개인정보보호/뉴스2011. 2. 17. 11:29
병원 개인정보 가이드라인 무시 … 개인정보보호법 발효 시급

관련 가이드 : http://ju12.tistory.com/241
링 크 : http://www.boan.com/news/articleView.html?idxno=4068

"일선 병원에서 가이드라인은 그저 개인정보보호 잘해야 한다는 내용으로만 받아들여지고 있다” -- 병원측 담당자 왈....
Posted by 김주일
Posted by 김주일
개인정보보호2009. 9. 21. 15:21

1. 병원의 특성상 진료를 위해 고객이 직접 방문하여 고객의 정보를 직접 제공합니다. 이러한 형태의 수집도 상기 법 22~23조에 의거하여 고객의 동의를 받아야 하는지요?

   답변)「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”라고 한다.)에서는 개인정보의 수집방법을 명시하고 있지 않으나, 정보통신망법 제1조 및 제4조를 참조하면 정보통신망법은  ‘정보통신망을 통하여 수집ㆍ처리ㆍ보관ㆍ이용되는 개인정보의 보호’를 예정하고 있는 것으로 볼 수 있음)
      - 다만, 정보통신망법 제67조(정보통신서비스제공자 외의 자에 대한 준용)규정이 준용사업자로 하여금 제공하는 재화 등을 제공받는 자의 개인정보를 수집ㆍ이용 또는 제공하는 경우 동법 제22조 내지 32조를 준수하도록 한 입법취지를 고려한다면 개인정보의 수집방법을 온라인 수집으로 제한할 수 없음
       - 더불어, 병원의 경우 오프라인에서 이용자의 개인정보를 수집하더라도 이후 처리ㆍ보관ㆍ이용 등의 취급은 정보통신망을 통하여 진행된다는 점을 감안하여야 함
      - 따라서, 온라인에 의한 정보 수집 뿐 만 아니라 직접 방문에 의한 정보 수집도 적용대상으로 볼 수 있으므로 고객의 동의를 받아야 함.

 

  2. CRM을 통해 고객정보를 활용하는 것이 위에서 밝혔듯 진료 예약안내, 검사결과안내, 시술및 치료후 관리안내, 복약지도 등입니다. 병원에서는 이를 위해 CRM업체에게 필요한 최소한의 정보만 제공하여 SMS를 발송하고 있습니다. 이러한 행태가 법 24조의 2자 제공으로 인한 고객의 개별동의를 받는 항목에 포함되는것인지? 아니면 25조에 근거하여 서비스제공 계약이행을 위한 위탁경우에 해당하여 고지만 해도 되는것인지요?

  

답변) 정보통신망법 제25조제2항에 의거하여 계약의 이행을 위해 필요한 범위내에서의 개인정보취급업무위탁은 고객에게 통지나 개인정보취급방침에 공개하면 별도의 동의를 받지 않아도 됨.
     - 따라서, CRM의 업무범위가 앞서 열거한 것처럼 병원에서 진료 환자에 대한 진료 예약안내, 검사결과안내, 시술및 치료후 관리안내, 복약지도 사안이 계약이행을 위해 필요한 범위내로 볼 수 있음.
     - 이와 달리 새로운 상품서비스등의 안내와 같은 경우는 정보통신망법 제25조제1항에 따라 미리 개인정보취급위탁을 하게 되는 업체명, 취급위탁하는 업무내용을 고객에게 알리고 동의를 받아야 함.
     - 또한 동의를 받지 못하였다고 하여 계약의 이행에 불이익을 주어서는 안 됨.
      ※ 의료기관의 특성상 환자의 개인정보 및 보호자의 개인정보도 같이 수집을 하게 됨. 보호자의 개인정보에 대하여는 필요최소한의 정보를 수집하도록 하고 이용자의 정보에 준해서 보호하여야 할 것임



   3. 정보동의의 대상이 7월 1일 이후 새로 오신 고객에게만 대상이 되는 것인지? 아니면 7월 1일이전에 직접 정보를 제공했던 고객이 다시 내원한 경우에도 대상이 되는것인지요?

  

답변) ‘09.07월1일 이전에 개인정보의 불법거래 등으로 수집한 즉, 법률에서 금지하는 거래 또는 프로그램 이용등을 통해 불법하게 수집한 고객정보가 아닌 경우 등에 한하여 재동의를 받지 않아도 되나
      - 법 적용이전에 정보주체에게 동의를 얻지 않은 경우는 이를 위한 절차를 마련하고 알려야 함(정보통신망법 제26조의2, 동법시행령 제12조)



   4. 개인정보과 차**선생님과의 유선통화에서 7월 1일 이전 고객은 동의한것으로 간주한다고 얘기를 들었습니다. 그렇다면 고객의 동의 범위를 22조~23조의 수집까지로 봐야하는지? 아니면 24조의 이용제공까지로 봐야하는지요?(이미 이전 고객에게는 CRM을 통해 해당정보를 제공하고 있었습니다)

  

답변) ‘09.07월1일 이전에 적법하게 수집․제공한 경우에는 수집에 대한 재동의를 받지 않아도 되며, 기존에 제3자에게 제공한 것에 대하여 동의를 소급하여 받을 필요는 없음
      - 다만,  ’09년 07월01일 이후 제3자에게 제공하는 경우에는 해당사항 모두 알리고 동의를 받아야 함.



   5. CRM을 지속적으로 사용하고자 한다면(24조의 3자제공시 개별동의가 있는데), 개별동의를 병원에서 동의서를 받겠지만, 내용의 주체가 병원에서 고객서비스를 위해 받는것으로 해야하는지? 아니면 CRM업체에서 받은 것으로 해야 하는지요?

   답변) 의료기관이 서비스제공을 위하여 개인정보를 위탁하는 경우, 해당 사실을 알리고 동의를 얻는 주체는 의료기관임 (정보통신망법 제25조제4항 및 제5항)
    - 수탁자(CRM업체)가 개인정보 관련 규정을 위반하지 아니하도록 관리․감독할 책임이 위탁자에게 있는 바, 위탁계약서상에 취급목적 등 수탁자가 행할 수 있는 개인정보취급업무의 범위를 구체적으로 적시하고 위탁업무와 관련하여 수탁자가 부여받은 업무범위를 벗어나지 않도록 관리 감독할 책임도 있음.

   ※ ‘위탁계약서’상에 개인정보취급에 관한 사항을 명시적으로 적시할 필요가 있음



   6. 대상되는 의료기관이 개인의원, 병원, 종합병원등 의료법상 등급에 따라 구분이 있는것인지? 아니면 의료기관으로 사업자 등록을 낸 모든 이가 대상이 되는것인지요?

  

답변) 정보통신망법 시행규칙 제6조제11호에서 말하는 의료기관은 현행 의료법에 따르며, 현재는 나뉘어 있지는 않음.(2010년 1월31일 시행예정 의료법에서는 나뉘어 있음)



   7. 법 29조에선 목적달성이 되면 정보를 파기해야한다고 하고 있습니다. 그러나 병원의 특성상 만성질환으로 인한 고객의 재방문이 많아 치료가 완료된 경우를 어느 시점으로 보고 파기해야 하는지요?

  

답변) 직접적으로 서비스를 제공하고 있는 고객의 개인정보에 대해 개인정보 수집 및 목적이 달성하였거나, 고객에게 고지하고 동의받은 보유및 이용 기간이 종료된 경우, 폐업하는 경우 보유하고 있는 개인정보를 파기하여야 함. (정보통신망법제22조,제29조)
      - 또한 취급위탁의 경우에도 위탁 업무에 따른 개인정보 이용 및 제공목적,보유 및 이용기간 등이 정해져 있을 것이므로 해당 파기 사유가 발생하는 경우 취급하고 있는 개인정보를 파기하여야 함 (위탁자는 파기 여부 파기 방법을 확인하여야 함.(정보통신망법제25조제5항))
       - 따라서 수집시 보유 및 이용기간을 별도 명시하고 동의를 받는 것이 중요하며, 서비스해지나 회원탈퇴 등의 사유로 동의철회를 했지만 관련법률에 따라서 보유하여야 하는 경우에는 다른 고객데이터베이스와 분리하여 보유하고, 그 접근권한을 최소화하여 반드시 필요한 경우에만 열람 또는 이용이 가능하도록 하여야 함.
       - 목적 달성의 시점을 특정하기 어려운 특정 만성 질환에 대해서는 별도로 분류하여 보유기간을 정하고 사전에 환자의 동의를 획득하는 방법을 검토할 수 있음.

Posted by 김주일