개인정보보호법이 지난해 9월부터 본격 시행에 들어갔다. 정부가 6개월 간의 한시적인 유예기간을 둔다고 밝혀 본격적인 단속은 오는 3월 30일부터 가능해진다. 이러한 가운데 최근 행정자원부가 개인정보보호법 사업체별 가이드라인을 발표했다.
의료기관의 경우, 진료를 위해 수집하는 환자정보는 일단 법 저촉 대상이 아니다. 의료법에 명시된 환자정보는 별도의 동의없이 5년, 진료기록은 10년간 보존해야 하는 의료법이 그대로 적용된다.
동의 미끼로 진료 거부시 과태료 3천만원
환자의 휴대전화 번호 등의 개인정보를 수집하는 것은 용도에 따라 기준이 다르다.
진료예약이나 진단, 진단결과 통보, 진료비 청구, 증명서 발급 등의 업무 등 진료와 관련된 정보를 환자에게 전달하는 목적으로 사용될 경우에는 환자 동의없이 수집 가능하나 해당 의료기관의 정보나 이벤트 등을 안내하기 위한 목적으로 활용할 경우에는 동의가 필수다. 동의서에는 개인정보 수집 및 이용목적, 이용기간 등의 내용을 포함해야 한다.
의료기관에서 특히 주의가 필요한 부분은 홈페이지 운영이다. 홈페이지를 통해 진료정보, 학술정보, 병원소식 안내 및 환자의 의견수렴을 목적으로 회원가입을 받는 경우 반드시 동의절차를 거쳐야 한다. 필수정보와 선택정보를 구분한 동의서 양식을 갖춰야 하며, 홈페이지 가입 시 주민등록번호 수집은 원천적으로 금지돼 있다.
진료 외 서비스 목적인 개인정보 수집에 동의하지 않는다는 이유로 진료를 거부하는 경우 3천만원 이하의 과태료가 부과될 수 있다.
정보 처리방침 공개 안하면 1천만원 과태료
개인정보 처리방침을 명문화해 공개하는 것도 이 법에서 정한 사업체의 의무다.
진료목적이든 아니든 개인정보를 수집하는 의료기관은 개인정보의 항목 및 수집방법, 이용목적, 이용기간 및 파기방법 등에 대해 안내해야 한다. 관련 서식을 만들어 환자가 보기 쉽도록 접수창구에 비치해야 한다. 홈페이지를 운영하는 병원이라면 홈페이지 및 접수창구에도 관련내용을 공개해야 한다.
의료기관에서는 의료법에 명시된 기간동안 정보를 보관할 수 있으나 이후에는 폐기해야 하며, 환자의 요구가 있을 시 열람을 허용해야 한다. 수정이나 삭제도 가능하나, 의료법 상 규정한 항목에 대해서는 수정을 거부할 수 있다.
이러한 서식을 갖추지 않을 시, 이 또한 1천만원 이하의 과태료가 부과될 수 있다.
진료실 내 CCTV 설치- 동의 없는 녹취 안돼
진료실이나 병실 등 개인의 사생활 침해가 우려되는 장소에는 영상정보처리기기의 설치가 원칙적으로 금지된다.
범죄예방이나 시설안전, 화재예방 등을 목적으로 영상장비 설치가 가능하지만 이는 주차장이나 대합실, 복도 등 공개된 장소로 제한된다. 설치장소와 대수, 촬영시간, 관리책임자 등의 내용을 포함한 안내판을 부착해야 한다.
영상정보처리기기를 설치하더라도 임의로 조작하거나 녹음기능을 사용하는 것은 금지된다. 더욱이 진료실에는 기기 부착 자체가 안 될뿐더러 진료내용 등을 녹음할 경우 별도의 녹음장비를 이용, 환자의 동의를 구한 다음에 녹음해야 한다.
개인정보 유출 시 5일 이내 통보해야
개인정보보호법이 발효되면서 의료기관 내에서 갖춰야 할 요소도 많아졌다. 의료기관 내에 개인정보보호 책임자를 지정하고, 관련교육을 진행해야 한다. 단, 상시 근무인원 5인 이하의 소규모 의원의 경우는 제외된다.
홈페이지 서버를 직접 운영할 경우에는 별도의 방화벽을 설치해야 하고, 전자진료기록부 사용 시에는 중요정보 등을 암호화해야 한다. 또한 환자의 개인정보를 열람할 수 있는 담당자는 최소한으로 지정하고, 정보 유출 방지를 위해 노력해야 할 의무가 있다.
개인정보가 유출됐을 때는 사실 확인 5일 이내에 우편, 전화, 전자우편 등을 통해 통보해야 하고, 개인정보침해신고센터(privacy.kisa.or.kr)로 신고하면 된다.
개인정보보호법 관련 서식은 개인정보보호 종합지원포털(www.privacy.go.kr)에서 확인할 수 있다.