#개인정보보호법 #병원 개인정보자율점검 #개인정보자율점검 #진료목적 외 #식별정보 #바이오정보 #개인정보수집동의서
지금까지는 항목하나하나에 대해서 자세하게 설명하였습니다. 하지만 하나씩 짚어보니 전체적으로 숲을 보아야하는데, 하나씩만 알 수 밖에 없는 상황으로 보여집니다.
그래서 이제는 전체적인 모습을 보여드리도록 하겠습니다. 전체적으로 항목별로 무엇을 말하는지 전체적으로 간략하게 전달해 드리도록 하겠습니다.
※ 위의 이미지 중에서 중점점검항목이라고 빨간색으로 표시된 항목이 있습니다. 이러한 항목은 첨부문서가 반드시 필요한 항목입니다. 그동안 그냥 자율점검을 수행하였다면 이제부터는 첨부서류를 하나씩 준비를 해주셔야 할 것으로 보여집니다. 다음해에 2022년도에는 또 어떠한 항목이 중점점검항목으로 변경될지 모르기 때문입니다.
--> 해당 항목은 병원에서 진료목적으로만 개인정보를 활용하고 있다면 해당없다는 내용입니다. 진료목적은 모두 잘 알겄이라고 보여지며, 중요한 것은 예약문자만 보내는 병원에서는 예약문자 또한 진료목적으로 해석하고 있다는 것입니다. 그러니 진료예약문자만 보내시는 병원 또한 해당 항목을 하지 않고 넘어가셔도 될 것으로 보여집니다.
또한 홈페이지를 통하여 회원가입을 받고 있지 않은 상태면 당연히 해당사항이 없는 항목입니다.
--> 병원에서 14세 미만 아동의 개인정보를 수집할 때 보호자의 동의를 얻고 있냐고 물어보는 내용입니다. 병원에서 간혹 아이혼자 와서 진료를 받는 경우가 종종 발생하고 있습니다. 그럴때는 아동의 동의를 얻어 보호자한테 전화를 발신하여 해당 아동에 대한 정보수집 동의를 유선으로 진행하여도 되는 내용입니다.
--> 병원에서 마케팅 목적으로 개인정보를 수집을 하던 또는 다른 목적으로 개인정보를 수집을 하던 해당 목적에 맞는 최소한의 개인정보를 수집하고 있는지에 대한 항목입니다.
많은 병원들이 인터넷에 떠도는 문서를 다운받아서 내용 수정도 없이 사용하는 병원이 생각보다 많이 있는 것도 사실입니다. 하지만 해당 개인정보수집동의서에 나와있는 수집하는 개인정보항목에 대해서는 병원에서 최소한의 개인정보를 수집하고 있다는 것을 소명해야 하는 어려움이 있으니 너무 많은 항목을 수집하지 않아야 할 것입니다.
--> 병원에서는 보통 개인정보동의서에 동의를 하지 않으면 진료를 보지못하는 것처럼 환자들한테 고지를 하는 곳이 많이 있다. 하지만 이것은 명백한 허위내용이라고 말하고 싶습니다. 병원에서는 개인정보수집동의 중 선택정보에 대해서 미 동의를 한다고 하면 해당 내용에 대해서만 서비스를 제공할 수 없다는 것을 알려주고, 정상적인 진료업무를 수행하면 될 것으로 보여진다.
--> 병원에서 개인정보를 수집할 때 선택정보에 대한 내용이 많이 있습니다. 하지만 이러한 선택정보를 하나하나 다 별도로 동의를 받아야 한다는 사실을 혹시 알고 계신가요? 병원에서는 이러한 내용을 잘 모르고 그냥 포괄적으로 한번에 동의를 모두 끝내려고하는 병원들이 많이 있습니다. 절대 포괄동의를 받으시면 안되는 것입니다.
--> 환자의 개인정보를 진료의 목적 및 마케팅 목적등의 방법으로 이용하거 있거나, 또는 환자의 개인정보를 다른 업체에 제공하는 등의 제3자에게 개인정보를 이용시에 별도의 동의를 받아야 합니다. 하지만 아직도 제3자가 무엇인지 잘 몰라서 그냥 서류를 발급해주거나 별 잘못된 부분을 인지하지 못하고 정보를 제공하는 경우가 많이 있으니 주의하기 바랍니다.
--> 병원에서 수집한 개인정보와 진료정보는 일정기간의 의무보관기관이 있습니다. 그래서 환자가 본인의 개인정보를 파기해달라고 해서 무조건 파기해주면 안되는 것으로 알고 있습니다. 원래의 진료정보 및 고객정보 외에 우리가 해당 정보를 기반으로 해서 병원에서 회원관리용으로 별도의 문서로 관리를 한다거나 했을 때 그러한 문서가 목적을 달성하면 파기하는지에 대한 내용입니다.
--> 병원에서의 개인정보는 반드시 복구가 되지 않도록 파기를 하여야 합니다. 파일형태로 저장되어 있는 파일 역시 재생되거가 복구가 가능하지 않도록 파기를 해야한다고 생각하시면 됩니다. 쉽게 말씀을 드리면 문서 파쇄기를 구입해서 파쇄를 하시고, 파일 형태의 문서는 개인정보암호화프로그램을 이용하여 삭제를 하시면 좋을 것으로 보여집니다.
--> 병원에서 흔히 임시적으로 출력한 자료가 많이 있다고 판단이 됩니다. 명절때 VIP환자를 정리하는 것이라던가 예약표 또는 진단서 등 의무기록사본을 잘못 기입을 했을 때 보통 파쇠를 하게 되어있습니다. 이러한 모든 문서가 임시파일이라고 생각하면 되고, 출력자료는 환자들한테 배부하는 문서 외에는 모두 출력자료로서 목적이 분명한 문서들이 많이 있습니다.
이러한 문서들은 반드시 목적이 달성이 되거나 잘못출력한 문서라고 판단이 되면 반드시 파기를 즉시 해야 합니다.
--> 병원에서 흔히 임시적으로 출력한 자료가 많이 있다고 판단이 됩니다. 명절때 VIP환자를 정리하는 것이라던가 예약표 또는 진단서 등 의무기록사본을 잘못 기입을 했을 때 보통 파쇠를 하게 되어있습니다. 이러한 모든 문서가 임시파일이라고 생각하면 되고, 출력자료는 환자들한테 배부하는 문서 외에는 모두 출력자료로서 목적이 분명한 문서들이 많이 있습니다.
이러한 문서들은 반드시 목적이 달성이 되거나 잘못출력한 문서라고 판단이 되면 반드시 파기를 즉시 해야 합니다.
--> 개인정보수집동의서에는 생각보다 많은 선택항목이 존재하고 있습니다. 하지만 많은 병원에서는 그러한 여러 선택항목을 한번에 다 몰아서 포괄적 동의를 받고 있는 곳이 생각보다 많이 있습니다. 하지만 원래는 잘못된 수집방법입니다.
병원에서는 선택정보에 대해서는 모두 별도의 선택항목을 만들어놓고 모두 개별적으로 동의를 받아야 합니다. 병원에서 동의를 받지 않아도 되는 항목은 국가에서 인정한 성명, 전화번호, 주소, 주민등록번호 정도라고 생각하시면 될 것으로 판단이 됩니다.
--> 병원에서의 고유식별번호는 주민등록번호, 운전면허증번호, 여권번호, 외국인등록증번호 정도로 알고 있으면 업무처리하는데 크게 문제는 없을 것이라 생각이됩니다.
또한 위에 말한 관계법령은 바로 개인정보보호법 및 의료법(?)에 나와있는 것으로 알고있습니다. 또한 건강보험관련법에도 고유식별정보를 수집하도록 되어 있습니다. 이번기회에 한번 더 관련법령에 대해서 알아보는 것도 좋을 것이라 생각합니다.
--> 병원에서 어떻게 영상정보처리기기(CCTV)를 운영할 것인지에 대해서 명확하게 방침을 수립해 놓아야 합니다. 이러한 방침은 병원에서의 CCTV가 어떻게 병원에서 운영이 되는지를 한눈에 파악할 수 있기 때문입니다. 해당 문서를 제작하여 잘 보관하시기 바랍니다. 이것은 주기적으로 사용하는 문서는 아니고 수정해야 할 때 즉 문서를 수정해야 할 때 필요한 문서입니다.
--> 개인정보수집동의서에는 생각보다 많은 선택항목이 존재하고 있습니다. 하지만 많은 병원에서는 그러한 여러 선택항목을 한번에 다 몰아서 포괄적 동의를 받고 있는 곳이 생각보다 많이 있습니다. 하지만 원래는 잘못된 수집방법입니다.
병원에서는 선택정보에 대해서는 모두 별도의 선택항목을 만들어놓고 모두 개별적으로 동의를 받아야 합니다. 병원에서 동의를 받지 않아도 되는 항목은 국가에서 인정한 성명, 전화번호, 주소, 주민등록번호 정도라고 생각하시면 될 것으로 판단이 됩니다.
--> 영상정보처리기기(CCTV)에 대한 이용은 개인정보와 연관되는 것으로서 이용할 때, 자료를 제공할 때, 열람할 때, 그리고 파기할 때까지 모두 문서화로 정리를 하여야 합니다.
이러한 각각의 이용에 대한 문서는 자체적으로 제작하는 방법도 있지만, 인터넷에는 많은 문서들이 떠돌아 다니고 있는 상황입니다. 우선 인터넷에서 해당 문서를 다운받아서 병원의 상황에 맞도록 수정하여 사용하는 방법이 좋을 것으로 보여지고 있습니다.
--> 병원에서 환자의 정보가 명확하게 저장되어 있는 자료는 고객관리시스템과 CCTV 정도로 나눌수 있습니다. 하지만 많은 병원에서 환자 주민번호만이 중요한 개인정보라고 생각을 하고 CCTV에 대해서는 관리를 소홀히하는 경우가 많이 있습니다. 하지만 엄연히 영상정보처리기기도 개인정보의 한 축을 담당하고 있습니다.
해당 영상정보처리기기(CCTV) 가 유출되거나 도난되지 않도록 안전성확보조치를 해야 하는 것중에 하나입니다. 반드시 기억하시기 바랍니다.
--> 보통 병원에서는 많은 업체와의 계약을 진행하고 있습니다. 하지만 계약서가 정해진 규칙이 없이 온전히 업체의 입장에서 계약서를 작성하는 것이 일반적이었습니다. 이번 항목에서 말하고 있는 것은 다른 거래처는 모르겠지만, 위탁업체 또는 제3자 정보제공업체에 대한 계약을 진행 시 개인정보보호법에 의거하여 계약서를 작성할 것을 이야기하고 있습니다.
이번 병원 개인정보자율점검을 진행하면서 그동안의 계약서가 어떻게 만들어졌는지에 대해서 다시한번 생각을 하고 이번부터는 이러한 문제가 발생하지 않도록 새롭게 확인을 해보기 바랍니다.
--> 병원에서는 거래하는 모든 수탁업체에 대해서 개인정보보호 교육 및 개인정보를 어떻게 처리하는지에 대해서 점검을 주기적으로 진행하도록 명시되어 있습니다. 하지만 지금까지는 하지 않은 것 아시고 계시죠?
원래 병원의 환자정보를 해당 수탁업체에서 안전하게 관리하는지를 점검을 해야 합니다. 그 이유는 병원의 고객정보를 유출되거나 분실이 되면 안되기 때문입니다. 또한 환자정보를 불법적인 용도로 사용해서도 안되는 것입니다. 이러한 문제점을 없애기 위하여 개인정보보호법에는 모든 수탁업체에서 개인정보보호 점검을 하라고 되어 있습니다.하지만 현실적인 제약으로 사실 어려운 부분입니다. 그래서 많은 수탁업체에서는 자체적으로 개인정보보호 교육을 진행하고, 자체적으로 점검한 내용에 대해서 병원으로 발송을 하고 있는 상황입니다. 해당 내용에 대해서는 크게 생각하지 않아도 됩니다.
--> 보통 병원에서는 위탁에 대한 사실이 무엇인지 잘 모르고 있는곳이 생각보다 많이 있습니다. 또한 이러한 내용에 대해서 홈페이지에 하라는 것인지 병원 대기실에 하라는 것인지 잘 모르는 부분도 있습니다. 사실 글이 어렵지는 않은데 이해하기 어렵게 말을 만든것 같습니다. 우리는 이런것과 상관없이 해당 내용에 대해서 알아야 할 것입니다.
보통 위탁에 관한 사실은 개인정보처리방침에 추가를 하는것이 보통입니다. 그래서 특별히 위탁에 관한 사실을 별도로 작성하기 보다는 개인정보처리방침을 대기실에 비치를 하던가 아니면 홈페이지에 공개를 하면 될 것입니다. 또한 CCTV에 관한 사실에 개인정보처리방침과 함께 대기실에 비치하거나 홈페이지에 게시를 하면 될 것으로 보여집니다.
또한 위탁에 대한 정의는 해당 항목을 읽어보시면 충분히 이해할 수 있을 정도로 자세하게 설명히 되어 있으니 참고하기 바랍니다.
--> 이번 내용은 크게 문제가 의문점이 없는 항목으로 보여지고 있습니다. 보통 많은 병원에서 잘 시행하고 있는 것으로 보여지는 것도 바로 이것입니다. 제일 쉽게 하는 방법은 입사일에 근로계약서 작성하면서 보안서약서도 함께 제출받으면 보다 쉽게 준비가 가능할것으로 생각이 됩니다.
--> 병원에서 그런데로 잘 되고 있는 부분중에 하나가 바로 개인정보보호교육이라고 해도 과언이 아닐 것입니다. 그렇게 된 이유는 어차피 법정이수교육에 개인정보보호교육이 포함이 되어 있기 때문입니다. 이번 내용은 법정교육을 실시하는 병원에서는 별로 신경쓰지 않으셔도 되는 항목이라고 생각하면 됩니다.
--> 내부관리계획이라는 것은 병원에세 개인정보보호법을 어떻게 관리하고 있는지에 대하여 설명을 하고 있는 항목입니다. 내부관리계획에는 12가지의 필수로 들어가야 하는 항목이 있습니다. 해당 항목에 대해서 병원에서 어떻게 수행되고 있는지를 작성해야 하며, 내부관리계획에 기술된 내용에 맞도록 개인정보보호업무를 수행하여야 합니다. 어쩌면 문서상으로 개인정보처리방침 만큼이나 중요한 문서라고 생각하시면 될 것 입니다.
--> 병원에서는 개인별 업무가 주어지며 해당 업무에 맞도록 전자차트의 권한을 철저하게 부여해야 한다. 자칫 잘못하여 다른 부서에서 보면 안되는 자료를 볼 수 있기 때문입니다. 보통 병원에서는 부서단위로 접근권한을 부여하는 것이 통상적인 방법이라고 생각합니다. 하지만 실제 부서단위의 접근권한은 해당 부서장에 대한 접근권한까지 어렵게 할 수 있습니다.
병원에서는 개인별로 너무 광범위한 접근권한을 부여하여서는 안되며, 정확히 해당 직원이 전자차트에서 어떠한 기능을 사용해야 하는지 명확하게 확정을 한 후 개인별 권한을 차등부여하는 것이 맞을 것입니다.
--> 위에서 설명을 한 접근권한에 대한 부분이 연달아서 나왔습니다. 해당 내용이 얼마나 중요하다는 것은 2개 항이 연속적으로 나왔다는 것만으로도 충분히 중요한 항목이라고 생각되어지는 부분입니다. 이러한 접근권한 부분에서는 중요한 점이 몇가지 있습니다.
우선 위에 설명된 부분처럼 우선은 접근권한에 대한 내역이 반드시 존재하여야 하며, 해당 접근권한에 대해서 부여, 변경, 말소한 내역 모두를 관리해주어야 합니다. 또한 이러한 자료를 최소 3년간은 보관을 해야 한다고 합니다. 모두가 로그데이터를 활용해야 하니 반드시 해당 기록은 보관을 하셔야 한다는 것을 말해주고 싶습니다.
