병, 의원도 개인정보보호법을 알아야

불필요한 주민등록번호 수집을 제한, 개인정보보호법 8월 7일부로, 불필요한 주민등록번호 수집을 제한하는 내용을 포함하는 개인정보보호법이 시행된다. 병원 및 약국에서는 환자 진료에 필요한 주민등록번호 수집은 가능하지만, 전화나 인터넷으로 진료 예약을 하는 경우에는 주민등록번호를 이용할 수 없다. 대한병원협회(회장 박상근)는 하루 앞으로 다가온 “개인정보보호법상 주민등록번호 수집 금지” 조항과 관련하여 『사전 진료예약』이 제외될 수 있도록 총력을 다 할 예정이지만, 현재까지는 수용되지 않고 있다. 전화나 인터넷 진료 예약시, 주민등록번호 대신 성명, 주소, 생년월일, 연락처 등의 개인정보를 이용할 수 있다. 병, 의원들은 7일 이후부터는 진료예약 시 주민등록번호를 대체할 수 있는 방법을 마련하여 환자들에게 적용해야 한다.  또한, 자료에 따르면 개인정보보호법을 따르는 사업장의 경우 연 1회 이상, 정보통신망(회원 가입 및 별도의 개인정보를 작성하는 호메이지)를 통해 개인정보의 송수신이 이루어질 경우 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'도 준수하여야 하므로 연 2회 이상 교육을 실시해야 한다. 이 같은 주민등록번호 수집 및 처리 금지제도 시행을 앞두고 이를 이용한 사설 교육기관들이 급증하자 대한의사협회는 개인정보보호 교육에 대한 주요 질의, 답변 형식으로 정리한 '개인정보보호 교육 관련 주요 Q&A'를 최근 전국 16개 시도의사회에 배포했다. 개인정보보호 교육 방법으로는 개인정보보호 관련 지식이 있는 자를 통한 원내교육, 온라인 교육, 외부 전문 교육기관 의뢰 등을 통해 진행할 수 있다. 단, 원내교육을 통해 개인정보보호 교육을 실시할 경우 원내 교육에 대한 내부 결재문, 교육 이후 작성된 서명지 등을 별도 보관 및 비치해야 한다. 그리고 온라인 교육을 통해 개인정보보호 교육을 실시할 경우, 개인정보보호 종합지원 포털 (http://privacy.go.kr) 및 개인정보 포털 홈페이지 (http://www.i-privacy.kr)의 온라인 교육을 통해 교육을 진행하고 교육 이수 후, 발급되는 수료증을 별도 보관 비치해야 한다. 기존의 보관하고 있는 예약 과정상에 수집된 정보들은 시행일을 기준으로 2년 이내 전부 파기해야 한다. 개인정보보호법에 따르지 않고 기존대로 주민등록번호 등의 정보를 수집할 경우에는 1회 위반 시 600만원, 3회 위반 시 2400만원의 과태료를 물게 된다. 더욱이 환자의 개인정보를 유출시켰을 때는, 최대 5억원 이하의 과징금이 부과된다. ※ 개인정보보호법 관련 Q&A Q. 환자에게 진료와 직접적인 관련이 있는 내용의 SMS를 보내는 것은 환자의 동의가 없어도 보낼 수 있다고 하는데 예방접종 예약 안내도 포함되나요? 만일 동의서를 받아야 한다면 ‘접종일자에 대해 안내받기 위한 정보활용에 동의함’이라는 문구만을 추가하는 것으로 가능한가요? - 진료목적의 범위에는 예약내용의 안내, 간염 1차 접종을 받은 사람에게 2차 접종을 안내하는 것과 같이 동일 진료와 연결된 예방접종 사항에 대한 안내, 검사결과 통보 등이 포함됩니다. - 그렇지만, 진료를 목적으로 수집한 개인정보는 당해 진료와 관련한 목적 내의 범위에서 이용하여야 합니다. 그러므로 진료와 관계없는 예방접종 안내등을 위해서는 정보주체 또는 그 법정대리인의 동의를 받아야 합니다. - 동의를 받고자 하는 경우에는 ① 개인정보의 수집·이용목적, ② 수집하려는 개인정보의 항목, ③ 개인정보의 보유 및 이용기간, ④ 동의를 거부할 권리가 있는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알리고 동의를 받아야 합니다. 그러므로 “접종일자에 대해 안내받기 위한 정보활용에 동의함”이라는 문구만을 추가해서는 아니 됩니다. Q. 병원에서 의학·치과의학·한방의학 또는 간호학을 전공하는 학생이 실습을 위하여 진료행위 과정을 참관하는 경우가 있습니다. 의학·치과의학·한방의학 또는 간호학을 전공하는 학생이 진료 과정을 참관하고자 하는 경우, 환자에게 동의를 받아야 하나요? - 의학·치과의학·한방의학 또는 간호학을 전공하는 학교의 학생은 ① 전공 분야와 관련되는 실습을 하기 위하여 지도교수의 지도·감독을 받아 행하는 의료행위, ② 국민에 대한 의료봉사활동으로서 의료인의 지도·감독을 받아 행하는 의료행위, ③ 전시·사변이나 그 밖에 이에 준하는 국가비상사태 시에 국가나 지방자치단체의 요청에 따라 의료인의 지도·감독을 받아 행하는 의료행위를 할 수 있습니다(의료법 제27조제1항제3호, 같은 법 시행규칙 제19조제2항). 이와 같이 의료행위 보조자로서의 의학 등 전공학생은 지도교수 또는 의료인의 지도·감독을 받아 법령이 인정하는 의료행위는 환자의 동의를 받지 않고도 참관 및 의료행위를 할 수 있습니다. Q. 전화로 병원에 입원하고 있는지 여부를 문의받을 경우 알려줘도 되나요? - 환자의 입원정보는 개인정보로서 환자의 동의 없이 알려주는 것은 허용되지 않습니다. 의료법 제19조에 따라 의료인은 이 법이나 다른 법령에 특별히 규정된 경우 외에는 의료·조산 또는 간호를 하면서 알게 된 다른 사람의 비밀을 누설하거나 발표하지 못하므로 환자의 개인정보인 입원 여부를 환자의 동의 없이 알려 주는 경우 의료법에 저촉될 수 있습니다. - 환자 본인이나 보호자와 직접 연락할 수 있도록 조치를 취해 주시는 것이 바람직합니다. Q. 진료정보는 의료법 시행규칙 제15조에 따라 최소 보유기간을 명시하고 있으며, 진료 목적상 보존기간을 연장하고자 합니다. 연속적인 진료의 연계 및 과거병력의 중요성 등을 감안해 보존기간을 연장하고자 하는 경우, 어떤 절차를 통해 연장하여 보존할 수 있나요? - 의료법 시행규칙 제15조는 의료기관의 개설자 또는 관리자로 하여금 진료에 관한 기록을 다음과 같이 보존하도록 제시하고 있습니다. - 환자명부(5년), 진료기록부(10년), 처방전(2년), 수술기록(10년), 검사소견기록(5년), 방사선사진 및 그 소견서(5년), 간호기록부(5년), 조산기록부(5년), 진단서 등의 부본(3년) Q. 의료법 시행규칙 제15조에서 명시한 보유기간이 지난 진료정보에 대해 적절한 절차를 거쳐 보존기간을 연장하여 보유하고 있는 상황에서, 정보주체가 삭제 요청을 하는 경우, 어떻게 처리해야 하나요? - 의료기관은 보존기간이 경과하거나 수집․목적을 달성한 진료기록 등 의료정보에 대해서 지체 없이 파기하는 것이 바람직합니다. - 의료기관은 진료정보에 대해 매년 1회 이상 보존기간 연장여부 혹은 파기여부를 결정할 수 있음 - 공공의료기관은 기록물관리 전문요원의 심사와 기록물평가심의회의 심의를 거쳐 평가심의서를 작성하고, 기록물의 보존기한 연장여부 혹은 파기여부를 결정할 수 있음 - 민간의료기관의 경우도 공공의료기관에 준하는 절차로 예를 들어, 의무기록심의회와 같은 내부 심의를 거쳐 진료정보의 보존기간 연장여부 혹은 파기여부를 결정할 수 있음 - 의료기관은 진료에 관한 기록 종류별로 보존기간 연장여부 혹은 파기여부를 결정하여야 하며, 연장사유를 근거로 최소 필요 기간 동안 연장하여야 함. - 의료기관은 진료정보를 연장하여 보존하기로 결정한 경우, 연장 보존에 관한 사항을 의료기관 홈페이지나 의료기관 내부에 게시하는 것을 권고함 - 환자의 진료정보에 대해 별도로 정보주체의 동의를 받은 경우에도 보존기간을 연장할 수 있음. - 의료법 시행규칙 제15조에서 정한 기간이 지난 진료정보를 연장하여 보관하고 있는 경우, 정보주체가 의료기관에게 그 개인정보의 삭제를 요청하면, 개인정보보호법 제36조에 따라 필요한 조치를 취한 후 그 결과를 정보주체에게 알려야 합니다. Q. 모든 병원에서 환자의 개인정보 수집·이용 동의서를 꼭 받아야 하나요? - 의료기관이 개인정보보호법 제15조제1항제2호(법률 규정, 법령상 의무 준수) 및 제4호(정보주체와의 계약의 체결 및 이행)에 따라 수집하는 개인정보는 정보주체의 동의 없이 수집․이용할 수 있습니다. 즉, 의료법에서 진료목적으로 개인정보를 처리하는 경우 동의 없이 가능합니다. 다만, 병원소식, 건강정보, 백신접종 홍보 등 정보주체의 직접적인 진료와 관계없는 내용을 문자, 우편 등으로 보내고자 한다면 수집․이용의 동의를 받아야 합니다. - 동의는 최초 방문 시에만 받으면 되고, 이후 이용 목적이 추가되거나 제3자 제공 등 처리 목적 등이 변경될 경우에는 정보주체의 별도의 동의를 받아야 합니다. (출처 : 보건복지부, 안전행정부 개인정보보호 가이드라인[의료기관])