이번에는 Q&A로 풀어본 병원에서의 진료·개인정보보호, 마지막 순서로 진료정보나 병원·의료기관에서 취급하는 개인정보의 유출통지, 유출시 손해배상 책임, 영상정보처리기기, 향후 과제 등에 살펴보기로 한다.

<유출통지>

Q 23. 진료ㆍ개인정보가 유출됐을 때, 병원이 취해야 하는 조치는?

진료·개인정보가 유출됐을 때, 병원에게는 두 가지의 의무가 발생한다. 정보주체에 대한 통지의무와 안전행정부, 한국인터넷진흥원(KISA), 한국정보화진흥원(NIA)에의 신고의무가 그것이다.

먼저 통지의무에 관하여 살펴보면, 진료·개인정보가 유출된 즉시 병원은 정보주체에게 지체 없이 개별적으로 통지해야 하고, 이 경우 통지의 방법은 서면, 전자우편, 팩스, 전화, 문자전송 등의 방법을 활용할 수 있다.

정당한 사유가 없는 한 5일 이내에 통지해야 하며, 통지의 내용에는 ①유출된 진료·개인정보 항목 ②유출된 시점 및 경위 ③유출로 인한 피해를 최소화하기 위해 정보주체가 할 수 있는 방법 등에 관한 정보 ④병원의 대응조치 및 피해 구제절차 ⑤피해 발생시 신고 등을 접수할 수 있는 담당부서 및 연락처가 포함되어 있어야 한다.

한편, 1만명 이상의 개인정보가 유출되면 5일 이내에 안전행정부나 한국정보화진흥원, 한국인터넷진흥원에도 신고해야 한다. 다만 이 경우 정보주체에의 개별 통지에 그쳐서는 아니 되고, 홈페이지에 유출통지 내용(위 5개 항목)을 7일 이상 게시해야 한다.

Q 24. 진료·개인정보가 유출됐을 때, 정보를 유출당한 환자가 취할 수 있는 절차는 어떤 것이 있는가?

진료·개인정보가 유출된 피해자의 경우는, ①한국인터넷진흥원의 개인정보침해신고센터(☏118, privacy.kisa.or.kr)에 신고할 수도 있고 ②병원과 분쟁이 있는 경우 분쟁조정위원회에 분쟁조정을 신청하여 조정을 받을 수도 있다. 분쟁조정으로 인하여 손해배상도 받을 수 있다. 조정은 자발적인 합의를 전제로 하므로, 일방이 불복하여 소송을 제기하게 되면 분쟁조정은 성립하지 않게 된다.

<유출시 손해배상책임>

Q 25. 진료·개인정보를 유출당한 피해자는 병원으로부터 손해배상도 받을 수 있는가?

진료·개인정보가 유출된 피해자는 개인정보보호법 제39조에 의하여, 병원에 대하여 손해배상청구를 할 수 있다. 이 경우 피해자인 원고는 병원의 의료법이나 개인정보보호법 위반 사실에 대하여 입증해야 한다.

그 밖에 진료·개인정보 유출에 대하여 책임이 있는 병원은 행정상 과태료, 형사적 처벌도 받을 수 있는 바, 피해자는 병원에 대하여 행정상 신고 또는 형사상 고소의 조치를 취할 수 있다.

<영상정보처리기기>

Q 26. 병원 내부의 근로자 모니터링을 위하여 CCTV를 설치할 수 있는가?

근로자참여 및 협력증진에 관한 법률 제20조 제1항 제14호에 의하면, 사업장 내 근로자 감시 설비의 설치에 대하여 근로자와 사용자로 구성되는 노사협의회에서 협의할 수 있다고 되어 있는 바, 회사 내부의 근로자 모니터링이 위법은 아니다.

따라서 병원의 사용자는 병원 내부에 근로자 모니터링 목적으로 CCTV를 설치할 수 있다. 더불어 CCTV가 설치된 회사 내부가 일반인에게 공개된 장소가 아니라면 개인주택의 경우처럼, CCTV에 관한 법령상의 의무 규정이 적용되지 않는다. 다만 병원 내부의 근로자 모니터링을 위한 CCTV라도 개인정보를 수집하고 있으므로 촬영범위에 있는 모든 사람들의 동의를 얻어야 하며, 만일 CCTV가 설치된 병원 내부의 장소가 일반인의 출입이 잦은 곳이라면 공개된 장소로 보아야 할 것이므로 CCTV에 관한 법령상의 의무 규정이 적용된다.

Q 27. 대형병원 안에 여러 대의 CCTV를 운영 중인데, 이 경우 CCTV마다 안내판을 설치해야 하는가?

건물 안에 여러 대의 CCTV를 설치하고 운영하는 경우, 출입구 등 사람들에게 잘 노출되는 곳에 해당 건물 안에 여러 대의 CCTV가 운영되고 있다는 내용으로 안내판을 설치하면 되고, CCTV마다 별도의 안내판을 설치할 필요는 없다. 다만 출입구가 여러 군데에 있어서 사람들의 동선이 일치하지 않은 경우에는 동선을 고려하여 출입구마다 별도로 안내판을 설치하는 것이 바람직하다.

Q 28. CCTV로 녹음도 가능한가?

택시 등 내부에 CCTV를 설치하면서 동시에 취객이나 승객과의 요금 분쟁을 미연에 방지하기 위하여 녹음기능도 활성화시키는 경우가 있다. 하지만 이러한 행위는 법령 위반에 해당한다. CCTV는 어떠한 경우에도 녹음을 해서는 안 된다. 택시 등의 내부에 꼭 녹음을 하고 싶다면, CCTV 영상장치와는 별도의 녹음기 등의 장치를 설치·이용해야 할 것이며 택시기사 스스로가 대화자인 경우에만 녹음이 가능하다. 나아가, CCTV 사용에 대하여는 반드시 승객들의 시선이 잘 미치는 곳에 미리 공지해야 하며, 불가피하게 별도의 녹음기를 사용해 할 경우에는 이 또한 미리 공지하는 것이 바람직하다.

Q 29. 범죄현장이 찍힌 병원 CCTV 영상자료를 피해환자 또는 수사기관에게 제공해도 되는가?

병원이 CCTV 영상자료를 피해환자에게 제공하는 것은 금지된다. 다만 CCTV 영상자료에 찍힌 정보주체의 동의가 있는 경우에는 가능하다.

CCTV 영상자료를 수사기관에 제공하는 것은 허용된다. 다만 이 경우에도 법원이 발부한 영장이 있어야 하는 것이 원칙이다. 그러나 정보주체 또는 제3자의 급박한 생명, 신체, 재산상 이익을 위해 필요한 경우에는 영장 없이 제공할 수 있는 바, 범죄현장에 관한 것이라면 형사소송법 또는 경찰관직무집행법상 수사기관의 협조요청만으로도 정보주체의 동의 없이 CCTV 영상자료를 제공할 수 있다. CCTV 영상자료를 제3자에게 제공하는 경우에도 사전에 점검하여 필요한 최소한의 범위에 한하여 제공해야 한다.

Q 30. 병원 안의 지갑 소매치기를 잡기 위하여 피해자에게 CCTV 영상자료의 열람을 허락해도 되는가?

정보주체가 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우에는 정보주체의 동의 없이 개인영상정보의 열람을 허락할 수 있다.

병원 안의 소매치기를 잡기 위하여 피해자에게 CCTV 영상자료를 보여주는 경우는 정보주체가 의사표시를 할 수 없는 상태이거나 주소불명 등으로 사전 동의를 받을 수 없고 나아가 급박한 재산의 이익을 위하여 필요한 경우이므로 정보주체의 동의 없이도 피해자에게 CCTV 영상자료의 열람을 허락해도 된다. 다만 이러한 경우라도 사전에 미리 점검하여 필요한 최소한의 범위 내에서만 열람을 허락해야 하고, 불필요한 영상이 노출되지 않도록 주의를 기울일 필요가 있다.

Q 31. CCTV 영상자료는 며칠이나 보유하고 있어야 하는가?

CCTV를 통하여 얻은 개인영상정보는 수집 이후 30일 이내에 파기하거나 삭제해야 한다. 다만 법령에 특별한 규정이 있는 경우, 개인영상정보를 수사나 재판 자료로 제공하는 경우, 기타 정당한 이유가 있는 경우에는 기간을 초과할 수 있다. 기타 정당한 이유가 있는 경우로는 CCTV 설치목적 등 설치자의 특성에 따라 CCTV 영상자료 보관 목적 달성을 위해 필요한 최소한의 기간이 30일을 초과하는 경우를 들 수 있다. 이 경우에는 영상정보처리기기 운영·관리지침에 사전에 이러한 내용이 반영되어 있어야 한다.

Q 32. IP를 활용한 네트워크 카메라를 설치·운영하고 있는 소규모 병원의 운영자인데, 이 경우에도 개인영상정보에 대한 안전성 확보조치를 모두 이행해야 하는가?

상시근로자 수가 광업·제조업·건설업 및 운수업의 경우 10인 미만, 그 밖의 업종의 경우 5인 미만인 사업장에 대하여는 안전성 확보조치 중에서 내부관리계획 수립 의무가 면제된다. 따라서 상시근로자수가 5인 미만인 병원이라면 내부관리계획의 수립은 하지 않아도 된다. 다만, 내부관리계획의 수립의무만이 면제되므로, 개인영상정보 안전성 확보에 관한 접근 통제 및 접근권한의 제한 조치, 개인영상정보를 안전하게 저장·전송할 수 있는 기술의 적용, 처리기록의 보관 및 위·변조 방지를 위한 조치 등은 취하여야 한다.

<향후 과제>

Q 33. 향후 진료정보에 관한 과제는 무엇이 있을까?

3가지가 중요과제라 생각한다. 현재 진료정보에 관한 과제는 2가지가 중요하게 거론된다. 첫째가 원격진료이고, 둘째가 빅데이터다. 원격진료란 ICT기술을 이용해 의사가 원거리에서 환자기록, 의료영상 등 각종 정보를 확인하고 진단, 처방하는 것을 말한다. 빅데이터란 기존의 분석도구 및 관리체계로는 감당할 수 없는 엄청난 양의 데이터를 말하며 이러한 데이터로부터 가치를 추출하고 결과를 분석하는 기술을 통칭한다.

원격진료, 빅데이터 모두 진료정보의 이용촉진과 관련되어 있다. 진료정보의 이용촉진으로 인하여 더 나은 보건의료 환경을 만들어갈 수 있으리라는 믿음에 기초한 것이고, 또 그렇게 되리라고 믿어 의심치 않는다. 그러나 이용촉진의 축이 높아지면, 정보보호의 축도 높아져야 한다. 관리적·기술적인 진료정보의 보호조치에 대해서도 긴장을 놓지 말아야 하는데, 세 번째 과제가 바로 진료정보의 보호 및 보안이라 할 수 있다.

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2013. 7. 8.) 기고.