의료기관의 환자 개인정보 보호

법무법인 세승

조진석 변호사/의사

사회적으로 개인정보 보호에 관한 인식이 변화하고 개인 정보 유출에 따른 피해가 증가하고 있는 가운데, 보건복지부가 “전산업체인 S사의 환자 진료·처방 정보의 불법 수집 및 이용 사건”과 관련하여 후속 조치로 전국 의료기관을 대상으로 개인정보보호 자율점검을 실시하도록 하고, 이를 위해 자율점검 방법을 알려주는 교육을 실시하기로 하였다.

의료기관은 환자의 건강상태, 신체적 특징, 질병유무, 과거 병력, 가족력, 영상정보 등의 진료와 관련된 정보와 주민등록번호와 같은 고유식별정보 및 전화번호, 주소, 신용카드 정보 등의 다양한 개인정보를 처리하고 있고, 의료기관의 개인정보보호와 관련하여 의료법, 개인정보보호법 등 다수의 법령이 적용된다.

업무를 위하여 다양한 개인정보를 처리하는 의료기관에서의 개인정보보호를 위하여 보건복지부와 행정자치부는 “개인정보보호 가이드라인(의료기관)”을 마련하여 의료기관 실무에 참고하도록 하고 있다.

한편 보건복지부의 의료기관 개인정보보호 점검계획에 따르면 전국 의료기관 개인정보보호 책임자들을 대상으로 개인정보보호 자율점검서비스 시스템의 사용방법을 교육한 후 일정 기간을 두어 자율점검을 하여 문제점을 보완하게 하고, 현장점검을 하여 의료기관의 개인정보보호실태를 확인하여 위법사항을 적발한다.

의료기관의 개인정보보호 자율점검 교육 수강 및 자율점검 참여는 의무사항은 아니지만 자율점검에 참여하지 않거나 자율점검이 부적절할 경우 현장점검 대상 의료기관이 될 수 있다.

만약 의료기관이 진료정보 등 개인정보를 부적절하게 처리한 사실이 적발되면 개인정보보호법에 따른 행정처분이나 형사처벌 외에도 경우에 따라 의료법에 따른 행정처분이나 형사처벌도 가능할 수 있다.

실제로 보건복지부와 행정자치부는 향후 개인정보를 부적절하게 처리한 사실이 적발될 경우 엄중하게 처벌할 것이라고 경고한 바 있다.

의료기관으로서는 개인정보 처리와 관련한 법적 위험성에 직면할 수 있으므로 환자에 관한 모든 정보가 법령의 근거나 환자의 동의 없이 처리되지 않도록 의료법, 개인정보보호법 등 관련 법령 및 “개인정보보호 가이드라인(의료기관)” 등을 참고하여 내부시스템을 점검·확인하고, 법률가나 관련 전문가를 초빙하여 개인정보보호 및 침해예방을 위한 직원교육을 하는 등 지속적으로 개인정보보호에 관하여 관심을 가지고 대응하여야 할 것이다.

아무리 의료기관 직원 개인의 과실에 의한 우발적 개인정보 침해행위라도, 개인정보보호체계를 구축하여 시행하지 않거나 평상시에 직원들에게 정보보호 관련 교육을 실시하지 않으면 의료기관 개설자도 형사처벌을 피할 수 없기 때문이다.

(출처 : 데일리메디)