진료실 내 개인정보보호 및 의무기록의 관리
0
법무법인 (유) 광장 유지현 변호사
개인정보보호에 대한 인식은 날로 높아져 가고 있습니다. 진료실에서는 건강에 관한 정보를 비롯한 민감 정보가 수집될 수 있기 때문에 더욱 더 개인정보의 보호에 주의를 기울여야 합니다. 또한, 진료실에서 작성되는 의무기록에는 환자에 관한 여러 가지 개인정보가 포함되기 때문에 그에 대한 관리도 중요합니다. 그래서 저는 이번 글에서 진료실 내 개인정보보호 및 의무기록 관리와 관련된 세 가지 쟁점에 대해서 간략하게 소개해 드리고자 합니다. 참고로 자세한 내용은 개인정보보호위원회와 보건복지부가 함께 발간한 ‘개인정보보호 가이드라인-의료기관편’ 및 보건복지부가 발간한 ‘진료기록 열람 및 사본발급 업무 지침’을 살펴보시면 확인하실 수 있습니다.
1. 진료실 내 CCTV 설치
병원에서 종종 발생하는 폭행, 물건 손괴 등을 방지하거나 그러한 사건에 대한 증거를 확보하기 위해서 CCTV가 설치되는 것으로 보입니다. 최근에는 COVID-19로 인하여 감염자들의 동선을 파악하거나 마스크 착용 여부를 확인하기 위하여 CCTV를 설치하는 것 같습니다.
CCTV를 통해 수집되는 영상 정보는 개인정보보호법 상 개인정보에 해당하고 CCTV는 개인정보보호법상 영상정보처리기기에 해당합니다(개인정보보호법 제2조 제1호, 제7호). 따라서 개인정보보호법에 따라 다음과 같은 점을 숙지하고 준수해야 합니다.
먼저, 공개된 장소에 영상정보처리기기를 설치하는 것은 원칙적으로 금지되지만, 예외적으로 다음과 같은 경우에는 설치가 가능합니다.
- ① 법령에서 구체적으로 허용하고 있는 경우
- ② 범죄의 예방 및 수사를 위하여 필요한 경우
- ③ 시설 안전 및 화재 예방을 위하여 필요한 경우
- ④ 교통단속을 위하여 필요한 경우
- ⑤ 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
따라서 앞서 말씀 드린 바와 같이, 병원 내에서는 범죄의 예방 및 수사를 위하여 필요한 경우에 CCTV를 설치할 수 있습니다. 그러나 이 때에도 의료기관의 복도, 계단, 주차장, 접수창구 등 불특정 다수가 통제 받지 않고 다닐 수 있는 공개된 장소에만 CCTV를 설치할 수 있고 출입에 제한이 있는 진료실, 처치실, 수술실 등에는 정보주체의 동의 없이 CCTV를 설치할 수는 없습니다. 그리고 CCTV를 설치하더라도 다음과 같은 점을 유의해야 합니다.
- ① CCTV의 설치·운영 제한 및 필요 최소한 촬영
- ② 영상정보처리기기 임의조작·녹음 금지
- ③ 안내판 설치를 통한 설치 사실 공지
- ④ 영상정보처리기기 운영·관리 방침 수립·공개 및 책임자 지정
- ⑤ 영상정보의 목적 외 이용·제공 제한 및 보관·파기 철저
- ⑥ 영상정보처리기기의 설치·운영 위탁 시 관리·감독 철저
- ⑦ 개인영상정보의 안전성 확보 조치 및 자체 점검 실시
2. 의무기록의 열람·등사
의료인은 환자가 요청하는 경우 의무기록을 열람하게 하거나 그 사본을 발급해 주어야 합니다(의료법 제21조 제1항). 그리고 의료인은 환자가 아닌 다른 사람에게 의무기록을 열람하게 하거나 그 사본을 발급해 주어서는 안됩니다(의료법 제21조 제2항).
다만, 의료법은 환자가 제3자에게 의무기록을 열람하게 하거나 그 사본을 발급할 수 있는 여러 가지 경우를 정하고 있는데(의료법 제21조 제3항), 대표적인 경우가 ‘환자가 지정하는 대리인이 환자 본인의 동의서와 대리권이 있음을 증명하는 서류를 첨부하는 등 요건을 갖춘 경우’입니다.
그런데, 최근에는 환자들의 의무기록을 활용하여 다양한 서비스를 개발하고자 하는 산업계의 수요가 있고, 정부는 의료분야에서도 마이데이터 사업을 추진하려 하고 있습니다. 이를 위해서는 환자의 요청에 따라 의무기록을 의료기관에서 제3의 기관에 손쉽게 이동할 수 있도록 해야 한다는 의견이 있고 이에 대한 법적 근거를 마련하기 위해 최근 의료법 개정안이 발의되기도 하였습니다. 이에 대해서 개인정보 유출의 위험성이 있다는 반대 의견도 많습니다. 이와 관련한 의료법 규정이 어떻게 변화될 지에 대해서는 계속 지켜볼 필요가 있습니다.
3. 진료정보 침해사고 통지
최근에는 대부분의 의료기관이 전자의무기록을 사용하고 있습니다. 전자의무기록은 사용의 편리성 등으로 널리 이용되지만, 해킹 또는 악성코드 등으로 인하여 진료정보가 유출되거나 의무기록 시스템이 마비될 위험이 있습니다.
그런데, 전자의무기록에 대한 전자적 침해행위(행위, 악성코드 등)로 진료정보 침해사고가 발생하면 보건복지부장관에게 그 사실을 즉시 통지해야 합니다(의료법 제23조의3 제1항). 여기서 진료정보 침해사고는 (i) 진료정보의 도난·유출, (ii) 진료정보의 파기·손상·은닉·멸실, (iii) 전자의무기록 시스템의 교란·마비를 말합니다(동법 시행령 제10조의9 제1항).
참고로 보건복지부장관은 진료정보 침해사고의 예방 및 대응을 위한 업무를 한국사회보장정보원에 위탁하고 있습니다. 한국사회보장정보원은 진료정보침해대응센터(KHCERT)를 설치하여 운영을 전담하고 있는바, 진료정보 침해사고가 발생하면 위 센터에 신고를 해야 합니다. 위 센터는 진료정보 침해사고에 대한 신고가 접수되면, 복구지원 및 사고 예방 관련에서 도움을 줍니다.
만약, 진료정보 침해사고가 발생했음에도 통지를 하지 않은 경우 300만원 이하의 과태료가 부과될 수 있으므로(의료법 제92조 제1항 1의2), 주의가 필요합니다.