환자 동의 없는 문자서비스 ‘위법’

개인정보 수집·이용땐 동의서 필수
하반기 의원급 실태점검 특히 주의

지난달부터 시작된 스케일링 급여화를 비롯해 노인틀니 급여범위 확대 등 환자들의 치과접근성이 점차 확대됨에 따라 기존 환자들에게 이를 짧은 문자메시지로 알려주고 있는 치과들이 늘어나고 있는 추세다. 

그러나 환자의 사전 동의 없이 짧은 의료정보 홍보 문자메시지 정도만 보내도 하반기에 예정된 개인정보보호법 이행여부 실태점검(관련기사 본지 8월 15일자 2154호 9면)에 따라 위반사항으로 적발될 수 있어 주요 개인정보 처리절차에 대한 점검이 필요하다.  

의료기관용 개인정보보호 가이드라인에 따르면 예약이나 진단, 검사, 치료, 수납 등 진료와 직접적으로 관련된 목적 외 환자들의 개인정보를 수집·이용하려는 경우에는 이에 대한 동의서를 반드시 받아야 한다.

# 개인정보 이용기간
   동의 거부 권리 알려야

병·의원이 진료목적 외 개인정보를 활용하는 경우는 문자나 우편 등으로 병원소식, 건강정보, 백신접종 홍보내용 등을 보내는 경우로, 향후 치과 환자들에게 스케일링 보험적용 가능기간 재 통보나 노인 임플란트 급여화 등 변화된 건강보험제도를 공지하기 위해서는 사전에 개인정보 수집·이용 동의서를 꼭 받아야 한다.

환자 동의를 받을 때에는 ‘SMS, DM 등 병원 원내, 홍보에 따른 개인정보 활용에 동의합니다.’ 수준의 압축된 문구로는 안 되며 ▲개인정보의 수집·이용 목적 ▲수집하려는 개인정보의 항목 ▲개인정보의 보유 및 이용 기간 ▲동의를 거부할 권리가 있다는 사실 및 동의거부에 따른 불이익 내용 등을 정확히 명시해야 한다.   

의료기관 홈페이지를 통한 상담진행 시에도 환자가 등록하게 되는 성명과 이메일 주소 등은 직접적인 진료를 위한 목적이 아니므로 사전 개인정보이용 동의를 받아야 한다.

특히, 네트워크치과의 경우 소속 의료기관 간 환자진료기록을 공유하는 경우에는 반드시 사전에 환자나 환자 보호자의 동의를 받아야 하며, 이 같은 절차 없이 타 의료기관의 진료기록을 공유하는 것은 의료법에 저촉된다.   

타 의료기관에 검사 의뢰나 위탁업체를 통한 행정업무 등 환자 개인정보 처리를 별도의 기관에 위탁하는 경우에는 별도의 동의가 필요치 않으나, 이 사실을 홈페이지 등을 통해 환자에게 공개하고 수탁자에 대한 관리를 철저히 해야 한다.

상시 근무인원 5인 이상의 의료기관에서는 개인정보보호 책임자를 지정해 환자 개인정보에 대한 접근을 최소화하고, 환자 개인정보에 대한 접근성 권한 부여, 변경, 말소 내역은 최소 3년간 보관토록 해야 한다.

# 네트워크치과
  개인정보 통합 관리 안돼

네트워크치과의 경우는 각 지점을 별개의 의료기관으로 보기 때문에 각 지점별 웹사이트를 한명의 담당자가 관리해서는 안 되며 각각의 개인정보처리자를 둬야 한다. 이를 위반 시에는 1000만원 이하의 과태료가 부과될 수 있다.

이 밖에 공동개원을 했던 경우라도 한 의료인이 별도의 의료기관을 세워 독립할 경우에는 직전 의료기관의 환자 진료정보를 복사해 나갈 수 없다.

또 대기실이나 휴게실 등 공개된 장소에 영상정보처리기기(CCTV 등)를 설치하는 경우 환자가 알아볼 수 있도록 안내판을 설치해야 하며, 수술실이나 진료실 등 비공개 장소에 영상정보처리기기를 설치하는 경우에는 안내판은 설치 안 해도 되나 환자 개인정보 수집 동의는 받아야 한다. 영상정보촬영 시 녹음기능은 사용할 수 없으며, 비공개 장소에서 환자와 의료진의 대화내용에 대한 녹음이 필요한 경우라면 환자의 동의를 받아야 한다.

이 같은 개인정보보호법을 위반하면 최고 5년 이하 징역 또는 5000만원 이하 벌금 등의 처벌을 받을 수 있다.

한편, 의료기관용 개인정보보호 가이드라인은 ‘개인정보보호종합포털(www. privacy.go.kr)-공지사항’에서 다운받을 수 있다.

전수환 기자 parisien@kda.or.kr