병협 정효만 팀장, 개인정보보호법 상담사례 소개 "동의절차 필수"
병원에서 의사들이 협진을 위해 환자 진료정보를 공유하는 것은 괜찮지만, 네트워크병원이나 다른 병원간 진료정보를 공유하기 위해서는 환자의 동의가 필요하다.
건강보험심사평가원은 26일 종합병원 이상 종사자를 대상으로 '의료기관의 개인정보보호 및 해킹사고 대비를 위한 정보보안' 교육을 실시했다.
개인정보보호 교육을 맡은 대한병원협회 정효만 전산정보팀장은 지난해 정부와 의료기관 대상 현장점검 결과와 개인정보보호법에 대한 실제 사례를 소개했다.
지난해 한국정보화진흥원, 안전행정부 등 현장점검반이 개인정보 침해 우려가 큰 업종을 선정해 취약점 위주로 756개소로 현장점검을 나간 결과 절반이 훌쩍 넘는 441개소가 과태료, 시정조치, 개선권고 등의 처분을 받았다.
이 중 의료기관은 21곳을 점검했고 52.4%인 11곳이 개인정보보호법을 위반하고 있었다.
필수 고지사항 일부 누락, 고유식별정보 별도 동의 위반, 개인정보책임자 미지정, 접근권한관리 위반, 내부관리계획 미수립 등을 주로 위반하고 있었다.
정 팀장은 "4월 둘째주 12개 병원을 대상으로 또다시 실태조사를 했다. 큰 병원들을 중심으로 현장점검을 했음에도 불구하고 아직까지 미흡한 부분이 많았다"고 말했다.
다음은 정 팀장이 소개한 개인정보보호법 관련 상담사례들이다.
네트워크병원 A지점에서 진료를 받은 후 다른 지점에서 진료를 받을 때 진료정보를 공유해 이용할 수 있는가?
환자나 환자 보호자가 동의할 경우에만 가능하다. 동의 없이 일률적으로 타 의료기관의 진료기록을 공유하는 것은 의료법에 저촉될 수 있다.
A지점에서 다른 지점으로 진료정보를 제공하기 위해서는 동의절차를 거쳐야 한다.
네트워크병원이 각 지점별로 별도의 웹사이트를 구축하고 있지만 전체적인 웹사이트 관리, 회원관리, 게시판(상담예약) 관리 등 DB를 통합 관리해 서울 본점 마케팅 담당자가 관리하는 것은?
네트워크병원들은 같은 개인정보처리자가 아닌 별개다. 따라서 네트워크병원 각각이 개인정보보호 책임자를 지정해야 한다. 이를 위반하면 1천만원 이하의 과태료가 부과될 수 있다.
네트워크병원의 웹 사이트 회원정보는 의료법에 따른 진료정보로 볼 수 없기 때문에 동의를 받아 수집해야 하며, 회원정보 공유를 위해서는 제3자 제공에 대한 동의도 필요하다.
'SMS, DM 등 병원 안내, 홍보에 따른 개인정보 활용에 동의합니다'라고 한줄로 압축해서 동의를 받아도 되나?
안된다. 개인정보 수집이용 동의를 받을 때는 ▲개인정보의 수집 이용 목적 ▲수집하려는 개인정보의 항목 ▲개인정보의 보유 및 이용기간 ▲동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알려야 한다.
타 의료기관에 검사를 의뢰하는 경우 정보주체의 동의를 받아야 하나?
타 의료기관에 검사를 위탁하는 경우에는 정보주체의 동의를 받을 필요는 없지만 서면에 의한 계약 및 위탁사실 공지 등 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 및 동 법 시행령 제28조(개인정보의 처리 업무 위탁 시 조치)에 따라 위탁업무를 처리해야 한다.
동의서 원본 보관이 어려운데, 스캔해서 파일로 관리해도 되나?
별도의 규정은 없지만 동의서 원본과 동일성이 완벽하게 유지된다고 가정할 때 영상스캔을 통해 전자파일로 보관 할 수 있다.
그러나 종이로 작성된 원본과 이를 스캔한 전자파일의 동일성에 대해서는 소비자 등으로부터 다양한 이슈가 제기될 수 있다.
전화상으로 환자의 입원 여부를 묻거나 입원병실을 묻는 경우 알려줘도 되는가?
의료법 제19조(비밀 누설 금지)에 따라 의료인은 이 법이나 다른 법령에 특별히 규정된 경우 외에는 의료, 조산 또는 간호를 하면서 알게 된 다른 사람의 비밀을 누설하거나 발표하지 못한다.
환자의 개인정보인 입원 여부를 동의없이 알려주면 의료법에 저촉될 수 있다. 환자 본인이나 보호자와 직접 연락할 수 있도록 조치를 취해주는 것이 바람직하다.
건강보험심사평가원은 26일 종합병원 이상 종사자를 대상으로 '의료기관의 개인정보보호 및 해킹사고 대비를 위한 정보보안' 교육을 실시했다.
개인정보보호 교육을 맡은 대한병원협회 정효만 전산정보팀장은 지난해 정부와 의료기관 대상 현장점검 결과와 개인정보보호법에 대한 실제 사례를 소개했다.
지난해 한국정보화진흥원, 안전행정부 등 현장점검반이 개인정보 침해 우려가 큰 업종을 선정해 취약점 위주로 756개소로 현장점검을 나간 결과 절반이 훌쩍 넘는 441개소가 과태료, 시정조치, 개선권고 등의 처분을 받았다.
이 중 의료기관은 21곳을 점검했고 52.4%인 11곳이 개인정보보호법을 위반하고 있었다.
필수 고지사항 일부 누락, 고유식별정보 별도 동의 위반, 개인정보책임자 미지정, 접근권한관리 위반, 내부관리계획 미수립 등을 주로 위반하고 있었다.
정 팀장은 "4월 둘째주 12개 병원을 대상으로 또다시 실태조사를 했다. 큰 병원들을 중심으로 현장점검을 했음에도 불구하고 아직까지 미흡한 부분이 많았다"고 말했다.
다음은 정 팀장이 소개한 개인정보보호법 관련 상담사례들이다.
네트워크병원 A지점에서 진료를 받은 후 다른 지점에서 진료를 받을 때 진료정보를 공유해 이용할 수 있는가?
환자나 환자 보호자가 동의할 경우에만 가능하다. 동의 없이 일률적으로 타 의료기관의 진료기록을 공유하는 것은 의료법에 저촉될 수 있다.
A지점에서 다른 지점으로 진료정보를 제공하기 위해서는 동의절차를 거쳐야 한다.
네트워크병원이 각 지점별로 별도의 웹사이트를 구축하고 있지만 전체적인 웹사이트 관리, 회원관리, 게시판(상담예약) 관리 등 DB를 통합 관리해 서울 본점 마케팅 담당자가 관리하는 것은?
네트워크병원들은 같은 개인정보처리자가 아닌 별개다. 따라서 네트워크병원 각각이 개인정보보호 책임자를 지정해야 한다. 이를 위반하면 1천만원 이하의 과태료가 부과될 수 있다.
네트워크병원의 웹 사이트 회원정보는 의료법에 따른 진료정보로 볼 수 없기 때문에 동의를 받아 수집해야 하며, 회원정보 공유를 위해서는 제3자 제공에 대한 동의도 필요하다.
'SMS, DM 등 병원 안내, 홍보에 따른 개인정보 활용에 동의합니다'라고 한줄로 압축해서 동의를 받아도 되나?
안된다. 개인정보 수집이용 동의를 받을 때는 ▲개인정보의 수집 이용 목적 ▲수집하려는 개인정보의 항목 ▲개인정보의 보유 및 이용기간 ▲동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알려야 한다.
타 의료기관에 검사를 의뢰하는 경우 정보주체의 동의를 받아야 하나?
타 의료기관에 검사를 위탁하는 경우에는 정보주체의 동의를 받을 필요는 없지만 서면에 의한 계약 및 위탁사실 공지 등 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 및 동 법 시행령 제28조(개인정보의 처리 업무 위탁 시 조치)에 따라 위탁업무를 처리해야 한다.
동의서 원본 보관이 어려운데, 스캔해서 파일로 관리해도 되나?
별도의 규정은 없지만 동의서 원본과 동일성이 완벽하게 유지된다고 가정할 때 영상스캔을 통해 전자파일로 보관 할 수 있다.
그러나 종이로 작성된 원본과 이를 스캔한 전자파일의 동일성에 대해서는 소비자 등으로부터 다양한 이슈가 제기될 수 있다.
전화상으로 환자의 입원 여부를 묻거나 입원병실을 묻는 경우 알려줘도 되는가?
의료법 제19조(비밀 누설 금지)에 따라 의료인은 이 법이나 다른 법령에 특별히 규정된 경우 외에는 의료, 조산 또는 간호를 하면서 알게 된 다른 사람의 비밀을 누설하거나 발표하지 못한다.
환자의 개인정보인 입원 여부를 동의없이 알려주면 의료법에 저촉될 수 있다. 환자 본인이나 보호자와 직접 연락할 수 있도록 조치를 취해주는 것이 바람직하다.