법률이 허용하는 경우에 따라 CCTV 설치

[보안뉴스 편집국] 최근 민감한 진료정보 유출로 인한 사고가 증가하고 있다. 그럼에도 불구하고 병·의원의 개인정보보호 강화조치는 아직 걸음마 단계다.

2011년 개인정보보호법이 본격 시행된 이후에도 의료법과 상충되는 부분이 지속적으로 제기되고 있기 때문이다. 개인정보보호법은 일반법이므로 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법이 적용된다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
다만 의료법에 따른 진료기록부, 조산기록부, 간호기록부, 환자명부, 수술기록부, 처방전 등을 위한 개인정보 수집·열람·제공은 의료법 규정이 우선 적용된다.

의료법에 규정돼 있지 않은 사항은 개인정보보호법에 따라 적용된다. 여기에는 영상정보처리기기 설치운영 제한, 유출통지제, 집단분쟁조정제, 권리침해 중지 단체소송 등이 해당된다.

의료기관 업무 특성 고려한 개인정보 처리기준 필요
보건복지부와 행정자치부는 최근 기존 ‘의료기관 개인정보보호 가이드라인’을 개정해 각 의료기관의 개인정보보호 교육 자료로 활용하도록 했다.

의료기관은 환자의 건강상태, 신체적 특징, 병력 등 민감정보, 주민등록번호 등 고유식별정보, 그 밖에 신용카드번호, 통장계좌번호, 근로정보, 개인영상정보 등 다양한 개인정보를 처리하고 있다.

개인정보 유출로 인해 환자 및 의료기관 근로자는 자신의 개인정보 자기결정권을 침해받고 유출된 개인정보로 인한 2차 피해를 받게 된다.

이에 정부는 의료기관의 업무특성을 고려한 개인정보 처리기준을 마련했다.

개인정보보호를 위한 일반법인 ‘개인정보보호법’ 이 2011년 9월 30일부터 시행 중인 가운데 개인정보보호 기반조성 및 개인정보보호법의 안정적 정착을 위해 약 6만여 의료기관 업무의 특성에 따른 개인정보 처리기준이 필요했기 때문이다.

환자·의료인·의료기관 직원 등의 개인정보 처리기준 및 유의사항을 이해하기 쉽고, 개인정보 처리에 따른 의료기관과 환자 사이에 발생할 수 있는 분쟁예방 및 개인정보 침해사고 방지를 위해 개인정보보호 가이드라인 ‘의료기관 편’을 마련한 것이다.

개정된 가이드라인의 주요 내용은 다음과 같다.

병원에서 CCTV 등 영상정보처리기기 설치시 주의사항
보건복지부와 행정자치부는 최근 기존 ‘의료기관 개인정보보호 가이드라인’을 개정해 각 의료기관의 개인정보보호 교육 자료로 활용하도록 했다.

이에 따르면 의료기관은 법률이 허용하는 경우에 한하여 영상정보처리기기를 설치·운영할 수 있으며, 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등의 조치를 해야 한다.

공개된 장소에서의 영상정보처리기기
의료기관의 복도, 계단, 주차장 등 불특정 다수가 통제받지 않고 다닐 수 있는 공개된 장소에 영상정보처리기기를 설치·운영하고자 하는 경우 다음의 사항을 준수해야 한다.

영상정보처리기기 설치·운영에 따른 주의사항
- 영상정보처리기기 설치·운영 제한 및 필요 최소한 촬영
- 영상정보처리기기 임의조작·녹음 금지
- 안내판 설치를 통한 설치 사실 공지
- 영상정보처리기 운영·관리방침 수립·공개 및 책임자 지정
- 영상정보의 목적 외 이용·제공 제한 및 보관·파기 철저
- 영상정보처리기기의 설치·운영 위탁시 관리·감독 철저
- 개인영상정보의 안전성 확보 조치 및 자체 점검 실시

또한, 의료기관은 공개된 장소에서 예외적으로 영상정보처리기기를 설치·운영할 수 있는 사유에 해당하는 경우에 한해 영상정보처리기기를 설치·운영할 수 있다. 공개된 장소에서 영상정보처리기기의 설치·운영을 허용하는 경우는 다음과 같다.

- 법령에서 구체적으로 허용하고 있는 경우
- 범죄의 예방 및 수사를 위하여 필요한 경우
- 시설안전 및 화재 예방을 위하여 필요한 경우
- 교통단속을 위하여 필요한 경우
- 교통정보의 수집분석 및 제공을 위하여 필요한 경우

그리고 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인 사생활을 침해할 우려가 있는 장소의 내부를 볼 수 있도록 하는 영상정보처리기기의 설치·운영은 금지되지만, 법령으로 정하는 시설은 예외로 하고 있다.

아울러 의료기관은 영상정보처리기기의 설치목적과 다른 목적으로 영상정보처리기를 임의로 조작하거나 다른 곳을 비춰서는 안 되며, 녹음기능은 사용할 수 없다.

비공개 장소의 영상정보처리기기
의료기관의 진료실, 처치실, 수술실, 입원실, 행정사무실, 의무기록실, 전산소 등 출입에 제한이 있는 공간에 영상정보처리기기를 설치하여 개인영상 등을 수집하고자 하는 경우에는 정보주체의 수집·이용 동의를 받아야 한다.

동의를 받을 때에는 영상정보 수집의 목적, 보유기간 등을 알리고 동의를 받아야 하며, 반드시 수집목적으로만 이용해야 한다.

개인영상정보의 열람 등 요구 대응
정보주체는 자신이 촬영된 개인영상정보 및 정보주체의 급박한 생명, 신체, 재산의 이익을 위해 필요한 개인영상정보를 요구할 권리를 가진다.

의료기관은 개인영상정보의 열람 또는 존재확인 요구를 받은 경우 지체 없이 해당 조치를 취해야 한다. 본인이거나 정당한 대리인 여부를 주민등록증·운전면허증·여권 등의 신분증명서를 제출받아 확인해야 한다.

다만, 보관기간이 경과하여 파기했거나 그 밖에 정보주체의 열람요구를 거부할 만한 정당한 사유가 존재하는 경우는 제외된다.

열람거부 정당화 사유
- 범죄수사·공소유지·재판수행에 중대한 지장을 초래하는 경우(공공기관에 한함)
- 개인영상정보의 보관기간이 경과하여 파기한 경우
- 그 밖에 정보주체의 열람 등 요구를 거부할 만한 정당한 사유가 존재하는 경우

열람을 거부하는 때에는 거부사유를 10일 이내에 서면으로 해당 정보주체에게 통지해야 한다. 열람 등의 조치를 취하는 때에는 정보주체 이외의 자의 사생활 침해가 우려될 경우 정보주체 이외의 자의 개인영상정보를 알아볼 수 없도록 보호조치를 취해야 한다.

진료 신청과정에서 환자의 개인정보 처리기준
진료 신청을 위한 개인정보는 진료를 목적으로 한 필요한 최소한의 개인정보를 수집해야 하며, 수집목적의 범위에서 이용해야 한다.

인터넷, 전화 등을 통한 진료·검사 예약
인터넷, 전화 또는 팩스에 의한 진료·검사 예약 시 건강보험 가입여부, 건강검진 대상여부 등 확인이 필요한 경우, 의료기관은 필요한 최소한의 개인정보를 수집해야 한다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
인터넷, 전화 등에 의한 진료예약 시 수집할 수 있는 개인정보는 성명, 주민등록번호, 주소, 연락처, 진료과목 등이다.

- 다만, 단순예약(시간약속)을 위한 주민등록번호 수집은 원칙적으로 허용되지 않음
- 전화로 필요한 최소한의 개인정보를 수집할 때에는 통화내용을 녹취하고, 녹취할 때에는 녹취사실을 정보주체에게 알려야 하며, 해당 녹취파일에 대하여 안전성 확보조치를 해야 함
- 인터넷 또는 팩스로 진료·검사 신청을 받는 경우 개인정보의 안전성을 확보하기 위하여 이를 취급할 수 있는 ‘개인정보취급자’를 최소화하여 해당 정보를 취급하도록 해야 함
- 인터넷으로 수집한 주민등록번호는 암호화해야 하며, 해당 팩스 문서 또는 주민등록번호를 포함한 개인정보는 안전하게 보관하고 관리해야 함
- 정보주체가 14세 미만의 아동인 경우에는 법정대리인의 동의를 받아 개인정보를 수집해야 함
- 의료기관이 홍보나 홈페이지 관리 등을 위해 개인정보를 수집하는 경우에는 반드시 정보주체의 동의가 필요함

방문에 의한 진료 신청
정보주체가 직접 방문하여 진료 신청을 하는 경우 의료기관은 필요한 최소한의 개인정보를 수집해야 한다. 방문에 의한 진료 신청 시 동의 없이 수집할 수 있는 개인정보는 환자 이름, 주민등록번호, 주소, 전화번호, 진료과목 등이다.

다만, 진료목적 이외의 최신 의학정보, 각종 건강행사 등 의료기관이 홍보를 위한 서비스를 제공하기 위해서는 정보주체의 별도 동의를 받아야 한다.

진료를 목적으로 하는 개인정보 수집은 정보주체의 동의 없이 수집할 수 있다 진료목적의 범위는 다음과 같다.

- 진료와 직접 관련된 진료 신청, 진단, 검사, 치료, 수납 등 업무
- 진료신청 문자발송, 검사결과 통보 등의 업무
- 진료와 연결된 예방접종, 일반적 접종 안내는 진료목적에 포함되지 않음
- 병원 이전 또는 휴업에 관한 정보 - 각종 검사 등과 연결되므로 진료목적의 범위에 속함

요양급여의뢰서에 의한 진료 신청
환자가 상급종합병원에서 2단계 요양급여를 받고자 하는 때에는 상급종합병원에서 요양급여가 필요하다는 의사소견이 기재된 요양급여의뢰서 또는 건강진단·건강검진결과서를 해당 상급종합병원에 제출해야 한다.

이 때 건강보험증 또는 주민등록증, 운전면허증, 여권 등 신분증명서를 함께 제출해야 한다.

요양급여의뢰서의 개인정보는 건강보험증번호, 가입자·세대주·환자의 성명 및 주민등록번호, 주소, 전화번호, 상병명, 상병분류기호, 진료기간, 환자상태 및 진료소견 등이다.

의료기관은 환자 및 그 보호자, 법정대리인으로부터 수집한 개인정보의 안전한 관리를 위한 계획을 수립해야 한다.

진료 신청 접수 업무담당자를 필요한 최소한으로 지정해 개인정보의 유출 및 노출 가능성을 최소화해야 한다.

또한, 개인정보처리업체에 진료 신청 업무처리를 위탁할 경우 관련 계약을 반드시 문서로 처리하고, 안전한 관리, 교육 및 감독을 시행해야 한다.

위탁시에는 위탁업무 내용과 개인정보 처리업무 수탁자를 환자 등이 언제든지 쉽게 확인할 수 있도록 공개해야 한다.

공개는 사업장 등의 보기 쉬운 장소 및 인터넷 홈페이지에 게시해야 하고 관보(위탁자가 공공기관인 경우)나 위탁자의 사업장 등이 소재하는 시·도 이상의 지역을 주된 보급지역으로 하는 신문에 게재해야 한다.

또 동일한 제호로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물 등에 지속적으로 게재하고 재화 또는 용역을 제공하기 위한 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급해야 한다.

이와 함께 개인정보 처리 업무를 위탁받아 처리하는 자가 환자 및 그 보호자, 법정대리인의 개인정보를 처리하는 과정에서 개인정보보호법을 위반해 발생한 손해배상책임에 대해서는 개인정보 처리를 위탁한 의료기관의 소속직원으로 본다(개인정보보호법 제26조제6항).

이 외에도 이번 가이드라인에서는 환자 등 개인정보의 제3자 제공을 금지하고 있다. 환자 등의 개인정보를 법률에 근거하는 등 정당한 사유 없이 제3자에게 제공할 수 없으며, 제공이 필요한 경우 당사자의 동의를 받아야 한다.

특히, 진료기록은 의료법에서 정한 위임장 등 관련서류를 첨부한 경우에만 제공 가능하다.

또 환자 등에게 의료기관이 제공하는 의료정보 및 의료기관의 행사 정보 등을 안내하기 위한 인쇄물, 이메일, 전화, 문자서비스 등을 제공할 목적으로 수집한 개인정보를 이용하는 경우, 환자 등이 그 사실을 명확하게 인지할 수 있도록 알리고 별도의 동의를 받은 후 시행해야 한다.

[글 보안뉴스 편집국(boan@boannews.com)]

<저작권자 : (http://www.securityworldmag.co.kr) 무단전재-재배포금지>