개인정보처리방침 | 데이터 심의위원회(DRB)

시행일자: 2026년 5월 10일 (v1.0) · 최종 갱신: 2026년 5월 10일
이화의료원 데이터심의위원회(이하 "DRB")는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련된 고충을 신속하게 처리할 수 있도록 본 처리방침을 수립·공개합니다.

제1조 개인정보의 처리 목적

DRB 포털은 다음의 목적을 위하여 개인정보를 처리하며, 처리 목적이 변경되는 경우 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.

회원가입 및 본인 식별·인증: 신청자 식별, 부정 이용 방지, 가입 의사 확인
심의 신청 접수·심사·결과 통보: 데이터 활용 심의 신청서 접수, 사무국·심의위원회 검토, 결정사항 통보
고충 처리·민원 응대: 신청자 문의·이의제기·정정 요청에 대한 회신
AI 기반 사전검토 (선택): 신청자 동의 시 외부 생성형 AI 서비스를 통한 보조 검토
법령상 의무 이행: 개인정보 보호법, 생명윤리 및 안전에 관한 법률 등 관련 법령에 따른 기록 보존

제2조 처리하는 개인정보의 항목

1) 회원가입 시 (필수)

아이디, 비밀번호(암호화 저장), 성명, 이메일, 부서/소속, 휴대폰 번호
가입 일시, 최종 로그인 일시, 접속 IP(해시 처리)

2) 심의 신청 시 (필수)

신청자 정보: 성명, 소속, 이메일, 연락처, 직위/유형
책임연구자 정보: 성명, 소속병원, 직위, 연락처
연구 정보: 제목, 목적, 처리 방법, 데이터 항목, 활용 환경, 보안 관리 계획
IRB 정보: 접수번호, 심의 상태, 첨부 문서

3) 자동 수집 (서비스 이용 과정)

접속 일시, 서비스 이용 기록(감사 로그), 이용 IP(해시 처리)
쿠키: 세션 유지를 위한 필수 쿠키만 사용 (광고·분석 쿠키 미사용)

※ DRB 포털은 환자 진료기록·주민등록번호·건강정보 등 민감정보를 직접 수집하지 않습니다. 신청서·첨부자료에 식별 가능한 환자 정보가 포함되지 않도록 신청자가 직접 확인 후 제출해야 합니다.

제3조 개인정보의 처리 및 보유 기간

구분	보유 기간	근거
회원 정보	회원 탈퇴 시까지 (1년 이상 미접속 시 자동 삭제)	회원 본인의 동의 / 정보주체 권리 보장
심의 신청서·결정사항	심의 종료 후 5년	「생명윤리 및 안전에 관한 법률」 시행규칙 제15조
로그인·접속 기록	1년	「개인정보 보호법 시행령」 제30조
감사 로그(권한 변경·삭제 등)	무기한 (운영자 추적 의무)	안전성 확보조치 / 사고 대응

보유 기간이 경과한 개인정보는 지체 없이 파기하며, 파기 방법은 제5조에 따릅니다.

제4조 개인정보의 제3자 제공 및 처리 위탁

1) 제3자 제공

DRB 포털은 정보주체의 개인정보를 제1조의 목적 외 용도로 제3자에게 제공하지 않습니다. 다만, 「개인정보 보호법」 제17조 및 제18조에 따라 정보주체의 별도 동의가 있거나 법령에 특별한 규정이 있는 경우는 예외입니다.

2) 처리 위탁

DRB 포털은 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다.

위탁받는 자	위탁 업무	보유·이용 기간
네이버 클라우드(주)	서비스 호스팅 인프라 운영, 메일 발송 (NCP Cloud Outbound Mailer)	위탁 계약 종료 시까지
Anthropic, PBC (미국)	AI 사전검토 (신청자 동의 시에만 수행) ※ 신청자 성명·소속은 외부 전송에서 자동 제외됨	전송 후 약 30일 이내 자동 폐기 (Anthropic 정책)

※ AI 사전검토 위탁은 신청자가 신청서 작성 시 별도 동의한 경우에만 이루어지며, 동의를 거부하더라도 신청서 제출에는 지장이 없습니다. 자세한 국외 이전 안내는 심의신청서 페이지 내 동의 단계에서 확인하실 수 있습니다.

제5조 개인정보의 파기 절차 및 방법

개인정보의 보유 기간이 경과하거나 처리 목적이 달성된 경우 지체 없이 해당 개인정보를 파기합니다.

전자적 파일: 복구·재생할 수 없도록 영구 삭제
종이 문서: 분쇄 또는 소각
파기 시점: 보유 기간 경과 후 즉시(자동화된 일괄 처리 또는 사무국 수동 파기)

제6조 정보주체의 권리·의무 및 행사 방법

정보주체는 DRB 포털에 대해 언제든지 다음 권리를 행사할 수 있습니다.

개인정보 열람 요구
오류 등이 있을 경우 정정 요구
삭제 요구 (단, 법령에 보존 의무가 있는 경우 예외)
처리 정지 요구
동의 철회 (회원 탈퇴를 통해 행사 가능)

권리 행사는 포털 내 회원정보 화면, 또는 아래 사무국 연락처(제8조)를 통해 서면·이메일로 요청할 수 있으며, DRB 포털은 지체 없이 조치하겠습니다.

제7조 개인정보의 안전성 확보 조치

DRB 포털은 개인정보의 안전성 확보를 위해 다음과 같은 기술적·관리적 조치를 시행하고 있습니다.

암호화: 비밀번호는 단방향 해시(bcrypt)로 저장, 통신은 HTTPS 강제(HSTS 적용)
접근 통제: 관리자 권한 분리, 2단계 인증(TOTP), 세션 자동 만료, 세션 ID 회전
침해 대응: CSRF·XSS·SQL 인젝션 방어, Rate Limit, 보안 헤더 적용
감사 로그: 권한 변경·중요 액션의 감사 로그 무결성 보존(수정·삭제 불가)
접속 IP 보호: 조회 기록 시 접속 IP는 SHA-256 해시 처리하여 원본 미보존

제8조 개인정보 보호책임자 및 문의처

개인정보 보호책임자: 이화의료원 데이터심의위원회 사무국
이메일: drb@eumc.ac.kr
전화: 02-0000-0000
개인정보 처리에 관한 문의·불만·피해 구제를 신청하실 수 있습니다.

그 밖의 개인정보 침해에 대한 신고·상담은 아래 기관에 문의하실 수 있습니다.

개인정보분쟁조정위원회: 1833-6972 (www.kopico.go.kr)
개인정보침해신고센터: 118 (privacy.kisa.or.kr)
대검찰청 사이버수사과: 1301 (www.spo.go.kr)
경찰청 사이버수사국: 182 (ecrm.cyber.go.kr)

제9조 처리방침의 변경

본 개인정보처리방침은 시행일자에 적용되며, 법령 또는 운영 정책의 변경에 따라 내용 추가·삭제·정정이 있을 경우 시행 7일 전부터 본 페이지를 통해 고지합니다. 중요한 변경(수집 항목·보유 기간·제3자 제공 등)이 있는 경우 별도의 동의 절차를 거칩니다.

※ 본 처리방침의 정식 발행본은 사무국 검토 후 확정됩니다. 본 페이지는 v1.0 시행본입니다.