요양기관 개인정보보호, 이것만은 꼭∼! ③

보험회사, 경찰서에서 환자 진료기록을 요청할 땐?

<분야별 사례> ③ 개인정보 공개 및 제공
간혹 보험회사와 경찰서에서 환자의 진료기록을 요청할 경우가 있다. 이럴 때 요양기관에서는 어찌해야 할 지 당황스러워한다.

결론부터 말하면, 보험회사가 진료기록부 사본을 요청할 때 보험회사의 신분증 사본, 환자가 자필 서명한 동의서 및 위임장 등의 요건을 갖추면 진료기록부 사본을 제공할 수 있다. 단, 자동차손해배상보장법에 의해 보험회사가 진료기록 사본을 요청할 때에는 별도 서류 및 환자의 확인 없이 제공해야 한다.

경찰에서 환자의 진료기록을 요청하는 경우는 형사(압수·수색)·민사소송의 경우 환자의 동의 없이 제공할 수 있다. 그러나 일반적인 수사협조 요청일 경우에는 환자 동의하에 제공해야 한다.

이밖에 요양기관 홈페이지에 직원의 개인정보를 동의 없이 게재해서는 안 되고, 네트워크 의료기관의 경우 환자의 진료 정보를 수집한 해당 의료기관이 아니면 제3자이기 때문에 다른 네트워크 의료기관에서 사용할 수 없다.
또 다른 의료기관에서 환자의 병명·처방 명세를 알려달라고 요청할 경우 의료법에 따라 환자(환자 보호자)의 동의를 받고 알려줄 수 있다.
PC 유지보수 업체 직원에게도 보안서약서를 받는 것이 바람직하며, 전자차트 업체 직원에게는 의료기관 소속직원으로 간주하기 때문에 의료기관이 손해배상 책임을 져야 하므로 주의가 요구된다.

병원 홈페이지에 가입한 환자가 비밀번호 분실했을 때에는 임시 비밀번호를 부여하고, 환자 본인이 직접 새로운 비밀번호를 작성한 후 홈페이지를 이용하도록 안내하는 것도 잊어서는 안 된다.

Q．홈페이지에 안내를 위해 의료진 및 행정담당자의 연락처를 공개하고자 합니다. 직원들에게 개인정보 수집 동의를 받아야 하나요?
A．의료기관의 명칭, 주소, 대표자명 등은 개인정보가 아닌 법인이나 단체에 관한 정보로 볼 수 있다.

그러나 의료진이나 행정담당자의 성명과 업무상 전화가 아닌 휴대전화 번호, 개인 이메일은 개인정보에 해당하므로 당사자의 동의하에 게재해야 한다.

Q．홈페이지에서 개인정보를 수집하는 회원가입 등 절차는 없으나 방문객 스스로 개인정보를 게시하는 경우가 있습니다. 이런 경우 어떻게 관리해야 하나요?
A．홈페이지 관리 담당자는 이용자가 작성한 게시물에 개인정보가 포함된 경우, 이용자의 의사를 확인해 해당 게시물을 삭제하거나 개인정보 일부를 마스킹 처리해 유출되는 일이 없도록 해야 한다.

또 회원가입 없이 민원, 상담 관련 게시판에 글을 등록할 때는 비밀번호 지정 또는 비밀글 설정 등을 통해 이용자와 관리 담당자만 확인할 수 있도록 해야 한다.

게시물을 등록할 때 경고 알림창(팝업창)을 통해 개인정보의 포함 여부를 확인할 수 있도록 하는 것도 좋은 방법이다.

<경고 팝업 예시>
"게시판에 연락처, 주소 등 개인정보가 포함된 글을 올릴 경우에는 타인에게 해당 정보가 노출될 수 있습니다."

Q．보험회사에서 환자의 진료기록부 사본을 제공할 것을 요청받았습니다. 환자에게 확인하고 제공하면 되나요?
A．의료기관의 진료기록부 사본의 제공은 의료법에 의해 제공할 수 있다.

보험회사는 환자가 지정하는 대리인으로 볼 수 있기 때문에 ▲보험회사 직원의 신분증 사본 ▲환자가 자필로 서명한 동의서(만 14세 미만인 경우 환자의 법정대리인이 작성 및 가족관계증명서 등 증빙서류 첨부) ▲환자가 자필로 서명한 위임장 ▲환자의 신분증 사본을 갖춰 요청하면 진료기록부의 사본을 제공할 수 있다.

단, 자동차손해배상보장법에 근거해 의료기관으로부터 청구를 받은 보험회사가 그 의료기관에 관계 진료기록의 열람 및 사본 교부를 청구한 경우는 위 서류 및 환자의 확인 없이 제공해야 한다.

<TIP>
동의서 및 위임장 양식은 의료법 시행규칙 별지 제9호의 2, 3 서식을 사용해야 한다.

Q．간혹 경찰에서 특정 환자의 진료기록을 요청하는 경우가 있습니다. 이런 경우 환자에게 물어보고 제공하면 되나요?
A．의료기관에서 진료기록의 열람 및 제공은 의료법 제21조를 따라야 한다.

형사소송법에 근거한 압수·수색이나 민사소송법에 근거한 문서제출을 요구하는 경우에는 환자의 동의 없이 제공할 수 있다.
위의 방법이 아닌 일반적인 수사 협조 요청일 경우에는 의료인이 요청에 따른 의무는 없으며, 환자 동의하에 제공이 가능하다.

<TIP>
개인정보보호법 제18조(개인정보의 목적 외 이용·제공 제한) 2항에 따른 개인정보 제공 가능 사유 중 7호(범죄의 수사와 공소의 제기 및 유지를 위해 필요한 경우)는 민간이 아닌 공공의료기관에만 해당하는 것이므로 주의가 필요하다.

Q．의료기관의 진료 정보 DB를 통합하고 각 기관의 ID로 로그인이 가능한 이른바 '네트워크 의료기관'을 운영하고자 합니다. 같은 네트워크 병원이기 때문에 환자들의 별도 동의 없이 운영할 수 있는가요?
A．같은 네트워크, 법인 내 의료기관도 환자와 환자의 진료 정보를 수집한 의료기관이 아니라면 제3자이다. 진료 정보 DB를 통합, 즉 공유하는 것 또한 개인정보보호법 제17조에 따라 환자의 별도 동의를 반드시 받아야 한다.

동의서에는 ▲개인정보를 제공받는 자 ▲개인정보를 제공받는 자의 개인정보 이용 목적 ▲제공하는 개인정보의 항목 ▲개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 ▲동의를 거부할 권리가 있는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용을 명확하게 기재해야 한다.

<TIP>
제3자 제공 동의는 일반적인 개인정보 수집·이용 동의와 분리해(다른 서식을 사용하거나 명확히 구분해) 별도로 동의를 받아야 한다.

Q．타 의료기관으로부터 어떤 환자의 병명 및 처방 내역을 알려달라고 요청을 받았습니다. 이런 경우 타 의료기관에 그 환자의 정보를 알려줘도 되나요?
A．의료법에 따라 환자 또는 보호자의 동의를 받고 알려주는 것이 가능하다. 타 의료기관에 환자의 진료 정보를 알려주는 것은 개인정보보호법상 개인정보의 제3자 제공에 해당하나 의료법에서 해당 부분을 이미 규정하고 있으므로 의료법을 따르면 된다.

<TIP>
개인정보보호에 관해 의료법에 규정이 있는 경우에는 의료법이 우선 적용되지만, 의료법에 규정이 없는 경우 개인정보보호법이 적용됨.

Q．PC 유지보수 업체 직원이 출장 와서 PC를 고치면 출장 및 수리비를 지급하는 형식으로 진행합니다. 이럴 때에도 PC 내 개인정보에 접근할 수 있기 때문에 개인정보 처리 위탁 계약서를 작성해야 하나요?
A．계약 기간 및 업체를 정해놓은 경우라면 개인정보 처리 위탁 계약서를 작성해야 한다. 하지만 그렇지 않을 때에는 해당 업체 직원이 출장 방문 시 보안서약서 작성 등 간단한 교육을 하고 직원의 관리·감독하에 PC 유지보수 업무를 할 수 있도록 하는 것이 바람직하다.

Q．전자차트 업체 직원이 환자의 개인 정보를 부정 이용해 환자에게 피해를 준 사례가 발생했습니다. 이런 경우에는 의료기관이 책임을 지게 되나요?
A．의료기관과 전자차트 업체가 위·수탁 관계에 있다면 전자차트 업체는 의료기관 소속 직원으로 간주한다는 것을 명심해야 한다.
전자차트 업체 직원이 법령을 위반해 환자에게 손해를 발생시킨 경우에는 의료기관이 손해배상 책임을 지게 되나, 의료기관은 전자차트 업체에 구상권을 행사할 수 있다.

<TIP>
환자 개인정보를 타 업체에 위탁해 처리하는 경우, 개인정보보호법 제26조 1항의 내용을 포함한 개인정보 처리 위탁계약서를 체결하고 교육 및 감독에 주의를 기울여야 함.

Q．병원 홈페이지에 가입한 환자가 비밀번호를 알려달라고 요청했습니다. 본인 확인 후 비밀번호를 알려줘도 문제가 없나요?
A．비밀번호는 본인 확인이 이뤄진 이후에도 환자에게 알려줄 수 없다. 비밀번호는 일방향 암호화(해독할 수 없는 방법)해야 하며, 그에 따라 암호화된 비밀번호는 관리자조차도 알아낼 수 없다.

이 때문에 본인 확인 이후 임시 비밀번호를 부여하고 '비밀번호 작성규칙'에 따라 본인이 직접 새로운 비밀번호를 작성한 후 홈페이지를 이용하도록 안내해야 한다.

<TIP>
혹시라도 홈페이지 관리자가 회원의 비밀번호를 확인 및 안내하는 것이 가능하다면 조속히 일방향 암호화를 적용하고 비밀번호 분실 시 대응방법을 변경해야 한다.