시행일자: 2026-04-15 최종 개정일: 2026-04-15
주식회사 오엠티소프트(이하 "회사")는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보 보호 및 권익을 보호하고 개인정보와 관련한 고충을 원활히 처리할 수 있도록 다음과 같은 개인정보처리방침을 수립·공개합니다.
제1조 (개인정보의 처리 목적)
회사는 의료기관의 위탁을 받아 HonorsLab 소프트웨어를 통한 검사실 업무 지원 서비스를 제공하며, 개인정보를 다음의 목적을 위하여 처리합니다. 처리하고 있는 개인정보는 다음의 목적 이외의 용도로는 이용되지 않으며, 이용 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.
- 서비스 사용자 계정 관리 - 소프트웨어 사용자 인증, 접근 권한 관리, 사용 이력 관리
- 위탁받은 검사 데이터 처리 - 의료기관이 위탁한 검사 결과의 입력·조회·출력·정리·시각화 지원
- 고객 지원 및 유지보수 - 기술 지원, 오류 대응, 소프트웨어 업데이트 배포
- 법령상 의무 이행 - 관계 법령에 따른 기록 보존 및 감독 기관 대응
제2조 (처리하는 개인정보의 항목)
1. 소프트웨어 사용자 (의료기관 종사자)
| 구분 | 항목 |
|---|---|
| 필수 | 사용자 ID, 비밀번호(해시), 소속 의료기관, 역할(role) |
| 선택 | 연락처(고객지원 요청 시) |
| 자동수집 | 로그인 기록, 접근 IP, 사용 이력, 오류 로그 |
2. 환자 정보 (위탁처리)
본 항목은 의료기관(개인정보처리자)의 위탁에 따라 처리되며, 회사는 수탁자로서 처리합니다. 처리 항목은 위탁계약서에 따릅니다.
| 구분 | 항목 (예시) |
|---|---|
| 식별정보 | 차트번호, 환자명, 생년월일, 성별 |
| 민감정보 | 검사 결과, 혈액형, 수혈 이력, 감염 상태 |
| 기타 | 병실번호, 입·퇴원 정보, 담당 의료진 |
환자정보의 수집·보유 주체는 해당 의료기관이며, 회사는 위탁 범위 내에서만 이를 처리합니다.
제3조 (개인정보의 처리 및 보유 기간)
- 회사는 법령에 따른 보유·이용 기간 또는 정보주체로부터 개인정보를 수집 시에 동의받은 개인정보 보유·이용 기간 내에서 개인정보를 처리·보유합니다.
- 구체적 보유 기간은 다음과 같습니다.
| 처리 목적 | 보유 기간 |
|---|---|
| 사용자 계정 정보 | 의료기관과의 위탁계약 종료 시까지 |
| 접속 로그 | 3개월 (통신비밀보호법 §15-2) |
| 의료기관 위탁 환자정보 | 위탁계약서에 정한 기간 (의료기관의 법령상 보존의무에 따름) |
| 외부 API 전송 감사 로그 | 5년 |
제4조 (개인정보의 제3자 제공)
회사는 정보주체의 개인정보를 제1조(개인정보의 처리 목적)에서 명시한 범위 내에서만 처리하며, 정보주체의 동의, 법률의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우에만 개인정보를 제3자에게 제공합니다.
제5조 (개인정보 처리의 위탁)
1. 회사가 수탁받는 경우
회사는 의료기관으로부터 환자 정보의 처리를 위탁받아 처리합니다. 위탁 내용은 해당 의료기관과 체결한 "개인정보 처리위탁 계약서"에 따릅니다.
2. 회사가 위탁하는 경우
회사는 원활한 서비스 제공을 위하여 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다.
| 수탁자 | 위탁 업무 | 개인정보 이전 여부 |
|---|---|---|
| Anthropic, PBC | 카카오워크 메시지의 중증도 분류 (kakaocatch 모듈) | 비식별화 후 전송 |
※ kakaocatch 모듈은 외부 LLM API 호출 전 모든 개인 식별 정보를 마스킹(비식별화)한 후 전송하며, 원문은 전송되지 않습니다. 전송 내역은 감사 로그로 5년간 보관합니다.
해당 정보는 개인을 식별할 수 없도록 제거 또는 대체(토큰화)되며, 해당 정보만으로 특정 개인을 식별할 수 없습니다.
제6조 (국외 이전)
회사는 위탁업무 수행을 위해 다음과 같이 개인정보를 국외로 이전할 수 있습니다.
| 이전받는 자 | 이전 국가 | 이전 항목 | 이전 목적 |
|---|---|---|---|
| Anthropic | 미국 | 비식별화된 메시지 텍스트 | LLM을 통한 의료진 업무 메시지의 중증도 분류 |
이전되는 정보는 개인을 식별할 수 없도록 비식별화된 상태이며, 해당 제공자는 처리 후 30일 이내에 데이터를 삭제합니다.
환자 식별 정보는 외부 시스템으로 전송되지 않습니다.
제7조 (정보주체의 권리·의무 및 행사 방법)
- 정보주체는 회사에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있습니다. - 개인정보 열람 요구 - 오류 등이 있을 경우 정정 요구 - 삭제 요구 - 처리 정지 요구
- 환자 정보에 관한 권리 행사는 해당 의료기관을 통하여 수행하여야 합니다.
- 권리 행사는 제12조의 개인정보 보호책임자에게 서면, 전자우편 등을 통하여 요청할 수 있으며, 회사는 이에 대해 지체 없이 조치하겠습니다.
제8조 (개인정보의 파기)
- 회사는 개인정보 보유기간의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기합니다.
- 파기 방법 - 전자적 파일: 복구할 수 없도록 안전하게 삭제 - 종이 문서: 분쇄기로 분쇄하거나 소각
제9조 (개인정보의 안전성 확보 조치)
회사는 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.
1. 관리적 조치
- 내부관리계획 수립·시행
- 정기적 직원 교육
- 접근 권한 최소화 원칙 적용
2. 기술적 조치
- 비밀번호 해시화: bcrypt 등 안전한 알고리즘 적용
- 데이터 암호화: Fernet 등 대칭키 암호화 적용
- 통신 암호화: 자체 인증기관(CA) 기반 SSL/TLS 등 적용
- SQL 인젝션 방지: 파라미터화된 쿼리 사용
- 접속 기록 보관: 최소 3개월 이상 보관·관리
- 권한 분리: 역할 기반 접근 제어(RBAC)
3. 물리적 조치
- 전산실 접근 통제 (의료기관 관리)
- 사내 개발 환경의 접근 통제
제10조 (의학적 판단의 책임 및 의료기기 관련 사항)
본 시스템은 의료진의 판단을 보조하기 위한 정보 제공 도구이며, 진단 및 치료 결정은 의료진의 책임 하에 이루어져야 합니다.
- 본 소프트웨어가 제공하는 모든 정보 표시, 색상 표시, 경고 알림은
의료진이 입력한 데이터의 단순 표시이며, 시스템이 임상적 판단을 생성하지 않습니다.
- 수혈(TF), 감염 관리, 검사 결과 등 모든 임상적 결정은
자격 있는 의료진의 독립적 판단에 의하여야 합니다.
- 본 소프트웨어의 의료기기 해당 여부는 관계 법령 및 식품의약품안전처의
기준에 따릅니다.
제11조 (개인정보 보호책임자)
회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
| 구분 | 내용 |
|---|---|
| 성명 | 김민기 |
| 직책 | 대표이사 |
| 소속 | 오엠티소프트 유한회사 |
| 연락처 | support@honorslab.uk |
제12조 (권익침해 구제방법)
정보주체는 개인정보침해로 인한 구제를 받기 위하여 아래 기관에 분쟁해결이나 상담 등을 신청할 수 있습니다.
| 기관 | 연락처 |
|---|---|
| 개인정보분쟁조정위원회 | 1833-6972 (www.kopico.go.kr) |
| 개인정보침해신고센터 | 118 (privacy.kisa.or.kr) |
| 대검찰청 사이버수사과 | 1301 (spo.go.kr) |
| 경찰청 사이버수사국 | 182 (ecrm.police.go.kr) |
제13조 (개인정보 처리방침의 변경)
이 개인정보처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 공지사항을 통하여 고지할 것입니다.
부칙
제1조 (시행일) 본 방침은 2026년 4월 15일부터 시행합니다.