페이지 및 약국내에 게재하는 등으로 공개

- 개인정보의 분실, 도난, 유출 등에 대한 수탁자 교육 및 감독

<개인정보 처리위탁 계약서의 기재사항> ① 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 ② 개인정보의 기술적& 8228;관리적 보호조치에 관한 사항(개인정보의 접근제한 등 안전성 확보에 필요한 조치사항 포함) ③ 위탁업무의 목적 및 범위, 재위탁 제한에 관한 사항 ④ 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 ⑤ 위탁업무와 관련하여 보유하고 있는 개인정보의 관리현황 점검 등 감독에 관한 사항 ⑥ 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

4. 약국에서 개인정보의 안전한 관리 ○ 컴퓨터로 처리되는 개인정보의 안전한 관리

- 요양급여 청구 정보, 조제기록부, 전자처방전등 PC내 청구프로그램 데이터베이스에 주민등록번호는 암호화하여 저장

- 약국 PC에 xls, pdf 등 전자문서 파일형태로 주민등록번호 저장시 암호화

- PC에 개인정보 보관시 해킹 및 실수 등에 따른 유출되지 않도록 관리철저

- PC 로그인 비밀번호 설정(안전한 비밀번호 설정) (※비밀번호는 “생일”, “전화번호” 등은 사용하지 않아야 하며, 영어대문자, 소문자, 숫자 특수문자 조합 10자 이상으로 2종류 설정하거나 8자 이상으로 3종류 조합 설정, 비밀번호는 최소 6개월마다 변경, 동일한 비밀번호 교대사용 금지)

- 백신 설치 및 자동업데이트, 실시간 감시기능 활성화

- 원도우즈(Windows)자동 업데이트 및 방화벽 기능사용

- Adobe, 한글 등 응용 프로그램 업데이트

- 컴퓨터 유지보수시 개인정보에 접근하지 못하도록 유지보수 위탁사항 계약에 문서화

- 약국 프로그램업체에 비밀번호, 주민등록번호 암호화 하여 전송

- 인터넷, P2P(pc상호공유), 웹하드 사용시 개인정보가 유출되지 않도록 각별히 주의

- 종이로 수집한 처방전을 스캐닝한 경우 pdf, jpg, bmp 등으로 저장

- 퇴근시 PC 종료(종료가 어려운 경우 화면보호기 잠금 설정)

□ 소형약국관리 ○ 근무인원 5인 미만 약국, 별도의 개인정보처리시스템 없이 업무용 컴퓨터(PC)만 이용해서 처리할 경우 접근통제시스템 설치는 의무화 적용하지 않으나 업무용 컴퓨터의 운영체계 (OS : Operating System)나 보안프로그램의 접근통제 기능을 이용할 수 있음. 예) 제어판

- Windows방화벽

- 사용 (※ 컴퓨터 사양에 따라 제어판에서 방화벽 설치 메뉴가 다를 수 있음) V3

- 환경설정

- 네트워크보안

- 네트워크침입차단& 8228;개인방화벽

- 사용

□ 내부관리 계획 수립 및 시행

- 약국 상시근로자의 수가 5인 이상 약국과 개인정보처리시스템을 직접 구축하여 사용하는 대형약국

- ‘내부관리계획서’ 수립 시행

- 개인정보보호책임자 지정 : 개설약사

- 개인정보취급자(시간제 약사, 아르바이트생, 업무보조자 등)는 개인정보처리자의 지휘& 8228;감독아래 업무 수행

<내부관리계획의 수립 시행>

① 개인정보 보호책임자의 지정에 관한 사항 ② 개인정보 보호책임자 및 개인정보취급자(시간제 약사, 아르바이트생, 업무보조자)의 역할 및 책임에 관한 사항 ③ 개인정보의 안전성 확보에 필요한 조치에 관한 사항 ④ 개인정보취급자에 대한 교육에 관한 사항 ⑤ 그 밖에 개인정보 보호를 위하여 필요한 사항

5. 개인정보의 제3자 제공 ○ 정보주체(고객)의 동의, 법률적 근거, 급박한 생명·신체의 이익 등 개인정보보호법에서 지정하는 사항 이외에는 제3자에게 제공할 수 없음 ○ 약국에서 제3자에게 제공이 가능한 경우

- 일반 의료기관, 보험회사 등에서 요청시 환자의 동의를 받아야함. ○ 법률에 특별한 규정이 있는 경우는 가능

- 건강보험심사평가원에 비용청구를 위한 제공

- 한국의약품안전관리원에 약품에 대한 부작용등의 보고 또는 신고 ○ 정보주체가 의사표시를 할 수 없는 상태에서 급박한 경우

- 응급환자의 치료를 위한 응급의료기관 요청에 따른 제공

6. 개인정보의 열람·정정·삭제 등 ○ 정보주체(고객)의 열람 등 요청이 있을 경우 10일 이내 처리 단, 법률에 따라 수집하는 정보는 정정·삭제 요청 불가

- 조제기록부는 환자의 배우자, 직계존비속 등 가족도 열람요청 가능(약사법 제30조 제2항)

7. 약국에서 개인정보의 유출·침해시 조치방법 ○ 약국에서 개인정보 유출 인지 즉시 정보주체에게 통지

- 약국의 유출통지는 서면, 전자우편, 팩스, 전화, 문자전송 등 개별통지

- 정보주체자(고객)의 연락처를 모를 경우 홈페이지 등 고지

- 정보주체자(고객)와 약국간의 분쟁이 있는 경우 분쟁조정위원회 분쟁조정 신청 ※ 침해시 유출사실 미 통지 : 3천만원 이하 과태료(법 제34조) 8. 약국내 CCTV 설치 및 운영 ○ 약국의 범죄의 예방, 시설안전 및 화재예방을 위하여 필요한 경우 영상정보처리기기를 설치& 8228;운영할 수 있음.

- 공개된 장소에 CCTV 설치시 안내판 설치는 의무사항

- CCTV는 임의조작과 녹음기능 사용 금지

- 영상정보가 유출, 변조되지 않도록 안전성 확보

- 안내판에 설치 목적 및 장소, 촬영범위 및 시간, 관리책임자 및 연락처 기재 (위탁시 수탁자의 명칭 및 연락처 기재) ※ 영상정보처리기기 설치 기준 위반 : 3천만원 이하의 과태료(법 제25조)

9. 약국내 개인정보책임자와 개인정보 취급자를 지정, 권한 차등화 ○ 개인정보보험책임자 및 취급자 1인당 1개의 ID 발급 및 상호공유 절대 금지 ○ 개인정보취급자의 인사이동, 퇴직시 즉시 취급자를 변경 또는 말소 ○ 개인정보취급 권한 차등화 개인정보보호책임자에게는 전체권한(읽기/쓰기/변경)을 부여하고 개인정보취급자에게는 읽기 또는 제한된 쓰기 권한만 제공하는 등 책임자와 취급자간 권한에 차등을 두어야 함.

10. 개인정보보호 관련 교육 ○ 약국에서는 개인정보보호 관련 교육을 연 1회 이상 실시 ○ 교육은 온라인, 오프라인 가능 ○ 교육관련 자료(교육자, 교육자료, 온라인 수료증 등) 보관 ※ 단 상시근로자의 수가 5인이상 약국은 내부관리계획 수립하여 시행

11. 수사기관 등의 개인정보 제공 요청시 ○ 법원이 압수 또는 제출을 명하거나(형사소송법 제106조), 검사 또는 사법경찰관이 지방법원판사가 발부한 영장에 의하여 압수, 수색 또는 검증을 하는 경우(형사소송법 제215조)에는 본인동의 없이 개인정보 제공이 가능함 ○ 위와 같은 경우를 제외하고 수사기관의 공문형태에 의한 수사 협조 요청일 경우 요청에 따를 의무는 없음.

12. 기타 ○ 온라인상에서 건기식, 의료기기, 화장품 등을 취급할 경우 개인정보 제공 동의절차, 개인정보 처리방침, 안전성 확보조치 등을 약국용과는 별도로 갖추어야 함.