공지사항 글 보기

2019년 개인정보보호 자율점검 - 덴트웹 관련항목 참고자료
■  덴트웹    ■  2019년 6월 13일    ■ 조회  1961

- 2019년 개인정보보호 자율점검 기간은 2019-05-31 ~ 2019-07-31 입니다.

- 참여 방법은 여기를 클릭하여 대한치과의사협회 자율점검 홈페이지 공지사항의 "온라인 자율점검 시스템 참여 방법 그림으로 안내" 게시글을 참고하시기 바랍니다. 참여 시 고유식별번호 보유량 입력이 필요한데, 덴트웹에서 [환경설정] 메뉴의 우측 상단 [고유식별번호 보유량] 버튼을 눌러 조회가 가능합니다.

[환경설정] - [고유식별번호 보유량]

덴트웹에 입력되어 있는 고유식별번호 수량 확인

- 자율점검 항목 중 덴트웹과 관련있는 항목에 대해서 자세한 설명을 작성하였으니, 아래를 참고하여 자율점검을 진행하시기 바랍니다. 덴트웹뿐 아니라 다른 개인정보처리시스템, 개인정보를 포함하고 있는 모든 프로그램 및 자료들(워드, 엑셀, 한글파일, 이미지 등), PC, 모바일기기, 출력된 종이 문서 등도 아래 항목들의 점검 대상이 될 수 있으므로 이에 대해서도 꼭 확인하셔야 합니다.

1.5.1 수집한 진료정보 및 개인정보의 보유기간 경과, 처리 목적(제공받는 경우 제공받는 목적) 달성 후 지체 없이 개인정보를 파기하고 있는가?

덴트웹 [환경설정] 화면 오른쪽 아래의 [보존기간 경과 기록 삭제] 버튼을 통해 보존 기간이 경과된 기록을 복구 불가능한 방법으로 일괄 삭제하실 수 있습니다. 삭제를 수행하시면 삭제내역이 “개인정보 파기 관리대장”에 남게 되며, 전자서명이 가능합니다. (덴트웹이 아닌 다른 프로그램이나 저장매체, 서류 등에 보존하고 있는 삭제 대상 기록은 직접 파기하셔야하며, 파기내역은 덴트웹의 경영/통계 - "개인정보 파기 관리대장"에 기재해주시기 바랍니다.)

[환경설정] - 보존기간 경과 기록 삭제

보존기간 경과 기록 삭제창에 있는 설명을 자세히 읽으신 후, 보존기한이 경과된 기록을 삭제하시기 바랍니다.

[개인정보 파기 관리대장] 입니다. 기록삭제시 이곳에 파기내역이 등록됩니다. 전자서명도 가능합니다.

1.5.2 개인정보 파기 시 복구 또는 재생되지 않도록 조치하고 있는가?

덴트웹에 저장된 개인정보 삭제시, 복원 불가능한 방법으로 삭제됩니다.(덴트웹 이외의 프로그램이나, 종이 등의 파기는 직접 확인하시기 바랍니다.)

보존연한 경과 기록 삭제화면과 기록 삭제후 트랜잭션 로그 초기화 & 디스크 쓰기 작업 300회 시행 소스코드

2.4.1 위탁 계약 시 문서(계약서)에 의한 계약을 하였는가?

각 치과에서 보관 중이신 덴트웹 가입신청서 원본에 개인정보처리 업무위탁 계약서가 있습니다. 증빙서류가 필요할 경우 덴트웹 가입신청서의 개인정보처리 업무위탁 계약서를 첨부하시면 됩니다. (덴트웹 이외의 수탁기관이 또 있는 경우 해당 기관에도 문의하여주세요.)

2.4.2 수탁업체에 대한 교육 및 처리현황 점검 등 관리 감독을 실시하고 있는가?

2.5.1 개인정보취급자에 대한 보안 서약서를 제출토록 하였는가?

덴트웹의 개인정보보호책임자와 개인정보취급자는 법에서 정한 대로 개인정보보호 교육을 이수하고, 개인정보보안서약서도 징구합니다. 항목 2.4.2 세부내역에 보면 『수탁업체를 대상으로 직접 관리·감독이 어려운 경우 수탁업체 자체적으로 개인정보의 안전성 확보조치 등에 대한 점검 등을 실시하여 그 결과를 “수탁업체 개인정보보호 실태 점검표”를 제출 받아 보관하는 것으로 대신할 수 있음』 이라고 되어 있습니다. 관련 증빙 문서를 첨부하니 다운받으시려면 이곳을 클릭하세요. (첨부된 문서는 수탁업체 (주)덴트웹 개인정보취급자들의 개인정보보호교육 이수 및 보안서약서 징구 확인서, 개인정보보호 실태 점검표입니다. 덴트웹 이외의 수탁기관이 또 있는 경우 해당 기관에도 문의하여주시기 바라며, 항목 2.5.1과 2.5.2 등에 따라 치과 자체적으로도 개인정보보호교육 증빙문서나 보안서약서 등이 필요할 수 있으니 세부항목을 확인해보시기 바랍니다.)

2.4.3 위탁에 관한 사실을 인터넷 홈페이지 또는 사보, 접수실, 대기실 등에 공개 하고 있는가?

3.7.1 개인정보처리방침을 수립하고 있는가?

3.7.2 개인정보처리방침을 홈페이지 또는 보기 쉬운 장소(접수대, 대기실 등)에 공개하고 있는가?

자가점검의 "판단기준"과 "세부내역" 따라 위탁에 관한 사실(덴트웹 사용 사실)을 개인정보 처리방침에 포함시키시면 됩니다.

만약 요양기관 자체적으로 제정/시행하신 개인정보 처리방침이 없다면 덴트웹에서 제공하는 기본값을 사용하셔도 좋습니다. 최고관리자권한으로 로그인하신 후, [환경설정] - "병원 기본정보 설정"에 가셔서 하단의 <개인정보 처리방침 보기> 버튼을 누르면 덴트웹이 기본제공하는 개인정보처리방침을 보실 수 있습니다. 여기에는 개인정보 처리 위탁에 관한 사항도 포함되어 있습니다. 이 문서를 출력하여 대기실이나 데스크에 게시하시면 됩니다. (참고: 덴트웹 신환문진프로그램에서 신환 등록 시에도 개인정보 처리방침을 볼 수 있습니다.)

만약 (주)덴트웹 이외의 기관에 개인정보를 위탁한 사실이 더 있다면 그 내용을 꼭 포함하여야 하므로 개인정보 처리방침을 치과 자체적으로 제정 및 공고, 시행, 게시하여주시기 바랍니다.

3.2.1 개인정보처리시스템(전자차트, 청구S/W 등)에 대한 접근 권한을 최소한의 범위로 업무담당자에 따라(1인 1계정) 차등 부여하였는가?

덴트웹은 개인정보 처리시스템에 대한 접근 권한을 차등 부여하여 일반 직원의 경우, 환자분이나 직원의 주민등록번호 열람이 불가능하며, 환자분의 개인정보를 파일로 저장하는 것도 최고 관리자 또는 일반 관리자 권한으로만 가능합니다. 접근 권한을 부여하거나 말소하고, 직원별 접근 권한의 수준을 지정하는 것은 최고 관리자만 가능합니다. 접근권한에 대한 변경 로그는 3년간 보존됩니다. 이 기능을 활용하여, 사용자를 등록하고 권한을 차별부여, 1인 1계정 사용 원칙을 준수하시면 됩니다.

개인정보 처리 시스템 접근권한 차등 부여

직원별 세부 권한 설정

3.2.2 개인정보처리시스템(전자차트, 청구S/W 등) 접근 권한의 부여·변경·말소 내역의 기록 관리를 최소 3년간 보관하고 있는가?

덴트웹은 개인정보 처리시스템에 대한 접근권한 변경기록을 3년간 보존합니다. 권한 변경 기록은 최고관리자권한으로만 열람 가능하며, [환경설정] 오른쪽 아래의 [권한변경로그] 버튼을 눌러 확인할 수 있습니다. 권한변경로그는 변경이나 삭제가 불가능합니다.

덴트웹 사용자 권한 부여⋅변경⋅말소 기록은 3년간 보존되며, 변경이나 삭제가 불가합니다.

3.2.3 안전한 비밀번호 작성규칙을 적용하고 있는가?

덴트웹은 고시에 의거한 "안전한 비밀번호 작성 규칙"을 적용하고 있습니다. 안전한 비밀번호 작성규칙에 맞지 않을 경우 안내와 경고를 보여줍니다. (문자+숫자+특수문자 조합시 최소 8자리 이상의 비밀번호, 문자+숫자만 조합시 최소 10자리 이상의 비밀번호, 같은 문자 3번 이상 반복 금지, 연속된 3자리 숫자 사용 금지, 키보드의 연속된 문자 사용 금지, 비밀번호 변경 후 6개월 이상 경과 시 비밀번호 변경 경고)

안전한 비밀번호 작성규칙이 적용된 비밀번호 변경 화면과 비밀번호체크 소스코드의 일부

3.2.4 개인정보처리시스템(전자차트, 청구S/W 등)에 대하여 불법적인 접근 및 침해사고를 방지하기 위한 접근통제시스템을 설치/운영하고 있는가?

방화벽 소프트웨어나 IPS 장비와 같은 네트워크 보안솔루션을 설치/운용하는지에 대한 물음입니다. 유료 소프트웨어나 장비를 설치/운용하는 것이 가장 좋지만, 그런 것이 없다면 "윈도우 방화벽"이나 심평원의 DUR 프로그램에 포함된 백신/방화벽 프로그램인 "AOS(Ahnlab Online Security)" 를 사용하여도 접근 통제의 일부 기준은 준수한다고 볼 수 있습니다. 윈도우 방화벽을 켜는 방법(특별히 해제하지 않는 한 윈도우 방화벽은 기본적으로 켜져 있음)에 대해서는 인터넷 검색이나 컴퓨터 관리 업체의 도움을 받으시기 바라며, AOS에 대해서는 아래 3.5.1 항목을 참조하시면 됩니다.

• 참고 : 덴트웹도 윈도우 방화벽을 이용한 간단한 방화벽 설정 기능을 제공합니다. 덴트웹의 서버에서만 제공되며 [덴트웹 서버 관리자] 프로그램을 통해, 접속을 허용할 IP 주소를 지정하여 인가받지 않은 접근을 제한합니다. 기본적으로는 비활성화 상태이며, 허용IP가 설정되면 활성화되어 비허용된 IP의 접속은 차단합니다. 본 기능은 윈도우 방화벽을 켜두셔야 작동합니다.

덴트웹 DBMS에 접속을 허용할 IP 주소를 지정하여 인가 받지 않은 접근 제한

• 주의 : 방화벽은 네트워크 통신을 선별적으로 허용하거나 차단하는 기능으로, 방화벽 프로그램을 사용할 경우 덴트웹 및 타프로그램, 엑스레이 촬영·열람 등을 차단시킬 가능성이 있습니다. 이때는 백신이나 방화벽 프로그램에서 차단된 통신을 직접 허용시켜주셔야 합니다. 방법은 각 백신/방화벽 회사에 문의하셔야 하며, 만약 윈도우 방화벽에 의해 특정 프로그램, 엑스레이 등이 차단됐다면 이때는 각 프로그램 제조사나 엑스레이 회사 등에 문의하시면 됩니다. (덴트웹은, 덴트웹에 필요한 통신을 허용하도록 윈도우 방화벽에 자동 등록하므로 특별히 다른 설정을 하지 않는 한 윈도우 방화벽에 의해서는 차단되지 않음)

3.2.8 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 접근을 제한하고 있는가?(차트 1만 이상)

덴트웹 로그인시, 비밀번호가 5회 틀릴 경우 계정이 잠금조치되며 최고관리자 권한으로만 잠금을 해제할 수 있습니다. 치과 내 모든 최고관리자의 계정이 잠금조치되었을 때는 덴트웹 고객센터를 통해서만 잠금을 해제할 수 있습니다.

비밀번호 5회 틀릴 경우 계정 잠금 조치

3.2.9 일정시간 이상 업무처리를 하지 않을 시 자동으로 시스템 접속이 차단되도록 하고 있는가?(차트 1만 이상)

덴트웹은 일정 시간 동안 사용자 입력이 없는 경우 덴트웹에서 자동 로그아웃 할 수 있는 기능을 제공합니다. 본 기능은 관련 고시에 의거 차트 10,000개 이상 치과에서만 필수 기능이므로, 차트 10,000개 미만 치과에서는 비활성화 되어 있습니다.설정 변경은 [환경설정] => "기타설정" 에서 가능합니다.

일정 시간 동안 사용자 입력이 없는 경우 덴트웹 자동 로그아웃

3.3.1 고유식별정보, 비밀번호 및 바이오정보를 개인정보처리 시스템(전자차트, 홈페이지, 청구S/W 등)에 저장 시 암호화 하고 있는가?

3.3.2 고육식별정보, 비밀번호 및 바이오정보를 컴퓨터(업무용PC) 및 모바일기기에 저장 시 암호화하고 있는가?

3.3.4 고유식별정보, 비밀번호 및 바이오정보를 암호화하여 저장 시 안전한 암호 알고리즘 사용을 하였는가?

덴트웹은 고유식별정보를 안전하다고 인정된 암호화 알고리즘(AES-256)으로 암호화하여 저장하며, 비밀번호는 복호화가 불가능한 일방향 암호화 알고리즘(SHA-512)으로 암호화합니다.

덴트웹DB에 암호화되어 저장되어 있는 환자의 주민등록번호와 사용자 비밀번호

3.3.3 고유식별정보, 비밀번호 및 바이오정보를 정보통신망을 통하여 송·수신하거나 보조저장매체를 통하여 전달 시 암호화하고 있는가?

덴트웹이 개인정보를 외부와 송⋅수신하는 경우는 건강보험공단이나 심평원과의 통신(수진자조회, 청구, 재료대 신고 등)이 이뤄질 때 뿐이며, 이때는 건강보험공단이나 심평원에서 제공받은 S/W를 이용하므로 '양호'에 체크하시면 됩니다.(3.3.3의 세부내역에 보면 『심평원 청구 S/W는 암호화 및 안전한 송수신 기능 제공』 이라고 나와 있습니다.) 또한 덴트웹 서버와 치과 간의 문자전송 등을 위한 데이터 송,수신 시에도 AES256 암호화 후 SSL로 다시 암호화 하여 데이터를 송수신합니다.

3.3.5 고유식별정보를 인터넷과 내부망의 중간지점(DMZ)에 저장 시 암호화하고 있는가?

덴트웹은 항상 고유식별정보를 안전하다고 인정된 암호화 알고리즘(AES-256)으로 암호화하여 저장합니다.

- 참고 : 덴트웹은 기본적으로 내부망 내에서만 서비스되는 것을 목적으로 하는 프로그램이므로, 치과에서 직접 덴트웹의 외부 접속이 가능하도록 네트워크를 설비하지 않는 한, 외부(인터넷 등)로는 서비스되지 않기 때문에 당연히 DMZ 영역에 데이터를 저장하지도 않습니다.

- 덴트웹 이외 프로그램, 자료를 외부망에서 접속 가능하게 운용하신다면 이에 대해서도 확인하시기 바랍니다.

3.4.1 개인정보취급자의 접속기록을 최소 2년 이상 보관하여 관리하고 있는가?

3.4.2 접속기록의 위·변조 및 도난, 분실되지 않도록 접속 기록을 안전하게 보관하고 있는가?

관련 고시(행정안전부 고시 제2019-47호, 2019년 6월 7일 시행)가 개정됨에 따라 덴트웹은 개인정보 시스템 접속 및 작업내용 로그를 최소 2년간 보관합니다. 접속로그는 최고관리자권한으로만 열람 가능하며, [환경설정] 오른쪽 아래의 [접속로그] 버튼을 눌러 확인할 수 있습니다. 접속기록은 변경이나 삭제가 불가능합니다.

고시에서는 이 접속로그를 안전하게 보관하도록 되어 있습니다. 특정기간(ex: 3개월)마다 접속로그를 [엑셀저장]한 후, USB와 같은 별도의 저장장치에 저장하여, 위/변조, 도난, 분실되지 않도록 통제구역 혹은 잠금장치가 있는 곳에 안전하게 보관하시면 됩니다.

덴트웹 접속기록은 최소 2년간 보존되며, 변경이나 삭제가 불가합니다.

3.5.1 개인정보처리시스템이 설치된 업무용 PC에 백신 프로그램 등의 보안 프로그램의 설치 및 업데이트, 악성프로그램 삭제 등 지속적으로 관리하고 있는가?

윈도우 및 여러 프로그램들의 정기적 업데이트와 백신프로그램의 운용, 정기적 업데이트 여부에 대한 물음입니다. 점검 기준에서는 윈도우나 기타 프로그램들의 보안업데이트를 최신으로 유지하고 백신 소프트웨어도 항상 최신 업데이트하여 운용하도록 요구합니다. 이 중, "백신" 과 관련하여서는 현재 사용중이신 백신 프로그램이 없다면 DUR프로그램에 포함되어 배포되는 AOS(Ahnlab Online Security)를 사용하셔도 됩니다. AOS는 DUR프로그램에 포함되어 배포되는 '안랩'의 백신&방화벽 프로그램이며, 점검항목 3.5.1 세부내역에 보면 『기업용 백신S/W가 없는 경우, 심평원 제공 DUR모듈에 포함된 백신S/W(AhnLab Online Security)를 사용 가능』 이라고 되어 있습니다. 타사 청구/전자차트의 경우 DUR 설치시 AOS는 미설치하는 경우가 대부분이지만 덴트웹은 기본적으로 AOS를 설치하고 활성화합니다.

※ AOS 사용 여부 확인 방법

컴퓨터를 부팅하고 아무런 프로그램도 실행시키지 않은 상태에서 화면 오른쪽 아래 알림영역에 AOS의 아이콘이 있다면 사용 중인 상태입니다. 아래 그림을 참조하시기 바랍니다. DUR프로그램은 실행되어 있지 않아도 상관 없습니다.

※ AOS가 실행되어 있지 않을 때, 실행하는 방법

아래 방법대로 DUR설정창에서 "AOS 사용"에 체크하시면 됩니다. 알림영역에 DUR아이콘이 없는 경우도 있는데, 컴퓨터를 재부팅하거나 원외처방전 발급 후 일정시간동안 표시되오니 참고하시기 바랍니다.

알림영역에서 DUR 아이콘을 우클릭 - "DUR 설정"

"AOS 사용"에 체크하고 [저장 종료]

• 주의 : 백신이나 방화벽 프로그램을 처음 사용하실 경우 덴트웹 및 타프로그램, 엑스레이 촬영·열람 등을 차단시킬 가능성이 있습니다. 이때는 백신이나 방화벽 프로그램에서 차단된 프로그램이나 통신을 직접 허용시켜주셔야 합니다. 방법은 각 백신/방화벽 회사에 문의하셔야 하며, 만약 윈도우 방화벽에 의해 특정 프로그램, 엑스레이 등이 차단됐다면 이때는 각 프로그램 제조사나 엑스레이 회사 등에 문의하시면 됩니다. (덴트웹은, 덴트웹에 필요한 통신을 허용하도록 윈도우 방화벽에 자동 등록하므로 특별히 다른 설정을 하지 않는 한 윈도우 방화벽에 의해서는 차단되지 않음)

목록으로