``  
 

진료정보 안내 위해 환자 휴대전화·이메일 사용하려면 환자동의 '필수'
종이차트 보관실 마련하거나 잠금장치 달아야…직원에게 보안동의서 받아야


【질문1】 `개인정보보호법에는 다른 법률에 특별한 규정이 있는 경우 그 법률을 따르도록 하고 있다. 따라서 의료법을 따르면 되지 개인정보보호법을 지킬 필요가 있나?`

【질문2】 `이미 확보하고 있는 환자의 휴대전화 문자메시지로 인플루엔자가 유행하고 있다는 정보를 알리려 하는데 그것도 안되나?`

【질문3】 `개인정보보호법에서는 개인정보를 보유해야 하는 기간이 경과했거나 개인정보의 처리 목적이 달성돼 개인정보가 불필요하게 됐을 때 지체없이 개인정보를 파기하도록 규정하고 있다. 진료기록부는 의료법에 따라 10년 동안 보관하도록 돼 있는데 보관기간 이후에는 어떻게 해야 하나?`

지난해 9월 30일부터 시행되고 있는 개인정보보호법이 6개월 동안의 계도기간을 거쳐 4월 1일부터 본격적인 법규 적용에 들어간다. 계도기간이 끝났으니 법률을 위반하면 실제 처벌을 한다는 얘기다.

처벌 수위도 생각보다 높다. 동의를 받지 않고 개인정보를 수집한 경우 5000만원 이하의 과태료 처분을 받을 수 있다. 개인정보를 안전하게 보관할 수 있도록 필요한 조치를 하지 않은 경우에도 3000만원 이하 과태료 처분을 내릴 수 있도록 돼 있다.

특히 개인정보가 누설되거나 타인에게 제공한 경우엔 5년 이하의 징역이나 5000만원 이하의 벌금형을 받을 수 있다. 개인정보가 멸실되거나 유출됐을 경우에도 처벌수위가 높다.

문제는 일선 병·의원에서 '개인정보보호법' 시행 6개월이 지나도록 이 법률에 대해 '금시초문'이라거나 들어는 봤지만 내용을 잘 모르는 경우가 대부분이라는 점이다.

지역의사회 정기총회에서 만난 한 회원은 `개인정보보호법에 대해 처음 들어본다`며 `그런 법도 있냐?`고 반문했다.

먼저, 【질문1】에 대한 답변은 `의료법의 특별한 규정 외에는 개인정보보호법을 지켜야 한다`는 것이다.

무관심 속에 모르고 지나쳤다가는 단 한 번 위반으로 최소 200만원에서 1000만원까지 피 같은 진료비를 과태료로 국가에 같다 바쳐야 하는 억울한 상황이 벌어질 수 있다.

4월 1일부터 동네의원을 비롯한 모든 의료기관은 '개인정보처리방침'(하단 개인정보보호법 첨부자료 참조)을 수립, 출력한 다음 진료카드를 작성하는 환자들이 열람할 수 있도록 진료접수창구에 비치해야 한다. '개인정보처리방침'을 수립하지 않았거나 이를 출력해 환자에게 공개하지 않은 경우 1000만원 이하의 과태료(1회 위반 200만원, 2회 400만원, 3회 800만원) 처분을 받을 수 있다.

행정안전부는 최근 의료기관용 '개인정보보호법 적용사례'를 통해 `진료를 위해 의료법에 명시된 개인정보만을 수집해 관리하더라도 개인정보를 안전하게 관리해야 하므로 '개인정보처리방침'을 수립해 공개해야 한다`고 밝혔다.

행안부 정보화전략실 개인정보보호과 관계자는 `진료 접수창구에 개인정보처리방침을 비치하도록 한 것은 의료법에 따라 주민등록번호 등 개인정보를 수집하고 있다는 사실과 이를 안전하게 관리하고 있음을 환자와 보호자들에게 안내하기 위한 것`이라고 설명했다.

병·의원은 모두 예외없이 개인정보처리방침을 만들어 인쇄물로 출력한 후 진료접수창구에 비치, 진료카드를 작성하는 환자들이 열람할 수 있도록 해야 한다는 의미다.

홈페이지를 운영하는 병·의원의 경우에는 진료접수창구 외에 홈페이지에도 '개인정보처리방침'을 게시해야 한다.

진료 목적 외에 SMS·이메일 등을 이용해 병·의원 홍보나 학술정보 안내서비스를 제공하는 병·의원의 경우에는 'SMS·이메일용 개인정보처리방침'을 작성, 진료접수창구에 비치해야 한다. 환자 진료정보를 다루는 직원들에게는 '보안동의서'를 받아둬야 한다.

과태료 최소 200만원…정보 유출 땐 징역형까지

현행 의료법은 진료 목적인 경우 환자의 동의없이도 성명·주민등록번호·주소·질병 정보 등 개인정보를 수집해 진료 예약·진단·진단결과 통보·진료비 청구·증명서 발급 등을 할 수 있도록 하고 있다. 의료법에 따라 환자 정보는 5년, 진료기록은 10년 동안 보관하도록 의무화 하고 있고, 의료법 시행규칙에 주소·성명·주민등록번호·병력 및 가족력을 수집할 수 있도록 명기돼 있기 때문이다. 의료법 시행규칙에 명기돼 있지 않은 전화번호와 이메일의 경우 은상용 의협 정보통신이사가 청와대 국민신문고·행정안전부·보건복지부와의 줄다리기 끝에 진료 목적을 위해 불가피한 경우 환자의 동의없이도 수집할 수 있다는 답변을 받아냄으로써 이용할 수 있는 근거를 마련했다.

국민건강보험법에 따라 건강보험 요양급여 청구를 위해 요양기관이 건강보험심사평가원에 환자의 주민등록번호등 개인정보가 포함된 요양급여비용명세서를 제출하는 경우에도 환자에게 제3자 제공 동의를 받을 필요가 없다.

아울러 학술·연구 목적으로 진료정보를 제공할 경우에도 개인 식별을 할 수 없는 형태로 제공하는 경우에는 환자의 동의없이도 제공할 수 있도록 돼 있다.

문제는 진료목적의 범위를 벗어나 의료기관 홍보·학술정보 제공 등을 위해 휴대전화 문자와 이메일을 통해 추가 서비스를 제공하는 경우다.

즉 【질문2】에 대한 답변은 `개인정보 수집·활용 동의서를 받은 환자에만 보내야 하며, 동의서를 받지 않은 환자에게는 절대 보내지 마시라`다. 동의서를 받지 않은 환자에게 진료정보를 보냈다가 환자가 민원을 제기해 적발된 경우 개인정보보호법 제15조(개인정보의 수집·이용)에서 규정한 정보주체의 동의를 받지 않았으므로 5000만원 이하의 과태료 처분을 받을 수 있다. 처음 위반한 경우 과태료는 1000만원이다. 2회 위반 땐 2000만원, 3회는 4000만원까지 금액이 올라간다. 문자메시지 잘못 보냈다고 1000만원의 과태료 처분을 받는 황당(?)한 경우가 발생할 수 있으므로 각별히 주의해야 한다.

행정안전부 관계자는 `정보 주체가 동의하지 않아도 진료에 지장을 받지 않음을 알려주고, 동의를 강요하지 않도록 주의해야 한다`고 밝혔다.

휴대전화 문자 진료목적외 활용하려면 동의받아야

홈페이지를 개설하고 있는 병·의원이 진료 정보·학술 정보·병원 소식 등을 안내하고, 환자의 의견을 수렴하기 위해 회원가입을 받는 경우에는 반드시 '온라인 개인정보 수집·활용 동의서'를 받아둬야 한다. 온라인을 통한 주민등록번호 수집은 원칙적으로 금지되어 있으므로 더욱 각별한 주의가 필요하다.

개인정보 노출 방지를 위해 365일 상시 모니터링 체계를 가동하고 있는 행안부 개인정보보호과는 최근 들어 의료와 여행업종 홈페이지에서 개인정보 노출 사례가 발생했다며 주의를 당부하고 나섰다.

행안부 개인정보보호과는 `고객 본인의 실수로 주민등록번호나 핸드폰번호 등 개인정보가 포함된 글을 발견했을 경우 관리자는 고객 동의 후 즉시 삭제하거나 개인정보 일부를 마스킹(*) 처리함으로써 피해를 예방할 수 있도록 조치해야 한다`고 밝혔다. 행안부 개인정보보호과는 `홈페이지 구축시 설계오류로 주민등록번호 등이 게시판 소스코드에 그대로 표시되는 사례를 발견했다`며 `스크립트 페이지를 보완할 필요가 있다`고 조언했다.

행안부는 게시판 글쓰기 화면에 본문 또는 첨부파일 내에 주민등록번호·성명·연락처 등이 포함되지 않도록 유의해 달라는 내용의 '개인정보 노출 방지를 위한 안내문'을 게시해 달라고 당부했다. 아울러 개인정보 노출 점검 및 차단 소프트웨어를 적용, 개인정보 보호를 위한 조치를 해 달라고 주문했다.

  ``  
 
홈페이지 개설 의료기관 개인정보 보호 조치 '미흡'

【질문3】 `개인정보보호법에서는 개인정보를 보유해야 하는 기간이 경과했거나 '개인정보의 처리 목적이 달성'돼 개인정보가 불필요하게 됐을 때 지체없이 개인정보를 파기하도록 규정하고 있다. 진료기록부는 의료법에 따라 10년 동안 보관하도록 돼 있는데 보관기간 이후에는 어떻게 해야 하나?`에 대한 답변은 `일단 보관기간이 지난 진료기록은 폐기해야 한다`이다. 환자의 동의없이 보관기관 이후에도 진료기록을 보관하다 적발됐을 땐 3000만원 이하의 과태료를 부과받을 수 있기 때문이다.

행안부는 `의료법에 명시된 보존기간이 지난 개인정보는 원칙적으로 폐기해야 한다`며 `환자의 개인정보를 폐기해야 하는 시점 이후에도 개인정보를 계속 보관하려면 정보주체로부터 별도의 동의를 받아야 한다`고 밝혔다.

이와 관련 한동석 의협 대변인 겸 공보이사는 `10년 이상된 진료기록이라 하더라도 환자의 진단이나 치료에 결정적인 단서를 제공하는 정보가 담겨있는 경우가 있다`면서 `특정 약물에 부작용이 있는 환자가 10년 후에 내원한다거나 암 환자가 10년 후에 재발한 경우 과거 진료기록을 참조할 필요가 있음에도 무조건 폐기하도록 하는 것은 환자 진료를 위해서도 바람직하지 않다`고 지적했다. 한 대변인은 `의료법상 진료기록 보존기간은 최소 규정이지 그 기간이 지나면 반드시 폐기하라는 취지는 아니다`면서 `문제점을 개선할 수 있도록 법률을 개정할 필요가 있다`는 입장을 밝혔다.

애매한 조항은 이 뿐만 아니다.

개인정보보호법에서는 공공기관의 경우 범죄의 수사와 공소제기 및 유지를 위해 필요하거나 법원의 재판업무 수행을 위해 필요하면 개인정보를 제공하도록 하고 있다. 반면 의료법에서는 법원의 압수 또는 제출을 명하거나 검사 또는 사법경찰관이 지방법원판사가 발부한 영장에 의하지 않고는 환자의 진료정보를 제공하지 못하도록 규정하고 있다.

의협은 이처럼 두 법안이 상충하는 문제에 대해 보건복지부에 유권해석을 의뢰한 끝에 지난 2월 7일에야 `일반적인 공문형태의 수사협조일 경우에는 요청에 따를 필요가 없다`는 지침을 이끌어 냈다.

법조계에서는 개인정보보호법 시행 이후 국민건강보험공단의 현지확인에 대해서도 법률 위반 문제를 지적하고 있다. 건보공단의 현지확인은 권한없이 임의적인 협조요청에 불과하므로 의료기관이 진료기록을 제공하는 것은 개인정보보호법 위반소지가 있다는 것이다.

진료기록부 10년 보존기간 지나면 '폐기'

보건의료분야에서 개인정보보호법은 정보 활용을 통한 의학과 의료의 발전보다는 정보수집이나 이용을 규제함으로써 개인의 인권을 보호하겠다는 것에 무게 중심을 두고 있다.

개인정보처리자인 '의사'는 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다. 안전성 확보를 위해 의사는 ▲개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행(상시 근무인원 6인 이상부터 해당) ▲개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 ▲개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 ▲개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치 ▲개인정보에 대한 보안프로그램의 설치 및 갱신 ▲개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치를 해야 한다.

종이차트를 쓰고 있는 의원급 의료기관의 경우에는 개방형 보관함에 잠금장치를 설치하거나 별도의 차트보관실을 확보하지 않으면 처벌이 불가피한 실정이다. 안전성 확보를 이행하지 않았다는 이유로 적발되면 3000만원 이하의 과태료 처분을 받을 수 있다.

특히 상시 근무인원 6인 이상인 의료기관은 개인정보의 안전성 확보를 위한 '내부관리계획'(내부적으로 작성하는 비공개 문서)을 수립하고, 개인정보보호책임자를 지정해야 하며, 개인정보를 열람할 수 있는 담당자를 최소한으로 지정해 열람기록 및 권한부여·변경·삭제 기록을 보관하고, 내부직원에 의한 개인정보 유출을 방지해야 하는 의무도 져야 한다.

심각한 문제는 일선 진료현장에서 개인정보보호법 시행 6개월이 지났음에도 이 법이 시행되고 있는지 조차 모르고 있는 회원들이 태반이라는 것. 본지가 2월 28일부터 실시하고 있는 '개인정보보호법에 관한 설문조사' 결과, 3월 2일 현재 총 239명 가운데 15.1%가 개인정보보호법에 대해 `모르고 있다`고 답했고, 65.7%는 `들어는 봤지만 자세히는 모른다`고 응답, 무려 80.8%가 이 법에 대해 잘 모르고 있는 것으로 파악됐다. `잘 알고 있다`는 응답은 18.8%에 불과했다. 진료 목적이 아닌 경우 환자의 동의를 받아야 한다는 질문에 대해서도 77.4%가 잘 모르고 있는 것으로 드러나 4월부터 본격적인 법률이 적용될 경우 극심한 혼란이 불가피할 것으로 보인다.

의사와 간호조무사 등 5인 이하의 인력으로 운영되는 작은 규모의 의원급 의료기관은 개인정보보호법을 지킬 수 있는 여력이 뒷받침 되지 않고 있는 실정이다.

한동석 의협 공보이사는 `개인정보보호법에도 행정안전부 장관이 개인정보처리자가 안전성 확보 조치를 하도록 시스템을 구축할 때 필요한 지원을 할 수 있도록 하고 있다`며 `법도 중요하지만 이를 지킬 수 있도록 하기 위해서는 더 많은 홍보와 지원이 필요하다`고 밝혔다.

은상용 의협 정보통신이사는 `환자 진료에 걸림돌로 작용하는 개인정보보호법의 문제점을 해결하기 위해서는 법 적용에서 제외를 인정받고 있는 언론·종교단체·정당에 의료기관을 추가시켜야 한다`고 지적했다.

 

개인정보보호법 관련 서식 다운