청구SW 보안기능 변경 검사, 인증 가이드. 개인정보 다운로드 시, 다운로드 사유 입력 기능 여부 확인

 □ 검사 인증 가이드

분  야	3. 접속기록 관리
점검내용	3.5 개인정보 다운로드
검사코드	A0040305
점검항목	○ 개인정보주) 다운로드 시, 다운로드 사유 입력·확인 기능이 있는가?   주) 「청구소프트웨어 보안기능 검사항목」의 2.1 개인정보 암호화 대상 준용
관련근거	[개인정보의 안전성 확보조치 기준] 제8조2 접속기록의 보관 및 점검  ② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조 ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
점검 가이드	【세부설명】 ○ 개인정보 다운로드 시, 다운로드 사유 입력 기능 여부 확인  - 사유 미 입력 시, 다운로드 불가  - 내부 관리계획으로 정하는 바에 따라 사유 입력 후 다운로드 실행

 □ Q&A

Q1. 다운로드에 대한 기준은 어떻게 되나요 ? A. 개인정보처리시스템에 접속하여 개인정보취급자의 컴퓨터 등에 개인정보를 엑셀, 워드, 텍스트, 이미지 등의 파일형태로 저장하는 것을 의미합니다.   ☞「개인정보의 안전성 확보조치 기준」해설서 참조   Q2. 다운로드 항목인 ‘개인정보 범위’는 어떻게 되나요 ? A.「청구소프트웨어 보안기능 검사항목」의 2.1 개인정보 암호화 대상을 준용하며, 대상항목이 포함된 화면은 모두 해당됩니다. (주민번호 모두 보이는 화면 다운로드시)     단, 처방전, 진단서, 요양급여비용 청구 등 관련 법령에 따라 진행되는 업무의 다운로드 행위는 해당되지 않습니다.    Q3. 다운로드 사유 항목은 어떻게 관리해야 되나요 ? A. 「청구소프트웨어 보안기능 검사항목」의 3.1 접속기록 관리 항목과 같이 다운로드 사유 입력 기록을 보관·관리하여야 됩니다.      [예시] 기록항목 설명 ID 개인정보취급자 ID 접속일시 접속일시 접속자 IP주소 접속지 정보 화면ID 접근한 화면 ID 수행업무 열람/수정/삭제/저장 등 사유 다운로드 시 입력한 사유   Q4. 다운로드 사유 확인이 필요한 기준을 추가적으로 마련해도 되나요 ? A. 네. 개인정보처리자의 업무 현황을 고려하여 필요한 기준(개인정보 처리건수 등)을 책정할 수 있습니다. 다만, 청구SW 프로그램 내 환경설정에서 기준에 따른 설정기능이 구현되어 있어야 합니다.      [예시] (다운로드 정보주체의 수) 통상적으로 개인정보 처리 건수가 일평균 20건 미만인 소규모 기업에서 개인정보취급자가 100명 이상의 정보주체에 대한 개인정보를 다운로드 한 경우 사유 확인     ☞「개인정보의 안전성 확보조치 기준」해설서 참조   Q5. 변경검사 기간과 갱신검사 기간이 겹칠 경우 어떻게 신청해야 되나요 ? A. 총 19항목(갱신검사 18항목, 변경검사 1항목)에 대한 검사를 한꺼번에 갱신검사로 신청할 수 있습니다. 단, 검사담당자 처리기간을 고려하여 8월 넷째주는 검사 신청을 자제하여 주시기 바랍니다.