#. 전문병원 직원 B씨는 한 환자로부터 "홈페이지에 들어가 봐도 원장님이 누군지 나와 있지 않다. 원장님께 진료를 보고 싶은데 성함을 알려달라"는 문의 전화를 받았다. 그러나 개인정보에 해당하는 이름을 타인에게 마음대로 공개해도 되는지 잘 알 수 없어 고민하다 결국 "안내해줄 수 없다"고 답변했다.
#. 건강상의 문제로 운영하던 의원을 잠시 폐업했던 C원장은 최근 의원을 재개설하려고 준비 중이다. 이 때 기존 폐업했던 의원에서 진료 목적으로 수집한 환자의 개인정보를 다시 사용해도 괜찮을지 알 수 없어 어려움을 겪고 있다.
[데일리메디 한해진 기자] 최근 개인정보 보호에 대한 중요성이 확대되고 있는 가운데 의료계에서는 혼선이 여전한 모습이다.
민감한 개인정보를 다루는 의료기관인 만큼 더욱 체계적인 정보 관리가 요구되지만, 아직 진료현장에서 마주하는 다양한 사례를 어떻게 대처해야 할지 제대로 숙지하지 못한 곳이 적잖다.
이에 건강보험심사평가원은 3일 요양기관(병·의원, 약국 등)을 위한 ‘2020 요양기관 개인정보보호 상담사례집‘을 공개했다.
사례집은 개인정보 보호에 어려움을 겪는 요양기관을 돕고자 제작된 것으로, 요양기관이 준수해야 할 자율규제 항목을 질의응답 형식으로 쉽게 재해석하고 각 사례마다 4단 삽화를 포함해 이해도를 높였다.
직원 ‘1명’ 있어도 개인정보보호법 준수해야
심평원이 공개한 상담사례를 보면, 원장과 간호사를 포함해 두 명으로 운영되고 있는 소규모 의원이라고 해도 개인정보보호법을 준수해야 한다.
또한 약국의 조제나 복약지도 혹은 진료 목적으로 연락처 등의 개인정보를 수집해도 무방하나, 이를 파기할 때는 복구 또는 재생이 불가능한 방법으로 파기해야 한다.
특히 처방전 등의 경우 단순히 손으로 찢거나 훼손하는 게 아닌 파쇄기 사용이 권장된다. 청구소프트웨어에 저장된 파일의 경우 해당 소프트웨어에서 제공하고 있는 파기 기능을 사용하면 된다.
내부 직원의 청구프로그램 비밀번호, 병원 홈페이지에 가입한 환자의 비밀번호 등은 관리자라 하더라도 알 수 없도록 해야 하며, 비밀번호 요청이 있더라도 본인 확인 후 새로운 비밀번호를 작성하도록 안내해야 한다.
도난 방지 등을 목적으로 진료실에 CCTV를 설치한다면 환자의 별도 동의를 받아야 한다. 또 환자가 촬영에 동의하지 않아도 진료를 거부할 수 없다.
설령 홈페이지 해킹으로 개인정보가 유출됐다면 개인정보보호법 34조에 따라 5일 이내 환자에게 유출 사실을 통보해야 한다.
이후 접속경로 차단, 취약점 점검 및 보완, 유출된 개인정보의 삭제 등 피해를 최소화하기 위해 필요한 긴급조치 이행 등이 요구된다.
1000명 이상 개인정보가 유출된 경우에는 유출 통지 및 조치 결과를 행정안전부나 한국인터넷진흥원에 신고하고, 환자 개별통지와 함께 홈페이지에 7일 이상 게재해야 한다.
심사평가원 이영곤 정보통신실장은 “사례집이 요양기관이 겪고 있는 개인정보보호 활동의 어려움을 해소하는 계기가 되길 바라며 앞으로도 현장방문 컨설팅, 온라인 교육 등 맞춤형 활동을 적극 지원하겠다”고 말했다.