의료기관 개인정보보호 Q & A

Q 인터넷 진료예약 시 주민등록번호를 요구하는 것이 개인 정보보호법에 저촉되나요?

인터넷 진료예약 시 환자의 주민등록번호 수집 불가

인터넷 진료예약에서는 성명, 전화번호, 생년월일 등 최소한의 정보를 수집하고,

진료를 받기 위해 환자가 내원하는 경우 주민등록번호 포함 진료기록부 작성

Q 예방접종 안내를 위해 환자에게 SMS를 동의없이 보낼 수 있나요?

진료목적 범위에 있는 예약내용의 안내, 간염 1차 접종을 받은 사람에게 2차 접종을 안내하는 등 동일진료와 연결된 예방 접종사항은 동의없이 SMS 보내는 것 가능

당해 진료와 관계없는 예방접종 안내 등을 위해서는 정보주체 또는 법정대리인의 동의를 받은 후에 SMS 보내는 방식 필요

Q 병원에서 진료를 받기 위해서 반드시 환자가 개인정보 활용 동의서에 서명해야 하나요?

의료법에서 진료기록부 작성, 처방전 작성 및 교부, 의료행위 등을 규정하고 있으므로, 진료목적에 필요한 성명, 주민등록번호, 주소 등의 개인정보는 환자의 동의 없이 수집 및 이용 가능

Q 전화로 병원에 입원하고 있는지 여부를 문의 받을 경우 알려줘도 되나요?

-환자 입원정보는 개인정보로 환자의 동의 없이는 알려주지 않아야 함

-환자 본인이나 보호자와 직접 연락할 수 있도록 안내하는 것이 바람직함

-의료법 제19조에 따라 의료인은 이 법이나 다른 법령에 특별히 규정된 경우 외에는 의료조산 또는 간호를 하면서 알게 된 다른 사람의 비밀을 누설하지 못하므로, 환자의 개인정보인 입원 여부를 환자의 동의 없이 알려 주는 경우 의료법에 저촉 가능

Q 진료실 앞 모니터에 대기자 명단을 게시하고 있는데, 이 때 환자의 이름을 전체 다 표시해도 되는지?

-성명 전체 표기 가능함.

-의료기관에서 환자의 이름을 모두 표기하는 것은 개인정보 보호법 제15조제1항제4호에 따라 동의없이 이용할 수 있는 것으로 판단됨.

-'홍*동'처럼 이름 중 일부를 *표 처리하는 등 성명 전체가 표시되지 않도록 조치하는 것이 바람직 함

Q 의료기관이 입사지원자의 개인정보를 수집하고자 할 때 개인정보의 수집 동의서를 별도로 받아야 하나요?

입사지원은 근로계약 체결의 일부로 입사지원자의 동의 없이 채용에 필요한 최소한의 정보 수집 가능함. 단, 주민등록번호는 입사 후 수집 가능

Q 개인정보 수집⦁이용⦁제공⦁동의시 자필 서명이 아닌 전자 서명으로 하여도 효력이 동일한가요?

전자서명법에 따르면 “전자서명은 당사자간의 약정에 따른 서명, 서명날인 또는 기명날인으로서의 효력을 가진다."고 규정

환자 본인의 전자서명은 자필서명과 같은 효력

Q 동의를 받아야 하는 경우 반드시 서면으로 받아야 하나요?

반드시 서면으로 받을 필요는 없으며「개인정보보호법」에 따른 다음의 방법

- 직접 또는 우편, 팩스등방법으로전달하고 정보주체가 서명한 동의서 받는 방법

- 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법

- 전화를 통하여 동의 내용을 정보주체에게 알리고, 인터넷 주소등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의의 의사표시를 확인하는 방법

- 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시

- 동의 내용을 전자우편으로 발송하고, 정보주체로부터 동의 전자우편을 받는 방법

Q 피부과 시술 전·후 사진을 홈페이지에 게시하는 것도 개인정보 보호법에 어긋나는 것인지요?

시술 전·후 사진이 신체 일부를 가리고 있다고 해도 특정 개인을 식별할 가능성이 있기 때문에 개인정보 보호법 위반이 될 수 있음

해당 정보주체의 동의를 받아 시술사진 게재

Q 다른 사람을 함부로 촬영하는 것은 개인정보 침해 아닌가요?

사적․개인적 목적으로 영상을 촬영하는 행위는 개인정정보보호법이 적용되지 않음

다만, 다른 사람의 영상을 무단으로 촬영하여 인터넷 등에 올리는 경우 형법상 명예훼손 등에 따라 처벌받을 수 있음

Q 경찰서에서 수사를 위한다고 하면 개인정보보호법과 상관없이 무조건 개인정보를 제공해야 하나요?

-경찰이 요구하는 자료가 환자의 진료기록에 관한 것이라면 의료법 우선 적용

따라서 의료법 제21조2항6호에 따라 형사소송법 제106호, 제215조 또는 제218조에 따른 경우에만 제공 가능

-환자의 진료 기록외의 정보나 보호자등의 정보를 동의없이 제자인 경찰에 제공하기 위해서는 개인정보보호법 제8조 제2항 제2호부터 제9호에 해당하는 경우에만 가능하며, 특히 5호부터 9호는 제공하는 자가 공공기관일 경우에 한함

5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결 거친 경우

6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공을 위한 경우

7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

8. 법원의 재판업무 수행을 위하여 필요한 경우

9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

Q 환자분의 편의를 위하여 검사결과를 전화 또는 문자로 알려주고 있는데 개인정보보호법상 문제가 되나요?

환자 본인이 확인된 경우, 환자의 검사결과 통보는 진료목적의 범위에 해당하므로 별도의 동의 없이 환자에게 전화 또는 문자 통지 가능

다만, 다른 사람에게 환자 기록을 알려주는 것은 의료법에 해당하는 경우로 제한

Q 다른 의료기관 또는 검사기관에 검사를 의뢰하여 검사를 하는 경우 정보주체의 동의를 받아야 하나요?

진료 목적으로 다른 의료기관 또는 검사기관에 검사를 위탁하는 등 개인정보 처리를 위탁하는 경우 정보 주체인 환자의 동의를 받을 필요는 없으나 위탁하는 경우 계약서를 문서화하고 위탁하는 업무의 내용과 수탁자를 공개하고, 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 수탁자 교육 및 감독

Q 정보주체가 보험금을 청구했을 때, 보험사는 병원으로부터 보험계약자의 의료기록을 제공받을 수 있는지요

자동차보험진료수가 청구를 받은 보험회사 등은 정보주체 본인 동의가 없더라도 의료기관에 대해 관계 진료기록의 열람 및 사본교부를 청구할 수 있음

Q 다른 개인정보와 결합하지 않은 휴대전화번호만도 개인정보보호법에 따라 보호되는 개인정보에 해당하는지요?

휴대전화번호는 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있고 정보주체와 직접 연락이 가능한 contact point로 활용될 수 있으므로 개인정보에 해당

Q 공공의료기관에 경찰서에서 수사와 관련하여 형사소송법 제199조 제2항, 경찰관 직무집행법 제8조 제1항을 근거로 직원의 주민등록번호, 연락처, 재직여부 등의 개인정보 제공요청이 있을 경우 제공할 수 있나요?

공공기관의 경우 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우, 개인정보보호법 제18조제2항제7호에 따라 본인 동의 없이도 제공 가능

이 경우 시행령 제9조에 따라 주민등록번호도 제공 가능

Q A와 B가 공동 개원을 하다가 A가 독립해 나갈 경우, 병원 전체 환자의 진료정보를 복사해 갈 수 있나요? (혹은 A의 환자 정보만 복사해 나가도 되나요?)

-공동 개설자라 하더라도 독립하여 별도의 의료기관을 개설하였다면 동일한 개인정보처리자로 볼 수 없으므로 진료정보를 임의로 복사할수 없음

-환자의 진료를 위하여 필요한 경우에는 의료법제1조제3항에 따라 의료기관에 보관중인 진료기록의 내용 확인을 요청할 수 있으며 의료기관은 환자나 보호자의 동의를 받아 제공 가능

Q 의료기관의 입원실이나 진료실에서 폭행 사고를 대비하여 CCTV를 설치하는 것이 가능한지요?

-의료기관의 입원실과 진료실은 의료인과 환자만이 출입할 수 있으므로 불특정 다수가 출입할 수 있는 공개된 장소가아님

-CCTV 등 영상정보처리기기를 설치하여 촬영하기 위해서는 진료실에 출입하는 모든 사람의 동의를 받아야만 녹화 가능

Q 의료기관에서 CCTV를 설치하는 장소는 어느 곳인지요?

-병원, 응급실 내의 접수창구, 대기실, 복도 등은 환자 및 보호자가 비교적 제약없이 출입할 수 있는 장소이므로 개인정보보호법에 따른 ‘공개된 장소’에 해당함

-공개된 장소는 범죄 예방 및 수사 시설 안전 및 화재예방 등 목적으로 CCTV 설치가능

Q 진료실 내부 CCTV 촬영에 동의하지 않는 환자의 진료 거부, 법적으로 문제가 없는지요?

의료기관이 분쟁에 대비하여 CCTV로 촬영된 영상정보는 진료에 필요한 최소한의 정보로 볼 수 없으므로, CCTV 촬영에 동의하지 않는다는 이유로 환자의 진료를 거부하는 것은 개인정보 보호법 위반에 해당

Q건물 내에 영상정보처리기기 대표 안내판 부착해도 되는지요? 아니면 영상정보처리기기 한 대당 안내판을 각각 부착해야 하는 것인지요?

의료기관 규모가 큰 건물 안에 여러 개의 영상정보처리기기를 설치하는 경우에는 각각의 기기에 대해 개별적으로 안내판을 설치하지 않아도 되며, 출입구 등 잘 보이는 곳에 해당 시설 또는 장소 전체가 영상정보처리기기 설치지역임을 표시

Q CCTV를 설치할 경우 안내판을 어디에 부착해야 하며, 안내판에 기재할 사항이나 별도의 안내판 규격이 정해져 있는지요?

안내판에 대한 별도규격은 정해져 있지 않으나 촬영범위 내에서 정보주체가 알아 보기 쉬운 장소에 설치하고 정보주체가 손쉽게 인식할 수 있는 크기로 설치

Q 개인정보의 안전성을 확보하기 위하여 의료기록 서류를 별도의 보관시설이나 잠금장치의 설치 등과 같은 물리적 조치를 하여야 하나요?

-개인 정보의 안전한 보관을 위하여 보관시설을 마련하거나 설치

-업무시간 중에 수시로 사용하는 진료기록은 잠금장치를 해제한 채 사용 가능

-업무시간이 종료된 이후에는 잠금장치를 통해 물리적 보호 조치

Q 의료기관에서 연속적인 진료의 연계 및 과거병력의 중요성 등을 감안해 보존 기간을 연장하고자 하는 경우, 어떤 절차를 통해 연장하여 보존할 수 있나요?

-보존기간이 경과하거나 목적 달성 진료기록을 매년 1회 이상 보존기간 연장여부 혹은 파기 여부를 결정할 수 있음

-공공의료기관은 기록물관리 전문요원의 심사와 기록물평가심의회의 심의를 거쳐 기록물의 보존기한 연장여부 혹은 파기여부 결정

-민간의료기관의 경우도 공공의료기관에 준하는 절차로 연장 혹은 파기여부 결정

-진료에 관한 기록 종류별로 보존기간 연장여부 혹은 파기여부를 결정

-연장사유를 근거로 최소 필요 기간 동안 연장

-연장 보존에 관한 사항을 의료기관 홈페이지나 의료기관 내부에 게시 권고

-환자의 진료 정보에 대해 별도로 정보 주체의 동의를 받은 경우에도 보존 기간 연장

Q 공공기관에 해당하는 의료기관은 어느 법률에 따라 개인정보를 파기하여야 하나요?

공공의료기관이 보유하고 있는 의무기록 중에 공공기록물 관리에 관한 법률이 적용되는 공공기록물은 공공기록물관리에 관한 법률에 따라 의료기관에 배치된 전문 요원의 심사를 받은 후 파기

Q 정보주체가 병원 진료기록 삭제를 요청하는 경우, 어떻게 처리하나요?

-병원을 더 이상 이용할 계획이 없는 환자가 병원에 자신의 개인 정보를 삭제해 달라고 요청하는 경우에도 병원은 의료법에 따라 진료기록을 10년간 보존

-10년간은 진료기록부에 기재된 개인정보를 환자의 요청에 따라 삭제할 수 없음

Q 개인정보 열람 또는 사본의 교부 등 허용 사유

Q 의료법에서 명시한 보존기간에 대해 적절한 절차를 거쳐 보존기간을 연장한 경우, 정보주체가 삭제 요청을 하는 경우, 어떻게 처리하나요?

-의료법 시행규칙 제15조에서 정한 기간이 지난 진료정보를 연장하여 보관 정보 주체가 의료기관에게 그 개인정보의 삭제 요청

-개인정보보호법 제36조에 따라 필요한 조치(삭제)를 취하고 그 결과를 정보 주체에게 통보

Q 개인정보 제3자 제공·열람 가능 사례: 환자·친족·대리인 신청

출처 : 의료기관의 개인정보 보호, 『의료기관 개인정보보호 가이드라인』중심

2014. 04 보건복지부