지난달 30일부터 개인정보보호법이 약 350만개의 모든 공공기관과 사업자, 비영리단체까지 전면 시행되면서 개인정보 수집, 이용, 제공, 파기 등의 보호기준과 안전성 조치가 강화됐다.
이에 일선 병원들도 개인정보 침해 및 유출사고로부터 피해를 예방하고 국민의 사생활을 보호하기 위해 주민번호 등 개인정보는 반드시 암호화 조치를 해 유출을 방지해야 한다.
하지만 법 시행 자체가 제대로 알려져 있지 않은 데다 개인병원 등 개인정보를 많이 다루는 소규모 업체의 경우 수 천만원까지 하는 암호화비용이 부담스러울 수밖에 없는 상황이다.
개인정보보호법에 대한 자세한 내용과 병원 등 의료기관들이 준비해야할 사항을 자세히 알아보았다.
➀ 개인정보보호법 전면 시행 … 환자개인정보 암호화 해야
➁ 의료기관 개인정보보호법 시행 ‘우왕좌왕’ |
|
행정안전부는 지난 2004년부터 논의가 시작된 개인정보보호법을 지난 3월 공포, 6개월이 경과된 지난달 30일부터 전면 시행에 돌입했다.
최초 발의 후 무려 7년여의 긴 시간이 걸려 통과된 개인정보보호법은 눈부시게 발전한 정보통신기술의 그늘에 가려 침해당하고 있는 국민의 사생활을 보호하기 위해 만들어졌다.
개인정보보호법이 시행되기 이전에는 분야별 개별법이 있는 경우에 한해 약 51만 사업자가 개인정보 보호의무를 적용받았다.
하지만 법 시행 이후 공공·민간 부문의 모든 개인정보처리자도 법 적용대상으로 확대됐다. 이에 따라 포털, 금융기관, 병원, 학원, 제조업, 서비스업 등 72개 업종 350만 전체 개인정보처리자는 모두 개인정보보호법 적용을 받게 됐다.
개인정보의 처리도 단계별로 의무화됐다. 수집이용, 저장관리, 제공위탁, 파기 등 처리단계에 따라 개인정보보호법령에 규정한 지침에 의해 암호화 등을 적용해 안전하게 수집·관리·폐기해야되는 것.
처벌기준 또한 강화됐다. 정보주체의 동의를 받지 않고 개인정보를 3자에게 제공하면 5년 이하의 징역과 5000만원 이하의 과태료가 부과된다.
이에 따라 의료기관도 개인정보보호법 시행령과 시행규칙 등 해당 법령에 따라 착실히 수행해야 한다.
CCTV와 같은 영상정보처리기기는 불특정 다수가 이용하는 사생활 침해 우려가 큰 장소에 설치·운영이 제한되며, 범죄와 화재예방을 목적으로 한 경우에도 잘 보이는 곳에 안내표지판을 설치해야 한다. 설치목적을 벗어난 카메라 임의조작, 다른 곳을 비추는 행위, 녹음 등은 금지된다.
|
 |
|
▲ 사진은 본 기사와 무관함 |
환자 기록 등 개인정보보호를 위한 시스템 보안 강화는 물론, 모든 사업장에 정보관리책임자를 내정해 내부관리계획을 시행해야 한다.
기존 병원들은 방문한 환자들의 전화번호, 주소 등을 보관해 고객관리서비스에 활용했지만 앞으로는 동의서를 받지 않은 문자 및 이메일 발송은 모두 법에 위반된다.
이벤트 등으로 고객정보를 수집했다고 하더라도 다른 목적으로 정보를 사용해서는 안되며, 환자의 동의를 얻지 않은 시술전·후 사진을 공개하는 것도 처벌 대상이 된다. 만약 병원 직원이 환자의 개인정보를 유출했다면 병원장이 책임을 져야한다.
행안부의 ‘표준 개인정보 보호지침’ 시안에 따르면 공공기관이 아닌 개인정보처리자는 사업주, 대표자, 개인정보 처리 관련 업무를 담당하는 부서의 장 또는 개인정보 보호에 관한 소양이 있는 사람을 개인정보 보호책임자로 지정해야 한다.
행정안전부 개인정보보호과 김상광 팀장은 “개인정보 관리에 책임이 있는 사람들로 개인정보 관리 책임자가 지정된다”며, “개인의 동의를 얻은 경우에도 개인정보 관리 책임을 져야 한다”고 말했다.
또 “내부직원에 의해 개인정보가 유출됐으나 개인정보 접근 사실을 기록하지 않아 유출자를 확인할 수 없는 경우도 있다”며, “내부직원의 개인정보 DB 접속시 일시, IP주소, 접속자 성명 등 접속기록을 보관 조치해야 한다”고 조언했다.
김 팀장은 “퇴직한 직원의 접근권한을 폐기하지 않아 퇴직 후 시스템에 접근해 개인정보를 유출하는 사례도 발생할 수 있다”며, “퇴직한 직원의 ID, 패스워드를 제거해 불법적인 접근을 차단하는 것이 좋다”고 덧붙였다.
<개인정보보호법 제정 이후 변동 사항>
구분 |
현행 |
시행 후 |
규제 체계 |
개별법에 의해 소관 분야별로 |
개인정보보호위원회 총괄 |
대상 및 범위 확대 |
공공, 정보통신서비스제공자, 준용사업자 등 총 52만5000개 |
공공, 민관 포괄해 총 350만개
*비영리단체, 개인, 국회·법원 등 확대 |
개인정보파일 |
수기문서까지 모두 포함 |
피해구제 및 자기통제권 강화 |
집단분쟁조정 규정 없음 |
집단분쟁조정제도, 단체소송 도입 |
개인정보 처리기준 개별법마다 상이 |
공공·민간 포괄하는 일관된 기준 제시 |
이용자 동의획득 시, 일괄동의 획득 |
동의사항 별로 분리해 획득 |
고유식별 정보처리 규정 없음 |
원칙적으로 고유식별 정보처리 금지, 최소 수집 사업자 입증책임 |
기타 |
공공기관 CCTV에 한해 규제 |
CCTV를 포함한 영상정보처리기기에 대해 민간분야까지 규제 확대 |
개인정보 영향평가 규정 없음 |
공공기관 의무화(결과 행안부 제출)
*민간분야는 자율시행 권고 |
개인정보 유출통지 규정 없음 |
피해자에게 유출사실 통지 의무화 |
-대한민국 의학전문지 헬스코리아뉴스-
조회 : 10,089
