개인정보 처리방침

국민건강보험공단(www.nhis.or.kr 이하 "공단" )은 국민 여러분의 소중한 개인정보를 수집 · 이용 · 제공 등 처리 시 「개인정보보호법」 등 관련 법령상의 개인정보보호 규정을 준수하며, 「개인정보보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련된 고충을 신속하게 원활하게 처리할 수 있도록 다음과 같이 ‘개인정보 처리방침’을 수립·공개하고 있습니다. 이 방침은 공단에서 운영하는 모든 웹사이트에 적용됨을 알려드립니다.

현재 방침 살펴보기

- 목차 -
1. 개인정보의 처리목적

공단은 소관 업무 수행 및 민원처리 등을 목적으로 최소한의 개인정보를 수집·이용·처리하고 있습니다.

2. 개인정보의 처리 및 보유기간, 처리하는 개인정보의 항목
  1. ① 공단이 「개인정보보호법」 제32조에 따라 등록, 공개하는 개인정보파일의 처리목적, 처리 및 보유기간, 처리하는 개인정보의 항목은
      다음과 같습니다.
    개인정보파일 내역 다운로드
  2. ② 공단의 개인정보파일 현황은 다음의 방법으로 확인하실 수 있습니다.

    개인정보보호 종합지원포털(www.privacy.go.kr) → 개인정보민원 → 개인정보의 열람 등 요구 → 개인정보파일 목록 검색 →
    기관명에 “국민건강보험공단” 입력 후 조회

3. 개인정보의 제 3자 제공
  1. ① 공단은 공단 업무와 관련이 없는 경우 「개인정보보호법」 제18조에 따라 원칙적으로 정보주체의 개인정보를 제3자에 제공하지 않으며,
      법이 허용하는 다음의 예외적인 사항에 한하여 제공하고 있습니다. 이 경우에도 정보주체 또는 제3자의 이익을 부당하게 침해할
      우려가 있는 경우 제공을 제한하고 있습니다.
    • 가. 정보주체로부터 별도의 동의를 받는 경우
    • 나. 법률에 특별한 규정이 있는 경우
    • 다. 정보주체 또는 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서
      명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
    • 라. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아 볼 수 없는 형태로 개인정보를 제공하는 경우
    • 마. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수
      없는 경우로서 보호위원회의 심의·의결을 거친 경우
    • 바. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
    • 사. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
    • 아. 법원의 재판업무 수행을 위하여 필요한 경우
    • 자. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
  2. ② 공단은 「개인정보보호법」 제23조의 민감정보 중 공단이 처리하고 있는 개인정보를 ‘건강보험·장기요양보험 민감정보’ 대상으로
      선정하여 엄격하게 제공하고 있습니다.
  3. ③ 공단은 위 법령 및 기타 개별법에 근거하여 제공하는 주요현황을 홈페이지에 공개하고 있습니다.
    개인정보 제3자 제공내역
4. 개인정보 처리 위탁

공단은 개인정보 처리 업무를 위탁하는 경우 「개인정보보호법」 제26조에 따라 다음 내용이 포함된 문서에 의하여 처리하고, 수탁자 및 위탁하는 업무내용을 공개하고 있습니다.

  • 가. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
  • 나. 개인정보의 관리적·기술적 보호조치에 관한 사항
  • 다. 개인정보의 안전관리에 관한 사항
    • 위탁업무의 목적 및 범위, 재위탁 제한, 개인정보 안전성 확보 조치에 관한 사항, 위탁업무와 관련하여
      보유하고 있는 개인정보의 관리현황점검 등 감독에 관한 사항, 수탁자가 준수하여야할 의무를 위반한 경우의
      손해배상책임에 관한 사항

수탁자 및 위탁업무 내역

5. 정보주체의 권리·의무 및 그 행사 방법

정보주체는 다음과 같은 권리를 행사 할 수 있으며, 만14세 미만 아동의 법정대리인은 그 아동의 개인정보에 대한 열람, 정정, 삭제, 처리정지를 요구할 수 있습니다.

① 개인정보 열람 요구

정보주체는 공단에서 보유하고 있는 개인정보파일에 대하여 「개인정보보호법」제35조에 따라 자신의 개인정보에 대한 열람을
요구할 수 있습니다. 다만, 다음의 경우는 열람이 제한될 수 있습니다.

  • 가. 법률에 따라 열람이 금지되거나 제한되는 경우
  • 나. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
  • 다. 공공기관이 다음 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
    • 조세의 부과·징수 또는 환급에 관한 업무
    • 「초·중등교육법」및「고등교육법」에 따른 각급 학교,「평생교육법」에 따른 평생교육시설,
      그 밖의 다른 법률에 따라 설치 된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
    • 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무
    • 보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무
    • 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무
② 개인정보 정정 · 삭제 요구

정보주체는 공단에서 보유하고 있는 개인정보파일에 대하여 「개인정보보호법」제36조에 따라 자신의 개인정보에 대한 정정·삭제를 요구할 수 있습니다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없습니다.

  • 가. 정정 : 사실과 다르게 기록된 정보
  • 나. 삭제 : 정보주체의 정보가 아니거나 보유 불필요한 정보 등
③ 개인정보 처리정지 요구

정보주체는 공단에서 보유하고 있는 개인정보파일에 대하여 「개인정보보호법」 제37조에 따라 자신의 개인정보에 대한 처리정지를
요구할 수 있습니다. 다만, 다음의 겨우 처리정지 요구가 거절될 수 있습니다.

  • 가. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
  • 나. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
  • 다. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
  • 라. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가
    그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
④ 개인정보 열람, 정정 · 삭제, 처리정지 요구 방법
  • 가. 개인정보보호 종합지원포털(www.privacy.go.kr) 개인정보 열람 등 요구 신청

  • 청구인(정보주체 또는 대리인) → 온라인청구 → 행정자치부 → 이관 → 국민건강보험공단 → 10일 이내 결과 통보

    • 관련서식 :「개인정보보호법 시행규칙」별지 제8호, 제11호 서식
  • 나. 정보주체와 만14세 미만 아동의 법정대리인은 서면, 전자우편, 모사전송(FAX) 등을 통하거나, 공단 지사에 내방하여
    본인확인 절차(개인정보 보호법 시행령 제46조)를 거친 후 열람 등 청구

공단 지사 현황 다운로드

정보주체 본인확인 절차

  • 정보주체 본인인 경우에는 신분을 증명할 수 있는 증명서(주민등록증, 운전면허증 등 행정기관에 의해 공인된 것으로 쉽게 변조 및 도용을 할 수 없는 것) 제출
  • 정보주체의 법정대리인인 경우에는 법정대리인을 증명할 수 있는 서류 제출
  • 정보주체의 위임을 받은 자는 위임장과 위임자와 대리인의 주민등록증 등 신분을 확인할 수 있는 증명서 제출
  • 웹사이트나 온라인은 공인인증서를 통한 인증절차로 확인

※ 개인정보 열람.정정.삭제.처리정지 청구 절차

청구인(정보주체 또는 대리인)이 열람, 정정또는삭제, 처리정지를 청구하면 부서장(지사, 지역본부, 본부 각 실)에서 10일 이내 결과 통보

  • 개인정보처리자는 개인정보보호법 제35조에 따라 열람을 연기, 제한하거나 거절할 수 있습니다.
6. 개인정보 파기

공단은 원칙적으로 개인정보 보유기간이 경과하거나, 처리목적이 달성된 경우에는 지체 없이 해당 개인정보를 파기합니다.
다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 않을 수 있습니다. 파기 절차, 기한 및 방법은 다음과 같습니다.

가. 파기 절차
: 관련 법령 및 내부 방침에 따라 엄격한 통제절차에 의거 파기
나. 파기 기한
: 보존기간이 경과하거나 목적이 달성된 개인정보는 그 개인정보가 불필요하게 되었을 때 즉시
다. 파기 방법
  • 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각을 통하여 파기
  • 전자적 파일 형태로 저장된 개인정보는 기록을 재생할 수 없는 기술적 방법을 사용하여 삭제
7. 개인정보의 안전성 확보 조치

공단은 「개인정보보호법」 제29조에 따라 다음과 같이 개인정보 안전성 확보에 관한 기술적·관리적·물리적 조치를 취하고 있습니다.

① 내부 관리계획의 수립·시행

공단은 다음 사항이 포함된 내부관리계획을 수립·시행하고 있습니다.

  • 가. 개인정보 보호책임자의 지정에 관한 사항
  • 나. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
  • 다. 개인정보취급자에 대한 교육에 관한 사항
  • 라. 접근 권한의 관리에 관한 사항
  • 마. 접근 통제에 관한 사항
  • 바. 개인정보의 암호화 조치에 관한 사항
  • 사. 접속기록 보관 및 점검에 관한 사항
  • 아. 악성프로그램 등 방지에 관한 사항
  • 자. 물리적 안전조치에 관한 사항
  • 차. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
  • 카. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
  • 타. 위험도 분석 및 대응방안 마련에 관한 사항
  • 파. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
  • 하. 수탁자에 대한 관리 및 감독에 관한 사항 및 그 밖에 개인정보 보호를 위하여 필요한 사항
② 접근권한의 관리
  • 가. 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하고 있습니다.
  • 나. 전보, 퇴직 등 인사이동으로 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경·말소하고 있으며, 권한 부여·변경·말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하고 있습니다.
  • 다. 개인정보처리시스템에 접속할 수 있는 사용자계정은 개인정보취급자 별로 발급하고 있으며, 다른 개인정보취급자와 공유되지 않도록 하고 있습니다.
  • 라. 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립·적용하고 있습니다.
  • 마. 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 접근을 제한하는 등 필요한 기술적 조치를 하고 있습니다.
③ 접근 통제
  • 가. 공단은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음의 조치를 하고 있습니다.
    • 개인정보처리시스템 접속권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근 제한
    • 개인정보처리시스템에 접속한 IP 주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지·대응
  • 나. 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단이나 인증수단을 적용하고 있습니다.
  • 다. 개인정보가 열람권한이 없는 자에게 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 등을 통하여 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 조치를 하고 있습니다.
  • 라. 공단은 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 2회 취약점을 점검하고 필요한 보완 조치를 하고 있습니다.
  • 마. 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속을 차단하고 있습니다.
  • 바. 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하고 있습니다.
④ 개인정보 암호화
  • 가. 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등으로 전달하는 경우에는 이를 암호화 하고 있고, 비밀번호 및 바이오정보는 암호화하여 저장하고 있으며, 비밀번호는 복호화되지 않도록 일방향 암호화하여 저장하고 있습니다.
  • 나. 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ: Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하고 있습니다.
  • 다. 내부망에 고유식별정보를 저장하는 경우「개인정보보호법」제33조에 따른 개인정보 영향평가를 실시하고 있습니다.
  • 라. 개인정보를 안전한 암호알고리즘으로 암호화하여 저장하고 있으며, 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립․시행하고 있습니다.
  • 마. 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하고 있습니다.
⑤ 접속기록의 보관 및 점검

개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리하고 있으며, 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 반기별로 1회 이상 점검하고 있습니다.

⑥ 악성프로그램 등 방지

악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하고 있습니다.

  • 가. 보안 프로그램의 자동 업데이트 기능을 사용하고 있습니다.
  • 나. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시하고 있습니다.
  • 다. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치를 하고 있습니다.
⑦ 관리용 단말기의 안전조치

개인정보 유출 등 침해사고 방지를 위하여 관리용 단말기에 대해 다음의 안전조치를 취하고 있습니다.

  • 가. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치하였으며, 본래 목적 외로 사용되지 않도록 조치하고 있습니다.
  • 나. 악성프로그램 감염 방지 등을 위한 보안조치 적용을 하고 있습니다.
⑧ 물리적 안전조치
  • 가. 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 장소를 별도로 두고 있으며, 이에 대한 출입통제 절차를 수립·운영하고 있습니다.
  • 나. 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하고 있으며, 개인정보가 포함된 보조저장매체의 반출·반입 통제를 위한 보안대책을 마련하고 있습니다.
⑨ 재해·재난 대비 안전조치

화재, 홍수, 단전 등의 재해․재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하고 있으며, 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하고 있습니다.

8. 권익침해 구제방법
  1. ① 정보주체는 개인정보에 관한 권리 또는 이익을 침해받은 경우 공단 「개인정보 보호규칙」이 정하는 바에 따라 침해사실을
      공단에 신고하여 처리결과를 통보받을 수 있습니다.
  2. ② 공단에 신고와는 별로도 개인정보침해로 인한 피해를 구제 받기 위하여 개인정보 침해신고센터, 개인정보분쟁조정위원회 등에
      분쟁해결이나 피해구제, 상담 등을 신청할 수 있습니다.

    개인정보 침해신고센터 (한국인터넷진흥원 운영)

    • 소관업무 : 개인정보 침해사실 신고, 상담 신청
    • 홈페이지 : privacy.kisa.or.kr
    • 전화 : (국번없이) 118
    • 주소 : (05717) 서울시 송파구 중대로 135 한국인터넷진흥원 개인정보침해신고센터

    개인정보 분쟁조정위원회 (개인정보보호위원회 운영)

    • 소관업무 : 개인정보 분쟁조정신청, 집단분쟁조정(민사적 해결)
    • 홈페이지 : www.kopico.go.kr
    • 전화번호 : 1833-6972

    대검찰청 사이버수사과 : (국번없이)1301 (www.spo.go.kr)

    경찰청 사이버안전국 : (국번없이)182 (http://cyberbureau.police.go.kr)

  3. ③ 개인정보의 열람, 정정·삭제, 처리정지 등에 대한 정보주체의 요구에 대하여 공공기관의 장이 행한 처분 또는 부작위로 인하여
      권리 또는 이익의 침해를 받은 정보주체는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.

※ 행정심판에 대해 자세한 사항은 행정심판위원회(http://www.simpan.go.kr) 홈페이지를 참고하시기 바랍니다.

9. 개인정보책임자 및 담당자 연락처

「개인정보보호법」 제31조 제1항에 따른 공단의 개인정보보호 책임자를 지정하고 있으며, 개인정보 보호담당자는 다음과 같습니다.

개인정보 보호책임자 연락처 표
개인정보 보호책임자
직위 및 성명 법무지원실장 안수민
전화 033) 736-1240~1243
팩스 033) 749-6308
개인정보 보호담당자 연락처 표
개인정보 보호담당자
직위 및 성명 개인정보보호부장 변영심
전화 033) 736-1240~1243
팩스 033) 749-6307
10. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항

공단은 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치를 설치․운영하지 않습니다. 만약 이러한 장치를 설치․운영하게 되는 경우 본 방침을 통해 그 운영 목적과 수집되는 개인정보 항목을 공개할 것입니다.

11. 정보보호 활동

공단은 국민의 소중한 개인정보를 최고 수준으로 보호하도록 노력하고 있으며, 이러한 노력을 대외적으로도 인정받고 있습니다.

  • 개인정보보호 관리체계(PIMS) 인증마크 이미지
  • ‘개인정보보호 관리체계(PIMS) 인증’ 3년 연속 취득
    공단은 ‘15년 9월 개인정보보호 인증(PIPL)을 취득한 이후 인증제도 통합에 따라 ‘18년 4월 10일 개인정보 관리체계(PIMS)에서도 3년 연속 국민의 개인정보를 지속적으로 안전하게 보호하고 있음을 인정받았습니다.
  • 개인정보보호 우수사이트마크(ePRIVACY) 인증마크 이미지
  • ‘개인정보보호 우수사이트마크(ePRIVACY) 인증’ 6년 연속 취득
    공단 홈페이지(www.nhis.or.kr)에 대해 개인정보 보호수준 및 관리의 우수성 확인을 위한 82개 항목을 진단하여 평가 우수기관을 인증하는 제도로 6년 연속 취득
  • 인터넷사이트 안전마크(i-Safe) 인증마크 이미지
  • ‘인터넷사이트 안전마크(i-Safe) 인증’ 6년 연속 취득
    공단 홈페이지(www.nhis.or.kr)에 대해 시스템 보안 및 개인정보보호의 안전성 등 105개 항목을 중점적으로 진단하여 그에 대한 안정성을 인증하는 제도로 6년 연속 취득
  • 개인정보 관리수준 평가 우수 이미지
  • ‘17년「개인정보 관리수준」평가 ‘우수’ 등급 획득
    행정자치부·보건복지부 주관「개인정보 관리수준」평가에서 9년 연속으로 최고 등급인 ‘우수’ 등급을 획득하여 국내 최고 수준의 개인정보보호 관리능력을 갖춘 기관으로 평가되었습니다.
12. 개인정보 처리방침의 변경에 관한 사항

본 방침은 2018년 8월 10일부터 시행되며, 「개인정보보호법」 제30조(개인정보 처리방침의 수립 및 공개)에 따라 개인정보 처리방침을 변경하는 경우 정보주체가 쉽게 확인할 수 있도록 홈페이지에 공개하고, 변경이력을 관리하고 있습니다.