www.bokuennews.com

최근 병원들로부터 가장 많은 질문을 받고 컨설팅을 제공하는 내용은 병원 경영이나 마케팅이 아닌 개인정보보호에 관한 것이다. 민감한 환자 정보를 다루고 있지만 진료와 관련된 과정 중에 자연스럽게 발생하는 정보이기 때문에 개인정보관리에 다소 소홀한 병원이 있다.

 병원은 수집된 개인정보에 대한 활용뿐 아니라 관리에 대한 책임이 크고, 민감한 내용을 수집하기 때문에 허점이 없도록 철저하게 관리해야 한다. 

개인정보보호는 갑자기 발등에 떨어진 불이 아니다. 개인정보보호법이 전면 시행된 2011년부터 구체화되기 시작했다. 물론 법 제정 전에도 많은 병원들이 환자의 소중한 정보관리를 위해 노력해왔으나, 구체적인 처리방법과 법적 제재가 틀을 갖추기 시작하면서 효과적인 정보관리가 시행된 것이다.

개인정보는 사람의 삶과 같이 라이프사이클을 가지고 있다. 수집 및 이용의 첫번째 단계, 저장 및 관리의 두번째 단계, 위탁 및 제공의 세번째 단계, 파기의 네번째 단계로 크게 이뤄진다.

이러한 라이프 사이클별로 지켜야 할 사항들이 있기 때문에 건강보험심사평가원은 이를 기준으로 병원의 개인정보 관리실태를 점검하고 등급을 부여한다. 이 과정에서 문제점이 발생되면 개선요청을 받거나 현지조사를 받게 된다. 효과적으로 개인정보를 관리하고 개인정보실태점검에서 좋은 등급을 받으려면 아래와 같이 실천하는 것이 중요하다.

첫번째, 병원에서 개인정보가 수집되는 채널별로 문제가 없는지 살펴보자. 병원에서 처리해야 하는 개인정보는 크게 온라인과 오프라인 두 채널에서 수집된다. 오프라인의 경우, 진료를 위해 기본적으로 발생되는 행위이므로 가볍게 넘어가는 경우가 많은데 초진 접수증을 받는 순간부터 정보보호의 의무가 발생한다는 사실을 명심하자.

종이를 통해 수집된 정보는 필요 없는 경우 즉시 파기해야 하며, 보관이 필요할 시에는 물리적으로 분리된 공간에 잠금장치를 하여 보관한다. PC를 활용하는 경우 수집된 정보는 암호화해야 하며, 수집목적과 기간이 경과한 경우엔 파기해야 한다. 다만, 환자의 진료기록은 의료법 우선에 따라 의료법 기준으로 처리해야 한다. 주로 OCS/EMR/PACS를 통해 수집된 정보이므로 프로그램 관련 관리사항은 업체에 문의하여 문제가 없도록 단속해야 한다.

온라인을 통한 정보수집은 대개 홈페이지를 통해 이뤄지므로 병원 사이트를 운영하는 병원에서는 개인정보처리방침, 보안서버, 주민등록번호 수집유무, 게시물을 통한 정보 유출 등을 잘 살펴봐야 한다.

개인정보처리방침에는 수집하는 정보의 항목, 방법, 이용목적, 보유기간, 파기방법 등 개인정보 라이프사이클에 따른 항목들이 표기되어야 하며, 개인정보보호 책임자가 명시되어야 하고, 홈페이지 관련 내용을 위탁하는 운영사가 문제 없도록 확인해야 한다.

두번째, 별도의 개인정보 수집채널이 있는지 확인해야 한다. 개인정보 수집에서 놓치기 쉬운 채널이 영상정보인 CCTV이다. 개인정보는 문자만으로 기록되는 것이 아니라 개인을 식별할 수 있는 영상도 대상이 되기 때문에 적법한 관리체계에 따라 운영해야 하며 고객이 인지할 수 있어야 한다.

특히 진료실에 CCTV를 운영하는 경우에는 별도의 고객동의를 받아야 한다.

세번째, 문서화된 관리기록을 보유해야 한다. 개인정보 라이프 사이클별로 해야 할 일과 채널별로 문서화된 관리체계를 갖추어야 한다.

정보를 수집하는 데에 따른 수집 및 활용동의서, 처리방침, 개인정보 관리대장, 개인정보관리계획 등이 수립되어야 하며 내부 구성원들은 개인정보보호 교육 이수 및 정보보안 각서를 작성해야 한다.

소중하고 민감한 개인정보이니만큼 철저한 관리가 필요한 것은 두말할 나위가 없다. 병원에서 실천해야 하는 개인정보보호에 관한 자세한 사항은 정부에서 운영하는 개인정보보호 종합포털(http://privacy.go.kr)에서 정보를 얻고, 도움을 받을 수 있으므로 이를 활용하는 것도 좋은 방법이다.