의료기관의 개인정보 보호 관련 Q&A
Q. 환자의 성명, 주민등록번호, 주소 등을 동의 없이 수집 이용할 수 있는지?
→ 의료법은 이러한 개인 정보를 진단서나 진료기록부 등에 기재하도록 규정하고 있기 때문에, 관련 정보를 수집할 때 정보주체의 동의가 필요하지 않다. 의료법 시행규칙 '제9조(진단서의 기재사항)', '제11조(출생증명서, 사산 또는 사태증명서)', '제12조(처방전의 기재 사항 등)', '제14조(진료기록부 등의 기재 사항)'에 환자 또는 진료 받은 자의 직접 정보(성명, 주민등록번호, 주소)와 간접정보(증상, 진단결과, 진료경과, 치료내용 등)는 의무적 기재 사항에 해당.
Q. 연락처(전화번호, 이메일주소)를 수집할 때에도 환자의 동의를 받아야 하는지?
→ 의료법령에 의무 기재사항으로 명시되어 있지 않으나, 환자와의 치료위임계약의 체결 및 이행을 위해 동의 없이 수집, 이용이 가능하다. 단, 진료목적의 범위를 벗어나 의료기관의 홍보 등에 연락처를 사용하는 경우에는 정보주체의 동의가 필요하다.
Q. 환자의 민감정보를 수집할 때에도 별도의 동의를 얻어야 하는지?
→ 민감정보란. 사상 & 신념, 노동조합 & 정당의 가입 & 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전자정보, 범죄경력정보를 말한다. 민감정보를 수집하기 위해서는 원칙적으로 수집목적이나 보유기간 등을 알리고 별도로 동의를 받아야 한다. 그런데, 의료기관이 민감정보 중 건강, 성생활 정보, 유전자정보를 수집하는 것은, 환자의 치료를 위한 것으로서 의료법령에 따라 허용된다. 따라서, 동의가 필요 없다.
Q. 정보 주체의 동의를 받는 방법은 어떠한지?
→ 개인정보 수집 & 이용시 동의서를 받을 때는 ① 개인정보의 수집 & 이용 목적 ② 수집하려는 개인정보의 항목 ③ 개인정보의 보유 및 이용 기간 ④ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 정보주체(또는 법정대리인)에게 알려야 한다. 그리고, 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고, 각각 동의를 받아야 한다. 만 14세 미만 아동의 개인정보를 처리하기 위하여 그 법정대리인의 동의를 받아야 한다.
Q. 수집된 개인정보를 홈페이지 관리회사나 홍보대행사(CRM) 등에 제공할 경우, 어떻게 하나?
→ 개인정보처리자가 개인정보를 제3자에게 제공할 경우, ① 개인정보를 제공받는 자 ② 개인정보를 제공받는 자의 개인정보 이용 목적 ③ 제공하는 개인정보의 항목 ④ 개인정보를 제공받는 자의 개인정보의 보유 및 이용 기간 ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 등을 알리고, 사전에 동의를 받아야 한다. 또한, 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항, 개인정보의 기술적 & 관리적 보호조치에 관한 사항 등이 포함된 문서로 하여야 한다.
Q. 시술 전후 사진을 촬영할 때에도 환자의 동의를 얻어야 하나요?
→ 사진영상도 개인정보에 해당하므로, 원칙적으로 환자의 동의를 얻어야 한다. 다만, 시술 전후 상태 변화를 확인하기 위한 목적으로 촬영하는 경우에는 환자의 동의가 필요없다.
Q. 시술 전후 사진을 병원 홈페이지, 홍보책자에 올리는 경우에는 어떻게 하나요?
→ 진료목적의 범위를 벗어나 의료기관의 홍보 등에 개인정보를 사용하는 것이므로, 정보주체의 동의가 필요하다. 만약, 환자의 동의없이 시술 전후 사진을 홈페이지나 홍보책자에 게재하였다면, 개인정보보호법 위반, 의료법 위반(환자 비밀 누설)으로 인한 형사 및 행정 책임, 아울러 민사상 손해배상책임을 부담한다.
Q. 특정 환자의 치료 사례에 관하여 의학논문을 작성하거나 학술 발표를 할 때에도 환자의 동의를 얻어야 하나요?
→ 특정 환자의 나이, 성별, 질병, 치료 경과 등이 결합되어 특정 개인을 알아볼 수 있다면, 이 역시 개인정보 보호의 대상이 된다. 또한, 의학논문이나 학술 발표는 정보의 본래 수집목적에 포함되지 아니하므로, 원칙적으로는 정보주체의 동의가 필요하다. 그러나, 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우에는 예외적으로 동의가 필요 없다(법 제18조 제2항 4호).
Q. 수사기관이나 법원에서 수사와 재판 등을 위하여 필요하다며 특정 환자의 개인정보를 요구할 때 어떻게 해야 하나요?
→ 개인정보보호법 제18조 제2항에 따르면, 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우(7호), 법원의 재판업무 수행을 위하여 필요한 경우(8호), 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우(9호)의 경우에는 환자의 동의없이 개인정보를 제공할 수 있도록 허용하고 있다. 따라서, 동의가 필요 없다.
Q. 정보주체가 진료로 인해 생성된 개인정보의 삭제 및 파기를 요구할 경우에는 어떻게 해야 하나요?
→ 의료법 제22조 제2항은, ‘의료인이나 의료기관 개설자는 진료기록부등을 보건복지부령으로 정하는 바에 따라 보존하여야 한다.’고 규정하고, 의료법 시행규칙 제15조(진료에 관한 기록의 보존)은 환자 명부(5년), 진료기록부(10년), 처방전(2년), 수술기록(10년), 검사소견기록(5년), 방사선사진 및 그 소견서(5년), 간호기록부(5년), 조산기록부(5년), 진단서 등의 부본(3년) 의무 보존기간을 명시하고 있으므로, 그 기간 동안에는 해당 개인정보의 삭제나 파기를 요구할 수 없다. 그 외 나머지 개인정보 경우, 정보주체의 삭제나 폐기 요구가 있으면, 개인정보처리자는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 응해야 한다.
[메디컬타임스 - 현두륜 변호사 (dyhyun@daeoe.com)]