병원에서 의사들이 협진을 위해 환자 진료정보를 공유하는 것은 괜찮지만, 네트워크병원이나 다른 병원간 진료정보를 공유하기 위해서는 환자의 동의가 필요하다.
건강보험심사평가원은 26일 종합병원 이상 종사자를 대상으로 '의료기관의 개인정보보호 및 해킹사고 대비를 위한 정보보안' 교육을 실시했다.
개인정보보호 교육을 맡은 대한병원협회 정효만 전산정보팀장은 지난해 정부와 의료기관 대상 현장점검 결과와 개인정보보호법에 대한 실제 사례를 소개했다.
지난해 한국정보화진흥원, 안전행정부 등 현장점검반이 개인정보 침해 우려가 큰 업종을 선정해 취약점 위주로 756개소로 현장점검을 나간 결과 절반이 훌쩍 넘는 441개소가 과태료, 시정조치, 개선권고 등의 처분을 받았다.
이 중 의료기관은 21곳을 점검했고 52.4%인 11곳이 개인정보보호법을 위반하고 있었다.
필수 고지사항 일부 누락, 고유식별정보 별도 동의 위반, 개인정보책임자 미지정, 접근권한관리 위반, 내부관리계획 미수립 등을 주로 위반하고 있었다.
정 팀장은 "4월 둘째주 12개 병원을 대상으로 또다시 실태조사를 했다. 큰 병원들을 중심으로 현장점검을 했음에도 불구하고 아직까지 미흡한 부분이 많았다"고 말했다.
다음은 정 팀장이 소개한 개인정보보호법 관련 상담사례들이다.
네트워크병원 A지점에서 진료를 받은 후 다른 지점에서 진료를 받을 때 진료정보를 공유해 이용할 수 있는가?
환자나 환자 보호자가 동의할 경우에만 가능하다. 동의 없이 일률적으로 타 의료기관의 진료기록을 공유하는 것은 의료법에 저촉될 수 있다.
A지점에서 다른 지점으로 진료정보를 제공하기 위해서는 동의절차를 거쳐야 한다.
네트워크병원이 각 지점별로 별도의 웹사이트를 구축하고 있지만 전체적인 웹사이트 관리, 회원관리, 게시판(상담예약) 관리 등 DB를 통합 관리해 서울 본점 마케팅 담당자가 관리하는 것은?
네트워크병원들은 같은 개인정보처리자가 아닌 별개다. 따라서 네트워크병원 각각이 개인정보보호 책임자를 지정해야 한다. 이를 위반하면 1천만원 이하의 과태료가 부과될 수 있다.
네트워크병원의 웹 사이트 회원정보는 의료법에 따른 진료정보로 볼 수 없기 때문에 동의를 받아 수집해야 하며, 회원정보 공유를 위해서는 제3자 제공에 대한 동의도 필요하다.
'SMS, DM 등 병원 안내, 홍보에 따른 개인정보 활용에 동의합니다'라고 한줄로 압축해서 동의를 받아도 되나?
안된다. 개인정보 수집이용 동의를 받을 때는 ▲개인정보의 수집 이용 목적 ▲수집하려는 개인정보의 항목 ▲개인정보의 보유 및 이용기간 ▲동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알려야 한다.
타 의료기관에 검사를 의뢰하는 경우 정보주체의 동의를 받아야 하나?
타 의료기관에 검사를 위탁하는 경우에는 정보주체의 동의를 받을 필요는 없지만 서면에 의한 계약 및 위탁사실 공지 등 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 및 동 법 시행령 제28조(개인정보의 처리 업무 위탁 시 조치)에 따라 위탁업무를 처리해야 한다.
동의서 원본 보관이 어려운데, 스캔해서 파일로 관리해도 되나?
별도의 규정은 없지만 동의서 원본과 동일성이 완벽하게 유지된다고 가정할 때 영상스캔을 통해 전자파일로 보관 할 수 있다.
그러나 종이로 작성된 원본과 이를 스캔한 전자파일의 동일성에 대해서는 소비자 등으로부터 다양한 이슈가 제기될 수 있다.
전화상으로 환자의 입원 여부를 묻거나 입원병실을 묻는 경우 알려줘도 되는가?
의료법 제19조(비밀 누설 금지)에 따라 의료인은 이 법이나 다른 법령에 특별히 규정된 경우 외에는 의료, 조산 또는 간호를 하면서 알게 된 다른 사람의 비밀을 누설하거나 발표하지 못한다.
환자의 개인정보인 입원 여부를 동의없이 알려주면 의료법에 저촉될 수 있다. 환자 본인이나 보호자와 직접 연락할 수 있도록 조치를 취해주는 것이 바람직하다.