"진료정보는 의료법에 따라 수집·보유하므로 동의 없이 수집 가능하며, 의료법에 명시된 경우 외에는 열람이나 제3자 제공할 수 없다."
주민등록번호는 암호화하는 등 안전한 관리를 위한 조치를 이행해야 하며 진료정보보유기간은 최소 10년으로 진료목적상 필요한 경우 연장할 수 있고, 대기실 등에 CCTV 운영시 안내판을 설치해야 하며 진료실에 CCTV 설치 시 환자의 동의가 필요하다.
행정안전부와 보건복지부는 병의원이 환자 정보를 안전하게 보호·관리하기 위해 지켜야할 기준과 원칙을 담아 이같은 내용의 '의료기관 개인정보보호 가이드라인'을 발간했다.
이번 가이드라인은 주민등록번호, 질병정보 등 국민들의 중요한 개인정보를 수집·운영하는 의료기관에서 사생활 침해가 생기지 않도록 엄격한 기준 적용이 요구됨에 따라 마련됐다.
가이드라인 발간으로 그동안 의료법과 개인정보보호법 등 관련 법률에서 정한 절차와 규칙을 몰라 어려움을 겪던 의료기관 개인정보보호 담당자들이 필수 조치사항을 쉽게 이해하고 실천할 수 있게 됐다.
가이드라인은 진료정보의 수집·관리·제공·폐기 등 개인정보보호 업무 단계별 처리요령, CCTV 설치․운영 방법 등을 의료기관의 특성에 맞춰 설명하고 있으며, 질의응답 사례, 관련 법령 및 서식 등도 제공해 담당자들이 쉽게 이해하고 가이드라인만으로 실무를 수행할 수 있도록 구성했다.
가이드라인에 현장에서 필요로 하는 다양한 내용을 담기 위해 지난 6월부터 행정안전부와 보건복지부 관련부서 담당자들과 심평원, 의사협회, 병원협회, 약사회 등 현장 전문가들이 TF를 구성하여 운영해 왔다.
두 부처는 가이드라인을 관련협회를 통해 전국의 의료기관에 배포하고 의료기관의 개인정보보호 담당자 전문교육도 실시할 계획이다.
의료기관 개인정보보호 가이드라인은 보건복지부(www.mw.go.kr), 개인정보보호종합포털(www.privacy.go.kr)에 게시했다.
*붙임 : 적용법령 및 주요 조치사항
구 분 | 진료정보 | 일반 개인정보 |
개 념 | O 진료를 목적으로 수집하여 처리하는 개인정보가 포함된 정보 - 진료기록부, 수술기록부, 조산기록부, 간호기록부, 환자명부 등 | O 홈페이지 회원정보, 홍보를 위한 연락처 등 일반 개인정보 |
일반원칙 | O 의료법에 규정이 있는 경우 의료법을 우선 적용 - 규정이 없는 경우 개인정보보호법 적용 | O 개인정보보호법을 적용 |
수집·이용 | O 의료법 제22조(시행규칙 제14조) - 동의 없이 수집 가능 - 진료목적으로만 사용 가능 | O 개인정보보호법 제15조 - 동의를 받아 수집 |
관리 | O 개인정보보호법 - 제26조 : 문서로 위탁하여야 하며 위탁사실을 공개하여야 함 - 제29조 : 안전한 관리를 위해 접근통제, 암호화, 접속기록보관, 물리적보호조치 등 안전성 확보조치를 하여야 함 - 제30조 : 개인정보처리방침을 수립하여 공개하여야 함 - 제31조 : 개인정보보호책임자를 지정하여야 함 | |
제공·열람 | O 의료법 제21조 - 의료법에서 지정하는 경우*외에는 제공이나 열람할 수 없음 * 가족·대리인 요청, 특별규정(열거주의) | O 개인정보보호법 제18조 - 개인정보보호법에서 지정하는 경우*외에는 제공할 수 없음 * 다른 법률 근거시 제공가능 |
정정·삭제 등 요구사항 처리 | O 의료법 제22조 - 법에따라 수집하는 정보이므로 정정·삭제 할수 없음 | O 개인정보보호법 제35조, 제36조 - 법에서 정한 사유 외에는 정보주체의 열람·정정·삭제 등 요구에 응하여야 함 |
보관 및 파기 | O 의료법 시행규칙 제15조 - 법에서 정한 최소 보유기간 이상 보관하여야 하며 진료목적상 필요시 연장보관 가능 | O 개인정보보호법 제21조 - 보유목적이 달성되면 즉시 파기 |
이관 | O 의료법 제40조 - 폐업이나 휴업시 관할 보건소장에게 진료기록 이관 - 보건소장의 허가를 받은 경우 의료기관 개설자가 계속 보관 가능 ※ 허가사항 변경시는 의료기관이 유지되는 것으로 봄 | O 개인정보보호법 제27조 - 의료기관 변경시 정보주체에게 이관사실을 알려야 함 |
유출, 침해 대응 | O 개인정보보호법 제34조, - 정보주체에게 유출사실을 알리고 1만건 이상일 경우 행정안전부 또는 전문기관(KISA, NIA)에 신고 O 개인정보보호법 제62조, - 정보주체가 침해신고센터에 침해사실을 신고한 경우 조사에 협조 | |
영상정보처리기기 운영 | O 개인정보보호법 제25조 - 대기실 등 공개된 장소에 CCTV 설치시 반드시 안내판을 설치 O 개인정보보호법 제15조 - 진료실, 수술실 등 비공개 장소에 CCTV를 운영하려면 정보주체의 동의를 받아야 함 |