요양기관에서 개인정보보호법을 몰라서 위반할 수 있는 사례는 어떤 것일까.
보건복지부는 18일 의원급과 약국에서 환자진료 및 처방 정보 관리 미숙으로 개인정보호법 위반 소지가 있는 주요 사례를 공개하며 요양기관의 정보관리를 당부했다.
개인정보보호법은 행자부 소관으로 위반 횟수에 따라 최고 5천 만원 이하의 과태료가 부과된다.
우선, 종이로 신규환자에게 받는 접수증을 OCS(처방전달시스템)에 입력하는 의원의 경우, 환자 이름과 주민등록번호, 주소, 전화번호 및 증상 등이 적힌 접수증을 OCS 입력 후 파기해야 한다.
의료기관 및 약국에서 OCS와 EMR(전자의무기록), 건강보험청구 SW, 약국경영관리시스템을 외주 전산업체와 위·수탁 계약을 체결한 경우에도 주의가 요망된다.
수탁자(외주 전산업체)와 위탁한 업무사항을 공개해야 한다. 다만, 계약서 자체를 공개하는 것은 아니다.
홈페이지가 있을 경우 홈페이지를 통해, 없을 경우 요양기관 내 게시물에 게재해야 한다.
외주 전산업체와 위·수탁 계약을 체결할 때 행정자치부에서 제공하는 표준계약서 내용을 사용, 반영해야 한다.
환자에게 개인정보 수집, 이용, 제공 동의서 수집 여부도 주의해야 할 사항이다.
의료법과 약사법, 국민건강보험법 등 관련 법률에 따라 환자의 개인정보를 수집, 이용하는 경우 환자에게 개인정보 동의서를 받을 필요는 없다.
다만, 불필요하게 받은 동의서를 파기하지 않고 이면지로 재활용 또는 쓰레기통에 버리게 되면 개인정보보호법 위반에 해당한다.
진료목적으로 수집한 정보를 연구목적으로 이용할 경우, 환자가 식별될 수 있는 개인정보를 삭제 후 이용해야 한다.
보건의료정책과 이형훈 과장은 전문기자협의회와 만나 "의원급과 약국 청구 소프트웨어 관련 사항에서 주의해야할 부분이 많다"면서 "자율점검은 미비점을 찾아 가이드라인을 통해 주의하는 의미이지 처분 목적이 아니다"라고 말했다.
그는 의료계 일각의 반발과 관련 "개인정보보호법에 의해 민감한 진료정보를 다루는 요양기관은 관리의무가 있다"고 전제하고 "의료단체와 협의해 심사평가원을 통한 자율점검 교육이 와전돼 복지부가 책임을 떠넘기는 것으로 오해하고 있다"고 해명했다.
이형훈 과장은 약학정보원 PM2000 인증 취소 검토에 대해 "심평원에서 약사회 소명자료를 점검해 검찰에서 지적한 처방정보 불법 수집과 판매 개선사항을 명확하게 확인되면 절차에 따라 진행될 것"이라며 "인증 취소 여부는 아직 확정된 것은 아니다"라고 설명했다.
이형훈 과장은 "자율점검 교육은 10월말까지 요양기관 정보보호를 도와주고 협조하는 차원에서 진행된다"면서 "일정을 빨리 잡다보니 본업에 영향을 줘 불만이 제기된 것 같다. 심평원도 일일이 방문해서 할 수 없는 한계가 있다"며 요양기관의 협조를 거듭 당부했다.