병의원 자주 위반하는 개인정보보호법은?

안전행정부 상반기 점검...병의원 일부 단속
정보수집 동의 위반, CCTV 안내판 미설치 등

환자 개인정보 무단 수집 금지 등을 골자로 한 개인정보보호법이 시행된지 1년 6개월이 경과 됐지만, 아직도 일부 의료기관에서 관련 법규를 제대로 지키지 못하고 있는 것으로 나타났다.

정부 부처 합동으로 구성된 개인정보보호 합동점검단은 올해 상반기에 실시한 의료분야에 대한 실태검사 결과를 안전행정부를 통해 최근 공개했다.

안행부가 공개한 위반 사례에 따르면 A산부인과의원의 경우 개인정보 처리 수탁사 관리감독 규정을 지키지 않았다. 현행 개인정보보호법 제26조는 개인정보 처리를 위탁할 경우 반드시 문서로 해야 하며, 위탁업무의 내용과 수탁자에 대한 사항을 인터넷 홈페이지를 통해 공개해야 한다.

B산부인과의원은 비밀번호 송·수신 시 암호화를 적용하지 않은 사실이 적발됐다. 개인정보보호법 제29조는 진료정보의 안전한 보관을 위해 접근 통제, 접근 권한 제한, 암호화, 접속기록 보관, 보안프로그램 설치 등 안전성 확보를 위한 조치를 취하도록 명시하고 있다. 특히 고유식별정보·비밀번호·바이오정보는 반드시 암호화 기술을 적용토록 의무화 하고 있다.

C병원의 경우 탈퇴회원의 정보를 파기하지 않아 과태료 처분을 받았다. 모든 의료기관은 진료정보가 아닌 개인정보의 보유기간이 경과했거나 처리목적의 달성 등 사유가 발생한 경우 즉시 파기해야 한다(개인정보보호법 제21조).

환자의 정보를 수집할 때 반드시 알려야 할 사항의 고지 의무를 위반한 의료기관도 있었다. 개인정보보호법 제15조는 진료와 직접적인 관계없이 홍보나 홈페이지 회원관리 등의 목적으로 개인정보를 수집할 때에는 반드시 정보주체의 동의를 받도록 명시하고 있다.

구체적으로 ▲개인정보의 수집·이용 목적 ▲수집하려는 개인정보 항목 ▲개인정보의 보유 및 이용기간 ▲동의를 거부할 권리가 있다는 사실과 그에 따른 불이익을 알리고 동의 받아야 한다.

특히 CCTV 설치오 관련된 규정을 위반해 과태료 및 시정조치를 받은 의료기관이 다수 있었다. 현행 개인정보보호 관련 법령은 정신의료기관(수용시설을 갖춘 경우), 정신질환자사회복귀시설 및 정신요양시설을 제외한 모든 의료기관 내 대기실·접수대·휴게실·주차장 등 '공개된 장소'에 영상정보처리기기를 설치·운영하기 위해서는 정보주체(환자)가 쉽게 알아볼 수 있도록 안내판을 설치해야 한다.

이밖에 주민번호 외의 대체수단(i-PIN) 등을 통한 회원가입 방법을 제공하지 않거나, 퇴직 직원의 정보의 분리 저장 규정 위반 등이 주요 적발 사례로 꼽혔다.

한편 대한의사협회는 법령 위반에 따른 회원들의 피해를 최소화하기 위해 지난해 개인정보보호법 시행 이후부터 현재까지 16개 시도의사회와 개원의협의회, 의학회 산하 학회 등에 안내·홍보 자료를 지속적으로 제공하고 있다.