최근 자문을 하고 있는 의원에서 환자 DB를 두고 다툼이 발생했다며 조언을 구해 왔다. 원장과 독립을 앞둔 봉직의, 그리고 마케팅 업체까지 얽혀 서로 자신이 DB “소유자” 라고 주장하는 복잡한 상황이었다. 급기야 서로 환자들에게 문자메시지를 보내 영업하는 지경에 이르자, 환자들도 불편을 호소하기 시작했다.
개인정보의 관리주체
일반적으로 환자의 정보는 “소유의 대상”이 아니라 “관리하고 보호해야 할 대상” 으로 생각하는 것이 옳다. 개인정보보호법 제6조 및 의료법 제21조 제2항에 따르면, 의료인, 의료기관의 장 및 의료기관 종사자는 법이 정한 예외를 제외하고는 환자의 진료 정보를 절대 제3자에게 제공해서는 안된다. 따라서 진료 기록의 관리권한은 의료기관에 있다고 보는 것이 당연하고, 원장은 환자로부터 직접 동의를 받아 수집한 주민번호, 연락처 등이 외부로 유출되지 않도록 관리할 책임을 부담한다.
만약 봉직의가 퇴사 후 새로운 병원을 개설하여 기존 환자의 기록을 열람하고 싶다면, 환자의 동의를 받아 진료기록 등을 전송받아야 할 것이다(의료법 제21조의 2). 자신이 새로 개설한 병원을 홍보하고 싶다는 이유로 환자들의 연락처를 몰래 반출하여 홍보에 사용하면, 그 자체가 개인정보보호법 위반이 될 수 있다.
업체가 생성한 DB의 소유권
위와 같이 병원이 직접 수집한 정보를 바탕으로 하나의 DB(주로 연락처)가 생성되었다면, 이 DB의 소유권이 누구에게 있는지는 다툼의 여지가 없다. 관리책임은 병원이 부담한다.
하지만 앞서 언급한 사례에서는 원장(A)이 직접 환자의 DB를 수집한 것이 아니라, 마케팅 업체인 B에 DB마케팅을 위탁했고, B 업체가 주도적으로 연락처를 수집하여 DB를 생성하였다. 개원가에서는 이와 같은 “DB마케팅”을 유행처럼 많이 활용하고 있고, 경우에 따라서는 CRM 자체를 위탁하는 케이스도 많은 것으로 알려져 있다.
위 케이스에서 마케팅 업체는 DB를 가지고 장사를 하는 곳이니 계약이 끝나면 다른 의료기관 마케팅을 하는데 DB를 사용할 수 있다고 주장하였고, 병원 입장에서는 이미 내가 진료하고 있는 환자를 다른 곳으로 빼돌리는 자체가 영업권 침해라고 강하게 맞서는 상황이었다. 누구의 말이 맞는 것일까?
이 문제를 정확히 진단하기 위해서는 환자가 정보를 제공한 당사자가 누구인지, 그리고 병원과 마케팅 업체 간의 계약이 어떻게 되어 있는지 확인해 보아야 한다. 마케팅 업체가 특정 병원(A)의 진료 예약 등을 대행해 주는 위탁업체일 뿐이라면, 마케팅 업체인 B에게 이용 권한이 있다고 보기 어려울 것이다. B가 환자들의 연락처 DB를 가지고 영업하는 것은 적절하지 않다.
반면에 B가 A원장의 위탁업체로서가 아니라 주체적인 수집자로서 직접 환자 개인정보를 취득하였고, 제공자의 동의도 받았다면 수집 목적에 맞게 B가 개인정보를 활용하는 것은 막기 어렵다. A는 계약 종료 후 A의 영업권을 지킬 수 있는 조항을 계약서에 삽입하는 등의 방법으로 문제에 대응할 수 있을 뿐이다.
A원장의 경우 계약서를 찾아보니 계약 종료 후에는 B에게 DB를 반환한다는 내용이 있었지만, 그 자체가 개인정보보호법과 일치하지 않는 면이 있었고, A의 기존 환자들에게까지 문자메시지를 보내 다른 병원의 광고를 하는 것은 적절하지 않다는 판단이 들었다. 이에 A원장은 내용증명우편을 발송하여 1차 경고를 하였고, 그래도 문제가 해결되지 않자 법원이 “조정” 신청서를 제출했다. 결국 A는 기존 환자에 대한 영업권을 존중 받고, 그리고 B가 수집한 DB에 대해서는 A가 자료를 폐기하는 내용으로 합의하고 분쟁을 마무리할 수 있었다.
이처럼 환자의 개인정보, DB 문제는 단순히 그 소유관계를 따질 것이 아니라, 개인정보 제공 동의의 상대방이 누구인지, 관리책임자는 누구인지 그 책임의 문제를 함께 고려해 보아야 한다. 개인정보를 관리하고 책임져야 할 사람이 누구인가를 생각해 본다면 생각보다 쉽게 결론이 도출되는 경우가 많을 것이다.