무더위가 한창이던 올해 여름, ‘진료 예약을 받을 때 환자의 주민등록번호를 물어볼 수 있는가’를 두고 일선 의료기관들 사이에 큰 혼선이 빚어졌다.

이른바 ‘주민등록번호 수집 법정주의’를 정한 개정 개인정보보호법이 시행됨에 따라 올해 8월7일 부터는 법령에서 구체적으로 처리를 요구하거나 허용하지 않는 한 주민등록번호 수집이 원칙적으로 금지되었기 때문이다.

 

다행히 법 시행이후 6개월의 계도기간을 거친다는 방침이 발표되고 의료현장의 문제제기가 계속되자, 최근 복지부와 행정자치부가 ‘건강보험 가입여부, 건강검진 대상 여부 확인이 꼭 필요한 경우에는 국민건강보험법 등의 근거에 따라 인터넷·전화 등을 통한 진료 예약시에도 주민등록번호를 처리할 수 있다’는 유권해석을 내리면서 예상보다 심각한 혼란 없이 일단락된 듯 하다.

그러나 보건복지부와 행정자치부의 유권해석에 따르더라도, ‘단순예약(시간약속)을 위한 주민등록번호 수집·이용은 원칙적으로 허용되지 않는다고 보고 있어, 주민등록번호 수집과 관련된 현장의 혼란이 완벽하게 해결된 것은 아니다.

현행 개인정보보호법상 주민등록번호 수집 법정주의에 위반한 경우 5천만원 이하의 과태료부과 대상임에도 ’단순 예약‘이 어디까지인지 그 범위가 모호한 부분이 있고, 누적된 선례도 없기에 실무 담당자나 의료기관 책임자의 입장에서는 답답할 수 밖 에 없는 것이 사실이다. 

그런데, 이는 비단 주민등록번호만의 문제가 아니다. 의료기관의 목적은 최선의 진료이고, 최선의 진료를 위해서는 내원 환자로부터 최대한의 정보를 수집하는 것이 필수적이다.

즉, 의료기관이야말로 개인정보, 특히 보다 중하게 보호되는 민감정보(의료, 건강정보)를 가장 많이 수집, 이용하는 개인정보 처리자인 것이다. 그리고 이는 의료기관 입장에서 보면 개인정보를 보호하기 위하여 숙지하고 지켜야 할 사항이 그만큼 많다는 것을 의미하기도 한다.

더욱이 진료기록이나, 의료상 비밀과 관련하여서는 의료법이 개인정보보호법의 특별법으로 적용되기 때문에 이 또한 주의하여야 한다.

구체적으로 의료기관에서 주의해야 할 부분을 짚어보자. 먼저 개인정보의 수집단계에서는 환자의 정보가 진료 그 자체를 위한 범위 외로 활용되는 부분이 있다면 반드시 개인정보수집에 대한 동의를 받아두는 편이 안전하다.

의료법이 진료기록부나, 환자명부 등에 필수적으로 기재돼야 하는 환자정보를 규정하고 있기 때문에 진료를 위해 그 정보를 수집하고 이용하는 것은 허용되나, 홈페이지 회원가입 및 프로모션 서비스, 건강정보 등을 SMS로 알릴 때에는 반드시 미리 환자의 동의를 받아야 한다.

동의는 꼭 서면으로 받을 필요는 없지만, 개인정보보호법이 동의를 받을 때 알려야 하는 사항을 정하고 있으므로 보통은 원내에 그러한 내용이 포함된 개인정보동의서를 구비해 두는 것이 편리하다.

동의서를 통해 동의를 받았다고 하더라도, 개인정보 이용 또한 주의를 기율여야 한다. 환자 가족이나 지인이라며 전화로 병원에 입원 여부를 문의하는 경우 무시코 이를 확인해 주는 사례도 많은데, 이는 환자의 동의 없이 개인정보를 제3자에게 제공한 것으로 형사처벌의 대상이 될 뿐만 아니라, 의료법 제19조가 금지하는 비밀누설에 해당될 가능성도 있다.

그리고 최근 원내에 CCTV를 설치하는 경우가 많은데 개인정보보호법은 CCTV의 설치, 운영의 준수사항을 정하고 있다. 복도나 계단 등 공개된 장소에 CCTV를 설치할 때에는 안내판을 게시하고 개별적으로 환자의 동의를 받을 필요까지는 없으나, 진료실이나 수술실, 처치실에 CCTV를 설치할 때는 반드시 미리 환자나 보호자의 동의를 받아야 한다.

무엇보다 유의하여야 하는 부분은 광고, 마케팅, 전자진료기록관리, 컨설팅 등 의료기관 운영에 필요한 외부 업체와 계약을 체결할 때이다.

최근 S기업이 처방전에 기재된 정보를 수집하였다는 혐의로 수사를 받은 것에서 알 수 있듯이, 전자적 방식으로 의료정보를 관리할 때는 늘 생각하지도 못한 누설이나 유출 위험성이 존재한다.

뿐만 아니라, 개인정보보호법에 따르면 의료기관 필요에 의해 업체에 업무처리를 위탁하는 경우 위탁자인 의료기관에 그 관리감독의 책임이 있다.

반드시 개인정보보호법이 정하는 내용이 포함된 문서로 업체와 계약을 해야 하며, 위탁하는 업무의 내용과 처리하는 업체를 홈페이지에 게재하여야 한다. 그리고 업체가 개인정보를 분실, 도난, 유출, 변조, 훼손하지 않도록 교육하고 감독하여야 하며, 업체의 잘못으로 발생한 손해배상책임에 대해서는 의료기관 직원으로 보아 의료기관 또한 그 책임을 부담해야 한다.

즉, 의료기관의 이익을 위하여 개인정보 처리를 외부 업체에게 위탁하였다면, 그만큼의 책임을 부담하여야 한다는 의미로 이해할 수 있다.

그런데, 개인정보보호법이 정한 사항을 꼼꼼히 점검하고 관리하는 것은 고사하고, 정보가 어떻게 이전되고 보관되는지에 대해서 미처 인식하지 못한 채 제공된 프로그램을 이용하는 경우가 많은 것이 사실이다.

특히 이 과정에서 환자 진료기록이 제공되는 경우 의료법 위반까지 문제될 소지가 있음에도, 업체를 선택하거나 계약서에 날인하고 프로그램을 이용할 때 이를 전혀 고려하지 않는 경우가 많다. 이는 당장은 눈에 띄지 않는 사소한 문제이지만, 불거지는 순간 다수의 정보주체와의 문제가 되므로 언제든지 병원 운영에 큰 부담으로 작용할 수 있는 위험요인이다.

이외에도, 개인정보보호법 및 의료법에 따라 의료기관에서 준수하여야 할 사항이 적지 않다. 그러나 법률이 먼저 앞장서서 달리고 있는 탓일까, 법률과 일선 현장의 개인정보보호에 대한 인식과는 여전히 다소 괴리가 있는 것이 사실이다.

앞서 말한 바와 같이 의료기관은 어쩌면 가장 조심스러워야 할 개인정보 처리자중 하나다. 다루는 정보의 특성, 유출되는 경우의 높은 사회적 위험성이라는 점에서 더욱 그렇다. 이러한 측면에서 그리고 의료기관 운영의 불필요한 리스크를 방지하기 위해서라도 개인정보 수집, 이용, 그리고 관리에 대해 다시금 점검해보자.