알기 쉬운 법률 이야기 02

김민경 변호사(대한한방병원협회 법률고문)

의료기관의 환자 개인정보 보호에 관하여

최근 코로나 확산을 방지하기 위한 사회적 거리두기가 계속됨에 따라 커피숍, 음식점 등 각종 매장에서 출입명부를 작성한 경험이 있을 것입니다. 성명, 전화번호를 기재하면서 “혹시 내 정보가 유출되거나 다른 용도로 사용되지는 않을까” 하는 걱정도 한번쯤은 하였을 것입니다. 

그런데 여러분은 여러분이 진료현장에서 취득하는 환자의 정보도 법이 보호하는 개인정보에 해당한다는 사실을 인식하며 일하는지요?

오늘은 사소해 보이지만 결코 가볍지 아니한 의료기관 내 개인정보의 취급에 관하여 말씀드리고자 합니다. 다소 재미없을지 모르는 이야기를 해드리려는 이유는, 법이 의료인에게 환자의 의료관련 개인정보에 대하여 높은 수준의 보호를 요구하고 있고 그 의무를 지키지 않을 경우 무거운 제재가 주어질 수 있다는 점을 알려드려 여러분이 환자의 개인정보를 취급할 때 주의하실 수 있도록 하기 위함입니다. 

환자의 의료관련 개인정보는 민감정보 해당

정보란 “관찰이나 측정을 통하여 수집한 자료를 실제 문제에 도움이 될 수 있도록 정리한 지식 또는 그 자료”라고 사전적으로 정의되는데, 개인정보보호법은 개인정보를 “개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보”라고 정의하고 있습니다. 또한 해당 정보만으로 특정 개인을 식별할 수 없다고 하더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보도 개인정보에 해당합니다. 예컨대 “서울 강남구 거주”, “한의사”, “전화번호 뒷자리 1234”라는 각각의 정보는 서로 결합하여 한 개인을 특정할 수 있으므로 개인정보보호법이 말하는 개인정보라고 할 수 있습니다.

특히 개인의 사상, 정치적 견해, 건강 등의 정보를 개인정보보호법은 민감정보라고 하여 특별한 보호대상으로 정하고 있는데, 여러분이 취급하는 환자의 의료관련 개인정보는 이러한 민감정보에 해당하는 것으로 해석됩니다. 따라서 진료과정에서 접하는 환자의 정보는 다른 개인정보에 비하여 신체 관련성이 훨씬 커서 타인에게 공개될 경우 심각한 침해를 가져올 수 있기 때문에 높은 수준의 보호를 요구합니다. 

예를 들어, 정신질환 또는 성병과 같이 환자가 타인에게 공개되지 않기를 원할 정보들이 공개될 경우 당사자는 정신적인 충격을 받을 수 있고 사회생활에 문제가 발생할 수 있다는 점은 쉽게 예상할 수 있습니다. 이에 의료법은 진료정보의 누설 금지, 전자의무기록상 개인정보의 탐지, 누출, 변조 또는 훼손 금지, 진료기록부 제3자 열람 금지 등을 통해 환자의 개인정보를 누설하는 의료인에 대한 형사처벌 및 면허정지처분을 규정하고 있습니다.

의료관련 개인 정보는 진료 목적으로만 이용 

여러분이 진료과정에서 취급하는 환자의 의료관련 개인정보는 대체로 의료법에서 요구하는 사항에 해당할 것이므로 그 수집이나 이용에 대한 환자의 동의를 필요로 하지 않습니다.  다만 이러한 정보는 오로지 진료목적으로만 이용할 수 있다는 점에 유의하여야 합니다. 만약 여러분이 환자의 개인정보를 병원홍보, 건강정보 혹은 백신접종 안내 등의 목적으로 이용하고자 한다면 반드시 환자의 동의를 얻어야 합니다. 환자의 동의 없이 의료법이 요구하는 사항 이외의 개인정보를 취득하거나, 진료목적 외에 개인정보를 이용하는 것은 법이 금하고 있기 때문입니다.

개인의 의료관련 정보, 보호와 활용이 관건

이제 딱딱한 이야기는 이쯤에서 마무리하고 아래에서는, 환자의 개인정보 보호와 관련하여 흔히 발생하는 구체적인 사례 몇 가지와 그에 대한 판단을 알려드리고자 합니다. 

① 간혹 병의원을 새로 개업하면서 다른 병의원으로부터 환자의 개인정보를 양도받아 자신의 홍보에 활용하는 경우가 있는데, 양도받은 개인정보에 대하여 환자가 홍보용으로 이용하는 것에 동의하였다고 하더라도 이는 양도한 병의원에게 동의한 것이므로, 그 개인정보를 양도받은(양수한) 병의원은 이를 홍보에 이용하여서는 안됩니다. 

만약 그 개인정보를 홍보에 이용하고자 하는 경우에는 양도시 환자에게 개인정보를 이전하려는 사실, 개인정보를 이전받는 자의 성명·주소·전화번호, 개인정보주체가 개인정보의 이전을 원하지 않는 경우 조치할 방법 및 절차를 알려주어야 합니다. 

② 환자의 접수증은 진료에 필요한 환자의 개인정보를 의료기관의 접수 프로그램에 입력하기 위한 목적의 임시자료라고 볼 수 있으므로, 접수 프로그램에 대한 정보 입력을 마쳤다면 그 목적이 달성된 것으로 즉시 파기(5일 이내)해야 합니다. 만약 업무환경상 즉시 파기가 어려워서 임시로 보관해야 하는 경우라면 외부인이 쉽게 접근하기 어려운 장소에 보관 및 잠금 처리해야 합니다. 

실제로 접수증을 이면지로 활용하여 내원한 환자가 다른 환자의 개인정보를 취득하여 문제된 적이 있습니다. 

③ 최근 의료관광 등을 이유로 외국인이 우리나라에서 진료를 받는 경우가 늘어나고 있는데, 외국인 역시 개인정보보호법의 적용을 받으므로 외국인 환자를 진료하고 있는 병의원들은 이들에 대한 개인정보도 철저히 관리하여야 합니다. 

이러한 개인의 의료관련 개인정보는 보호의 필요성이 매우 큰 데 반하여, 제약, 헬스케어 분야의 발전을 위해서는 그 활용 가치 또한 무시할 수 없습니다. 최근 데이터3법의 시행과 맞물려, 지난 8월 28일 개인정보보호위원회와 보건복지부는 보건의료 데이터 활용 가이드라인(안)을 공개하고 의견 수렴을 하고 있습니다. 

개인의 의료정보의 보호와 활용, 두 마리 토끼를 모두 잡을 수 있는 방안이 나올 수 있도록 여러분의 관심과 참여가 절실히 요구됩니다. 이는 바로 여러분의 문제입니다.

★ 관련 내용에 대해 궁금하신 점은 이메일(kmklawyer@naver.com)로 문의하여 주시기 바랍니다.