• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

의료기관의 개인정보보호, 남은 숙제는? 2012.01.04

주민번호·연락처 동의 없이 수집가능, 하지만 ‘이메일’은 동의받아야

환자 동의없이 받은 개인정보, 진료목적 외 사용하면 불법

개인정보처리방침 수립·공개해야...미공개시 1천만원 과태료


[보안뉴스 김정완] 병원 등 의료기관의 개인정보는 정보의 특성상 그 보호와 관리가 매우 중요하다. 그럼에도 불구하고 관리자의 보안인식과 정보보호 시스템 구축실태가 미미한 수준이며, 이는 의료계가 개인정보의 사각지대로 지적된 이유로 작용했다. 특히, 의료기관의 개인정보 유출에 따른 법 규정도 없었다는 것 역시 큰 문제였다.


그런 가운데 개인정보보호법 시행으로 의료기관의 개인정보보호 문제가 어느 정도 명문화될 것으로 보인다. 하지만 의료기관에 개인정보를 제공하고 있는 정보주체들이 이러한 법 규정을 이해하지 못하고 있는 것은 물론 의료기관들 역시 이를 제대로 숙지하지 못하고 있는 실정이다. 그런 만큼 의료기관 및 정보주체들은 의료계 개인정보보호를 규정하고 있는 개인정보보호법 및 의료법 등을 정확히 이해하려는 노력이 필요하다.


우선 의료기관의 개인정보가 다른 분야의 개인정보와 다른 점이 무엇인지 살펴볼 필요가 있다. 왜냐하면 의료기관의 개인정보 보호실태가 그간 매우 허술했기 때문이다.  

 

의료기관, 주민번호, 연락처 등 동의 없이 수집 가능...‘이메일’은 동의 받아야

의료기관은 진료를 위해 환자의 성명, 주민등록번호, 주소, 질병정보 등을 수집해 관리할 수 있다. 의료법은 제22조를 통해 진료기록부, 조산기록부, 간호기록부, 그 밖의 진료에 관한 기록을 수집·사용하도록 하고 있으며, 이러한 진료기록 등은 대통령령(의료법 시행규칙 제15조)을 통해 환자명부 5년, 진료기록부 10년 등 일정기간 보관하도록 의무화하고 있다.


즉, 다른 분야의 개인정보 수집과 비교해 의료기관은 법에 의해 정보주체 의사와 관계없이 정보를 수집해야 하므로 동의절차가 불필요하다.


의료법은 진료의 예약, 진단, 진단결과 통보, 진료비 청구, 증명서 발급 등의 업무를 진료 목적으로 보고 있는데, 여기서 ‘환자의 성명, 주민등록번호, 주소, 질병정보 등’에서 연락처 정보인 휴대폰 번호도 필요정보로 포함시키느냐 아니냐의 문제가 발생한다.


이에 김진욱 행정안전부 개인정보보호과 전산사무관은 “진단결과 통보를 위해 필요한 연락처 정보(핸드폰 번호 포함)까지는 동의 없이 수집이 가능한 필수정보로 판단하고 있다”면서도 “이메일 정보는 선택정보로 이를 동의 없이 수집하는 것은 불법”이라고 설명했다.


또한, 제3자 제공과 관련해서는 건강보험 요양급여비용 청구를 위해 건강보험심사평가원에 주민등록번호 등 개인정보가 포함된 요양급여비용명세서를 제출하는 것(국민건강보험법 제43조)과 학술·연구 목적으로 진료정보를 제공할 경우 개인을 식별할 수 없는 형태로 제공하면 동의 없이 제공할 수 있도록 하고 있다(개인정보보호법 제18조2항).


진료목적으로 동의 없이 받은 개인정보, SMS 등 광고로 활용하면 불법!

의료기관이 환자의 개인정보를 동의 없이 받았더라도 이를 진료목적 외 서비스 제공을 위해 사용한다면 불법이다.


즉, 의료기관이 진료정보, 학술정보, 병원소식 등의 안내 및 환자의 의견수렴을 위해 휴대전화 문자, 이메일 등을 통해 추가 서비스를 제공하려면 이에 필요한 개인정보는 동의를 받아야 한다.


관례적으로 의료기관은 진료 외 서비스를 위한 개인정보에 대해서도 진료를 위해 의무적으로 수집해야 하는 개인정보와 함께 동의를 요구해 오다보니, 환자가 진료 외 서비스 목적으로 수집하는 것에 대해서는 동의하지 않을 권리가 있음에도 어쩔 수 없이 동의해야 하는 문제가 발생해온 것이 사실이다.


이에 김진욱 사무관은 “진료 외 서비스를 원하는 환자들에게만 선택적으로 동의서를 받고, 이들 환자들에게는 의료법에 따라 수집한 개인정보를 진료목적으로만 사용해야 한다”면서, “진료목적으로 동의 없이 받은 개인정보를 SMS 문자 등의 광고에 활용하면 불법인 만큼 의료기관은 진료 외 서비스를 위한 개인정보는 가급적 진료정보와 별도로 관리할 필요가 있다”고 조언했다.


또한, 김진욱 사무관은 “진료 외 서비스 목적의 개인정보수집에 동의하지 않는다는 이유로 진료를 거부할 경우에는 3천만원 이하의 과태료가 부과된다”며, “의료기관은 동의하지 않아도 진료에 지장이 없다는 것을 고지하고 동의를 강요하지 않도록 주의해야 한다”고 덧붙였다.


의료기관도 개인정보처리방침 수립·공개해야...미공개시 1천만원 과태료

아울러 의료기관도 개인정보보호법에 따라 의료법에 명시된 진료목적의 개인정보만을 수집·관리하더라도 개인정보를 안전하게 관리해야 하므로 개인정보처리방침을 수립해 공개해야 한다. 미공개시에는 1천만원 이하의 과태료가 부과된다.


이에 김진욱 사무관은 “진료 외 추가 서비스를 제공하는 병원은 물론 이를 제공하지 않는 병원 역시도 개인정보처리방침을 수립하고, 진료접수 창구에 이를 공지하는 안내문을 비치해 진료카드를 작성하는 환자들이 열람할 수 있도록 조치해야 한다”고 설명했다.


또한, 김진욱 사무관은 “홈페이지를 운영하지 않는 병원은 처리방침을 진료접수 창구에 반드시 공개해야 하고, 홈페이지를 운영하는 병원은 홈페이지에 공지하면 되지만 진료접수창구에도 공개할 것을 권고하고 있다”며, “이는 진료기록부 작성을 위해 주민등록번호 등 개인정보를 수집하는 데 대해 개인정보의 과다한 수집이라고 환자가 이의 제기를 할 수 있기 때문”이라고 덧붙였다.


특히, 의료기관에서 운영하는 홈페이지를 통한 가입 시 회원이 기입한 개인정보는 의료법에서 규정한 진료목적의 개인정보로 볼 수 없으므로 반드시 동의를 받아야 하며, 주민등록번호의 수집은 개인정보보호법에 따라 원칙적으로 금지하고 있다.


의료기관은 이외에도 △내부관리계획 수립(상시 근무인원 5인 이상 병·의원) △개인정보의 기술적 조치사항(방화벽 등 보안장비 설치) △진료정보관리 전문업체 위탁 시 고려사항 등의 ‘개인정보 안정성 확보 조치’ 및 ‘개인정보 침해 발생시 조치’ 사항 등을 고려해야 한다.


이와 관련해서는 행안부 개인정보보호과에서 발간한 개인정보보호법 적용사례 중 ‘의료기관 개인정보보호 사례’를 참고하면 된다. 해당자료는 ‘개인정보보호 종합지원 포털(http://www.privacy.go.kr/)’ 자료실에서 확인할 수 있다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>