개인정보보호 자율규제를 준비하는 병원들은 관련 증빙자료 제출에도 만전을 기해야 할 것으로 보인다.

㈜포유시큐리티 옥은택 대표는 10월 21일 서울 코엑스에서 열린 대한병원정보협회 학술대회에서 올해 개인정보보호 자율규제 항목 가운데 △개인정보 수집 동의 △개인정보 최소 수집 △홍보·마케팅 등 선택정보 별도 동의 △개인정보 제3자 제공 동의 등 총 4가지를 중점 자율점검 항목에 대해 병원들이 자율점검과 함께 관련 증빙자료 제출에 만전을 기해야 한다고 밝혔다.

이날 옥 대표는 대한병원협회 개인정보보호 자율점검 안내를 주제로 중점항목에 대한 사전 준비 내용을 집중소개 했다.

먼저 개인정보 수집 시 동의 안내 사항에서 개인정보 수집 및 이용목적, 수집하는 개인정보 항목, 개인정보 보유 및 이용 기간, 동의를 거부할 수 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용 등을 4가지 필수사항으로 꼽았다.

특히 개인정보 수집 동의 4가지 필수사항 작성 시 ‘중요내용’ 및 ‘중요내용 표시방법’을 제대로 준수하고 있는지 확인이 필요하다고 했다.

여기서 말하는 ‘중요내용’은 △개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에 연락할 수 있다는 사실 △처리하는 개인정보의 항목 중 다음의 사항(개인정보보호법 시행령 제18조에 따른 민감정보, 개인정보보호법 제19조 제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허증의 면허번호 및 외국인등록번호) △개인정보의 보유 및 이용기간(제공 시에는 제공받는 자의 보유 및 이용기간을 말한다) △개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적 등이다.

또 ‘중요내용 표시방법’은 △글씨의 크기는 최소한 9포인트 이상으로 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것 △글씨의 색깔, 굵기 또는 밑줄 등을 통해 그 내용이 명확히 표시되도록 할 것 △동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인 될 수 있도록 그 밖의 내용과 별도로 구분해 표시 등을 해야 한다.

이와 관련해 옥 대표는 “체크할 때 ‘중요내용’ 및 ‘중요내용 표시방법’을 잘 준수하고 있는지를 확인해야 한다”면서 “관련 서식에서 글자 크기가 똑같으면 잘못하고 있는 것”이라고 말했다.

중점점검항목은 진료목적 외로 서면가입 또는 홈페이지 등을 통한 회원가입 시 동의를 받고 있는지를 확인해야 한다며 자율점검 시 증빙서류를 제출해야 한다.

구체적으로는 혹시 병원에서 홈페이지에 회원가입 화면이 있으면 이부분을 확인해야 한다. 진료정보 수집동의 양식도 검토해야 하고 4가지 필수 사항을 안내하고 있는지 확인해야만 한다.

점검항목은 ‘진료목적 외로 서면가입(오프라인), 홈페이지(온라인) 등을 통한 회원가입 시 동의는 받고 있는가?’로 점검기준은 양호, 개선필요, 해당없음으로 구분된다.

양호는 고객의 개인정보 수집·이용을 위한 4가지 필수사항을 모두 고지한 경우, 서면동의 시 ‘중요내용’ 및 ‘중요내용 표시방법’도 준수하여 작성한 경우다.

개선필요는 고객의 개인정보 수집·이용을 위한 4가지 필수사항 중 누락사항이 있거나 필수사항 내용이 부적절한 경우(예: 수집항목 안내와 수집내용이 불일치), 서면동의 시 중요내용 및 중요내용 표시방법의 내용이 부적절한 경우다.

해당없음은 고객의 개인정보를 수집·이용하지 않거나 개인정보보호법 제15조 제1항제2~6호에 근거해 동의를 받지 않는 경우를 말한다.

점검방법과 관련해서 옥 대표는 “혹시 병원에서 홈페이지에 회원가입 화면에서 진료목적 외로 개인정보가 수집·이용되므로 수집되는 항목을 확인해야 한다”면서 “진료정보 수집 동의 양식도 검토해야 하고 4가지 필수사항을 안내하고 있는지 확인해야 한다”고 언급했다.

이어서 옥 대표는 “민감정보, 고유식별정보 수집 시 별도 동의 4가지 필수사항을 안내하고 있는지 확인해야 하고 별도 동의를 받지 않으면 법 위반 사항이다”면서 “별도 동의가 아닌 일괄 동의를 받고 있다면 자율점검시 개선필요로 표시해야 한다”고 설명했다.

증빙자료 제출방법도 안내했다.

옥 대표는 “증빙자료로는 홈페이지 회원가입시 개인정보 수집 동의를 안내하고 있는 부분을 캡처해 제출해야 하고 회원가입 시 부가서비스 신청화면까지 캡처해야 하며 양식이 있는 경우는 양식까지 제출해야 한다”고 했다.

오프라인(방문, 전화)으로 동의를 받는 경우에는 서식스캔, 전화 동의시 안내된 녹음파일 또는 안내 매뉴얼을 제출해야 한다. 온라인과 오프라인까지 시행하고 있다면 두 부분 모두 증빙자료를 제출해야 한다.

또한, 중점 자율점검 항목 하나인 ‘개인정보 수집 시 수집항목 최소화’는 고객에게 개인정보를 수집하는 경우 업무에 꼭 필요한 개인정보만 수집해야 하고 홈페이지 회원가입, 병원 진료목적 외 서비스 시 수집되는 개인정보에 대한 항목별로 필요한 사유에 대해 입증할 책임은 개인정보처리자(병원)에 있는 만큼 증빙서류를 받는 경우 서류에 작성된 개인정보 항목도 포함해야 한다.

점검요령은 △서비스를 제공하는데 피료한 고객의 개인정보가 무엇인지 있는지 그 종류를 조사 △조사한 개인정보 중 필수적으로 수집해야 하는 ‘필수항목’을 검토해 구성 △조사한 개인정보 중 부가서비스를 위한 개인정보는 ‘선택항목’으로 구분 △양식서에는 수집하는 항목에 ‘필수’, ‘선택’으로 구분 △개인정보 수집 동의 안내는 필수동의, 선택동의 사항을 명시적으로 구분해 안내되도록 해야 한다.

점검방법은 홈페이지 회원가입 화면에 수집되는 필수항목으로 예를 들어 아이디, 비밀번호, 이름, 연락처, 이메일 등을 확인하고 진료목적이 아니고 병원의 업무에 필요해 개인정보를 수집하는 경우는 최소한의 개인정보만 수집하도록 하고 있는지 확인해야 한다. 추가적인 항목에 대해서는 ‘선택항목’으로 구분해 별도 동의를 받고 있는지 확인이 필요하고 증빙자료 제출은 앞서와 거의 일맥상통한다.

홍보·마케팅 등 개인정보 수집 목적 외 이용 시 고객에게 별도 동의를 받을 수 있도록 동의절차를 마련해야 한다. 또한 홍보·마케팅 등에 동의하지 않는다고 해서 병원 진료서비스 등 서비스를 제한해서는 안된다.

이에 대한 점검방법은 홈페이지 회원가입, 진료목적 또는 진료목적 외로 수집시 홍보·마케팅 목적으로 별도 동의를 받는지 확인한다. 또 홍보·마케팅 목적으로 별도 동의를 받을 경우 필수사항 4가지를 고지하고 있는지 확인해야 한다.

특히 옥 대표는 “예를 들어 고객님은 개인정보 수집에 동의를 거부할 수 있고 동의를 거부할 경우 회원가입은 되나 그 외 부가서비스 제공에 일부 제한이 될 수 있다는 것처럼 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우는 그 불이익 내용 부분의 문구를 확인해야 한다”고 제시했다.

또, 홍보·마케팅 목적으로 별도 동의를 하지 않을 경우 홈페이지 회원가입, 진료서비스 등을 못하도록 하고 있는 확인해야 한다. 동의 거부시 회원가입이 안되는 경우는 점검기준에서 개선필요 사항에 속한다.

증빙자료는 회원가입, 진료목적 또는 진료목적 외 수집 시 홍보·마케팅 목적으로 수집하는 별도 동의 화면을 캡처 및 서식을 제출해야 한다. 필수사항 4가지 안내 중에서는 ‘동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용’ 부분의 문구가 명확히 보이도록 해야 한다.

마지막 개인정보 제3자 제공 시 동의 안내에서는 5가지 필수사항이 핵심 포인트로 제시됐다.

개인정보를 제공받는자, 개인정보를 제공받는 자의 개인정보 이용목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용기간, 동의를 거부할 수 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용이 5가지 필수사항이다.

병원이 이를 작성할 경우 ‘중요내용’ 및 ‘중요내용 표시방법’이 준수돼야 하고 점검방법은 회원가입 홈페이지 화면 또는 진료목적 외 수집문서 양식에 제3자 제공 동의를 하고 있는지가 확인할 점이다.

또 개인정보 수집 등의 5가지 필수사항 중 개인정보를 제공받는자, 개인정보를 제공받는 자의 개인정보 이용목적, 개인정보의 보유 및 이용기간 등의 부분이 다른 글자보다 20% 이상 크고, 진하게 또는 색깔로 구분돼 강조되고 있는지가 확인할 부분이다.

증빙자료로는 회원가입, 서비스 신청 홈페이지 화면에서 개인정보 제3자 제공 동의 5가지 필수사항을 안내하고 있는 캡처 화면과 진료목적 외 서비스 신청 시 개인정보 제3자 제공 동의 5가지 필수사항을 안내하고 있는 서식 스캔, 전화 동의 시 5가지 필수사항이 안내된 녹음 파일 또는 안내 매뉴얼을 제출해야 한다.

옥 대표는 “참고로 가장 많이 실수하는 것이 필수 동의와 선택 동의를 받아야 할 항목들이 하나로 뭉쳐 있는 경우가 많다”면서 “여행사에 주는 개인정보와 호텔에 주는 개인정보가 다른데 이걸 하나로 묶어 놓는 것은 개선이 필요한 것”이라고 당부했다.

그러면서 옥 대표는 “오늘 소개한 4가지 유형에 대한 중점항목 부분에 대해서는 이번에 자율점검 체계가 변경돼 증빙자료까지 제출해야 한다”면서 “병원들이 이에 대한 부분에 신경을 써야 할 것”이라고 강조했다.