안녕하세요 [OK차트]운영자입니다.
아래와 같은 내용을 살펴보고 참고하시기 바랍니다.
진료목적 외 개인정보 활용시 환자 동의 필수
최근 한국보건사회연구원이 발표한 ‘의료기관의 개인정보 보호현황과 대책’ 연구에서 실시한 설문조사에 따르면 우리나라 의료인 중 개인정보보호법에 대해 ‘대충 알고 있으나 다른 사람에게 설명한 수준은 아니다’라는 응답이 42.9%, ‘들어는 봤으나 잘 알지 못한다’는 응답은 23.8%로 나타나 응답자 중 67%가 개인정보보호법을 제대로 숙지하지 못하고 있는 것으로 드러났다.
또한 개인정보 보안조치사항에 대해 수행하고 있는 의료기관은 병원급 평균 62.1%, 의원급 평균 32.1%에 그쳐 중소의료기관의 개인정보 보호 조치는 특히 미흡한 것으로 나타나 이에 대한 대책 마련 필요성이 대두되고 있다. 이러한 가운데 데일리시큐 주최로 ‘2014 의료기관 개인정보 보호 및 정보보안 컨퍼런스’가 개최, 의료기관 실무자들을 대상으로 올해 7월 개정되는 개인정보보호법의 이해와 기술적·관리적 조치 방안을 안내하는 기회가 마련됐다.
이날 발표를 맡은 메디케어컨설팅 김경환 법률자문변호사는 중소의료기관 실무자 입장에서 바라본 개인정보 보호 대응전략을 소개했다. 김경환 변호사에 따르면 의료기관에 적용가능한 개인정보 보호 관련 법률은 크게 △개인정보보호법 △정보통신망법 △의료법 등으로 구분되는데, 진단서·검안서·증명서·처방전 등 환자의 진료정보를 수집하는 것은 의료법에 해당하므로 별도의 동의가 필요없지만, 홈페이지 회원정보 및 홍보를 위한 연락처 등 일반 개인정보의 경우 개인정보보호법에 따라 동의를 얻어야만 수집이 가능하다.
소송 관련해서도 함부로 타인에게 정보 제공 안돼
다만 진료목적으로 수집한 정보라 해도 진료목적 외 연구·분석·공중보건·진료비 지불·공급자 인증·마케팅·설문조사·홍보 및 홈페이지 관리 등의 목적으로 수집하는 경우는 반드시 환자의 동의가 필요하다. 설령 진료 및 개인정보를 수사기관 등에 제공하는 경우에도 의료법 제21조에 따라 압수·수색영장 혹은 법원의 문서제출명령이 있을 때만 의료정보를 제공할 수 있다. 소송과 관련해서도 환자나 환자보호자가 아닌 사람에게 함부로 진료정보를 제공할 수는 없다.
진료 및 개인정보를 일반인에게 제공하는 것 역시 원칙적으로 허용되지 않는다. 이 경우 환자나 그 보호자의 동의를 얻거나 의료법 제21조에 따라 소정의 서류를 갖춘 다음에 요청해야 한다.
의료기관도 개인정보처리 방침 수립해 공개해야
의료기관은 개인정보처리방침을 수립해서 공개해야 한다. 이러한 개인정보처리방침에는 개인정보의 처리 목적, 보유기간, 제3자 제공에 관한 사항 및 위탁, 정보주체의 권리·의무 및 그 행사방법, 개인정보 항목, 파기 및 안전성 혹보 조치에 관한 사항 등이 포함되어야 한다. 진료 및 개인정보는 고유식별정보, 비밀번호 및 바이오정보 등의 데이터암호화와 구간암호와 과정을 거쳐야 하며, 환자 개인정보가 담긴 업무용 컴퓨터 역시 암호화 소프트웨어 또는 암호화 알고리즘을 사용해 저장이 요구된다.
이 같이 수집 저장된 진료정보를 파기할 때도 각별한 주의가 요구된다. 단순히 전자파일을 삭제하는 것에 그치는 것이 아니고, 전자적 파일은 복원이 불가능한 방법으로 영구 삭제하고, 종이 등 기록매체는 파쇄 또는 소각의 방법을 사용해야 한다. 다만 공공의료기관은 반드시 기록물평가심의회를 구성해 보유기간 연장이나 폐기를 결정해야 한다.
진료정보가 아닌 개인정보의 경우, 보유기간이 경과했거나 처리목적의 달성 등의 사유가 발생하면 그 즉시 파기해야 하는데 개인정보 파기는 개인정보보호 책임자의 책임 하에 정당한 사유가 없는 한 5일 이내에 파기해야 한다.
진료목적으로 수집한 진료정보에 관해서는 설령 정보를 제공한 주체(환자)라 하더라도 보존기간 동안 원칙적으로 정정이나 삭제를 요청할 수 없다. 의료법에 따라 의료인이라 하더라도 환자 진료정보를 임의로 수정할 수는 없다. 다만 진료정보가 아닌 개인정보의 경우는 개인정보보호법이 적용되기 때문에 정보 주체가 열람, 처리정지, 수정 및 삭제를 요구할 경우 10일 이내에 요청에 대한 처리를 하거나 처리할 수 없는 사유를 정보주체에게 통보해야 한다.
만약 진료 및 개인정보가 유출되었다면 의료기관에게는 두 가지 의무가 발생한다. 정보주체에 대한 통지의무와 안전행정부, 한국인터넷진흥원, 한국정보화진흥원에의 신고의무가 그것이다.
CCTV 설치도 촬영범위내 모든 사람들의 동의 필요
CCTV 설치에 있어서도 주의사항이 요구된다. 병원 내부의 근로자 모니터링을 하고자 한다면 근로자참여 및 협력증진에 관한 법률 제20조 제1항 제14호에 의하여 촬영 범위에 있는 모든 사람들의 동의 하에 설치 및 촬영이 가능하다. 병원이 CCTV 영상 자료를 환자에게 제공하는 것은 금지되어 있지만, 영상 자료에 찍힌 정보주체의 동의가 있는 경우에는 가능하다. 수사기관에 제공할 경우에는 법원이 발부한 영장이 요구된다. 다만 정보 주체 및 제3자의 급박한 생명, 신체, 재산상 이익을 위해 필요한 경우는 영장없이도 제공이 가능하다.
[한의신문 이규철 기자(soulite@live.co.kr)]
운영자님이 문의하신 내용입니다
(정보공유) - 의료기관 개인정보, 이것만은 숙지하세요 - [한의신문]
안녕하세요 [OK차트]운영자입니다.
아래와 같은 내용을 살펴보고 참고하시기 바랍니다.
의료기관 개인정보, 이것만은 숙지하세요
보건복지부, '의료기관 개인정보보호 가이드라인' 발표
지난달 28일 개최된 ‘2014 의료기관 개인정보보호&정보보안 컨퍼런스’에서 보건복지부 김준태 사무관은 ‘의료기관 개인정보보호 가이드라인’을 발표했다.
환자의 개인정보 보호에 대한 사회적 요구가 증가하고 의료기관의 업무특성을 고려한 개인정보 처리기준이 시행됨에 따라 의료기관의 개인정보처리 업무를 지원하고 개인정보 침해 관련 분쟁 예방 및 침해사고를 방지하기 위해 마련됐다.
가이드라인은 주제별로 △주요 업무 프로세스 중심 개인정보 처리 기준 마련 △의료기관 근로자 개인정보 처리 기준 제시 △의료기관 유형별 개인정보 처리 기준 마련 △개인영상정보 보호 등의 내용 구체화 등의 주제로 나눠져 있다.
다음은 보건복지부에서 제시한 가이드라인 중 의료기관 개인정보 담당자가 자주 묻는 질문들(FAQ:frequently asked questions) 일부다.
Q1 : 인터넷 진료예약 시 주민등록번호를 요구하는 것이 개인정보보호법에 저촉되는가?
A : 그렇다. 인터넷 진료예약 시에는 환자의 성명, 전화번호, 생년월일 등 최소한의 정보만 수집이 가능하다. 진료를 받기 위해 환자가 내원하는 경우에만 주민등록번호를 포함한 진료기록부를 작성할 수 있다.
Q2: 환자의 편의를 위해 검사결과를 전화 또는 문자로 알려주는 것이 개인정보보호법상 문제가 되는가?
A : 환자 본인이 확인된 경우, 환자의 검사결과 통보는 진료목적 범위에 해당하므로 별도의 동의없이 환자에게 전화 또는 문자 통지가 가능하다. 다만 다른사람에게 환자 기록을 알려주는 것은 의료법에 해당하는 경우로 제한된다.
Q3 : 의료기관이 입사지원자의 개인정보를 수집하고자 할 때 개인정보 수집동의서를 별도로 받아야 하는지, 또한 개인정보보호법 시행 전부터 보관해온 퇴직 근로자 개인정보 보관을 위해서는 별도의 동의가 필요한가?
A : 입사지원은 근로계약 체결의 일부로 입사지원자의 동의 없이 채용에 필요한 최소한의 정보수집이 가능하나 주민등록번호의 경우 입사 후에 수집이 가능하다. 퇴직근로자 개인정보는 법령에서 규정한 퇴직 후 3년간 별도로 보관할 수 있으며, 그 이후에는 퇴직근로자의 동의를 받은 경우에만 보관이 가능하다.
Q4 : 개인정보 수집·이용·제공 동의 시 자필 서명이 아닌 전자 서명으로 하여도 효력이 동일한가?
A : 전자서명법 제3조제3항에 따르면 ‘전자서명은 당사자 간 약정에 따른 서명, 서명날인 또는 기명날인으로서의 효력을 가진다’고 규정되어 있다. 환자 본인의 전자서명은 자필서명과 같은 효력을 갖는다.
Q5 : 동의를 받아야 하는 경우 반드시 서면으로 받아야 하는가?
A : 반드시 서면으로 받을 필요는 없으며, ‘개인정보보호법’에 따른 다음의 방법이 있다. ①직접 또는 우편, 팩스 등 방법으로 전달하고, 정보주체가 서명한 동의서를 받는 방법 ②전화를 통해 동의 내용을 정보주체에게 알리고, 동의 의사표시를 확인하는 방법 ③전화를 통해 동의 내용을 정보주체에게 알리고, 인터넷주소 등을 통해 동의사항을 통해 동의사항을 확인하도록 한 후 다시 전화를 통해 동의 의사표시를 확인하는 방법 ④인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하는 방법 ⑤동의 내용을 전자우편으로 발송하고, 정보주체로부터 동의 전자우편을 받는 방법
Q6 : 접수창구, 대기실 등 공개된 장소에는 CCTV를 설치할 수 있는 것으로 알고 있는데, 의료기관 입원실이나 진료실에서 폭행 사고를 대비해 CCTV를 설치하는 것이 가능한가?
A : 의료기관 입원실과 진료실은 의료인과 환자만이 출입할 수 있으므로 불특정 다수가 출입할 수 있는 공간이 아니다. CCTV 등 영상정보처리기기를 설치해 촬영하기 위해서는 진료실에 출입하는 사람의 동의를 받아야만 녹화가 가능하다.
Q7 : 의료기관 내 CCTV가 있는 곳마다 반드시 안내판을 설치해야하는가?
A : 건물 내에 다수의 영상정보처리기기를 설치하는 경우 CCTV마다 안내판을 부착하기 어려울 수 있다. 이럴 때는 출입구 등 잘 보이는 곳에 해당 시설 또는 장소 전체가 영상정보처리기기 설치 지역임을 표시하는 안내판을 설치하면 된다.
Q8 : 개인정보의 안전성 확보를 위해 의료기록 서류를 별도의 보관시설이나 잠금장치 설치 등과 같은 물리적 조치를 해야 하는가?
A : 개인정보의 안전한 보관을 위해 보관시설을 마련하거나 잠금장치를 설치해야 한다. 단, 업무시간 중 수시로 사용하는 진료기록은 잠금장치를 해제한 채 사용이 가능하나, 업무시간이 종료된 이후에는 마찬가지로 잠금장치를 통해 물리적 보호조치를 취해야 한다.
[한의신문 이규철 기자(soulite@live.co.kr)]