Transcript 개인정보보호법

의료기관을 위한
개인정보 보호의 이해
2014. 4.
요양기관정보화지원협의회
개인정보보호 필수 조치사항 (생활화)
개인정보보호 필수 조치사항 (생활화)
Ⅰ. 개인정보 개요

해킹 또는 유출 위험에 놓인 개인정보는 주민등록번호나 주소,전화번호뿐만이 아니다.

개인이나 가족의 질병 병력까지 담긴 의료정보도 관리 사각지대에 놓여 있다.
주민번호 노출되면 “과태료 5억”, “기관이미지 실추”
농협,신한,국민카드
등 20여 만 명
정보유출(2014년 4월)
발생일자
유 ㆍ 노출 내용
출 처
2006.10.03
부산 모 대학병원에서 내부직원에 의해 사망한 환자 주민등록번호 유출
2006.10.24
20여개 병원에서 환자 개인정보를 유출해 신용정보업체에서 채권추심에 사용
2007.10.11
전주 모 병원에서 내부직원에 의해 환자개인정보 무단유출로 선거인단에 불법 등록
경향신문
2007.10.12
익산 모 병원 간호조무사는 애인의 부탁을 받고 9,800여명의 환자 개인정보를 무단유출
(불법 도박 사이트 가입에 활용)
국민일보
2009.05.19
유명 여자연예인에 대한 진료기록 일부 유출
노컷뉴스
2010.02.03
국군 모 병원에서 신검 정밀의뢰서로 사용한 이면지 개인의료정보 유출
경향신문
2011.05.04
전직 대통령의 X-선 사진 무단 유출
2011.09.29
8개 대형병원에서 본인동의 없이 22만 여명의 환자 개인정보를 보건의료연구원에 불법 제공(국감)
보안뉴스
2012.03.13
서울시장 아들의 의료정보 무단유출
뉴 데일리
2012.04.18
고물상에 병원처방전 폐기 처분
C뉴스041
2012.08.20
국립의료기관에서 환자 민감정보가 담긴 병력지를 이면지로 사용
노컷뉴스
2012.09.28
600여 개 산부인과에서 의료기기 판매대행 업체에 환자 개인정보 23만 건 유출
조선일보
2012.10.31
구글 검색으로 모 산부인과 홈페이지에서 회원 개인정보 17여 만건 무단유출
한국일보
2013.08.07
모 통신사 전자챠트(진료비 청구 S/W) 설치 의료기관에서 동의없이 개인정보 3자 제공
청년의사
2013.08.29
부산 D 대학병원 `의료정보` 해킹, 개인 의료정보 해커에게 고스란히 노출
2013.10.02
해킹에 의한 국내 성형외과의 환자 개인정보 유출
2014.02.27
의협 등 의약 단체
225개 사이트 1,700만 건 유출 (2014.2.27)
출 처 : “MPIS 2014 의료기관 개인정보보호 ㆍ 정보보안 “
한국정보화 진흥원 자료 참조
부산일보
MBC
데일리 메디
MBC
JTBC TV
방송 3사 등
목차
개인정보 개요
개인정보보호법
의료기관 개인정보 적용
의료기관 개인정보 실무
의료기관 개인정보보호 상담사례
1
Ⅰ. 개인정보 개요
개인정보란란 생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 당해
개인정보
개인을 식별할 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보
개인 기본정보
개인 신상정보
개인을 식별하기 위한 최소한의 정보
개인의 신체적 특징 및 주변 정보
주민등록번호, 여권번호 등
결혼사항, 위치정보, 직업 등
개인 금융정보
개인 의료정보
재산, 신용 등 경제 상황에 대한 정보
신체적/정신적 상태와 진료 기록정보
신용등급, 통장, 부동산 등
치료/진료내역, 혈액형 등
2
Ⅰ. 개인정보 개요


사자에 대한 정보는 ?
법인ㆍ단체에 관한 정보는 ?
Ⅰ. 개인정보 개요
개인정보 Life-Cycle 단계별 유형
보유
이용
동의/승인 없는 불법
수집
허용되지 않은
장소(매체)에 저장
목적 외 이용, 2차
악용
악성코드, 인증 및
접근통제 취약으로
유출/위변조/손실
암호화, 접근 통제
취약으로 해킹 발생
 유출/위변조/손실
악성코드, 인증 및
접근통제 취약으로
유출/위변조/손실
검토 항목
위험 유형
수집
 수집인
or 시스템
 수집방법:
WEB(WAP),
신청서, FAX, 시스템
/DB 연동 등
 저장장소(매체)
: PC,
파일서버, DB, 로그 등
 저장
형태: 평문,
암호화, ‘*’마스킹 등
 이용인
 이용
or 시스템
방법 : 화면조회,
출력, 파일 저장 등
제공
동의/승인 없는 불법
제공
파기
완전 파기
미흡으로 악용
암호화, 접근통제
취약으로 해킹 발생
 제공인
or 시스템
 제공대상
 제공
방법 : 시스템/DB
연동, 대량파일 전송 등
 파기인
or 시스템
 파기방법:
DB삭제,
HDD포맷, 전송후
파기, 서류파쇄 등
개인정보 Life-Cycle 단계별 위험을 고려하여 흐름 관리 필요
개인정보 흐름 및 위험수준 모니터링
3
Ⅱ. 개인정보보호법
개인정보보호법은 왜 만들어졌나?

배경
⇒ 개인정보 활용범위 및 가치가 증대되고 개인정보 침해 사고가 빈번히 발생되어
체계적인 대응 필요성
⇒ 개별법 간 상이한 법 적용으로 사각지대 발생
⇒ 규범을 일원화하여 개인정보를 취급하는 모든 공공.민간부문의 보호조치 의무화
의료기관 개인정보보호의 필요성

의료기관은 국민들의 중요한 개인정보(주민등록번호, 질병 정보 등 )를 수집·처리

민감정보가 포함된 진료정보 유출 시 심각한 사생활 침해 발생 가능
⇒ 철저한 개인정보 관리 및 보호 필요
4
Ⅱ. 개인정보보호법
제 1 장 총칙
- 목적, 용어의 정의, 개인정보보호원칙, 정보주체의 권리, 국가 등의 책무 다른 법률과의 관계 등
제 2 장 개인정보보호정책의 수립 등
- 개인정보보호위원회, 기본계획·시행계획 수립, 개인정보보호지침, 자율규제촉진 및 지원 국제협력 등
개
인
정
보
보
본
문
9
장
제 3 장 개인정보의 처리
- 수집·이용·제공 등 처리기준, 민감정보·자료제출요구 등, 고유식별정보 제한, 영상정보처리기기 제한 등
제 4 장 개인정보의 안전한 관리
76
개
조
문,
- 안전조치의무, 처리방침 수립·공개, 책임자지정·개인정보파일 등록,공개, 개인정보영향평가, 유출통지제도
제 5 장 정보주체의 권리 보장
- 열람요구권, 정정·삭제요구권, 처리정지요구권, 권리행사방법 및 절차, 손해배상책임 등
호
법
부
칙
제 6 장 개인정보분쟁조정위원회
- 설치·구성, 분쟁조정의 신청방법·절차, 효력, 집단분쟁조정제도 등
제 7 장 개인정보 단체소송
– 단체소송 대상, 소송허가요건, 확정판결의 효력 등
제 8 장 보칙
- 적용제외, 금지행위, 침해사실신고, 시정조치 등
제 9 장 벌칙
– 벌칙, 과태료 및 양벌규정 등
부칙 : 시행일, 경과조치, 다른 법률의 개정 등
☞ 개인정보보호법 전면 시행( 2011.9.30.) – 행정처분 유예기간 종료 (2012.3.29) 최종개정
5
Ⅱ. 개인정보보호법
주요개정 사유
[2014. 3 . 24]
국가사회 전반을 규율하는 개인정보 보호원칙과 처리기준 마련
최근 카드사 등에서 대규모의 개인정보 유출 사고가 빈번하게 발생하여 사회문제가 되고,
개인정보가 유출될 경우, 무분별하게 상업적으로 활용되거나, 각종 범죄에 악용되는 등
2차 피해가 발생할 수 있으므로 유출 시 피해를 최소화하기 위한 대책 필요
특히 주민등록번호를 보관하는 개인정보처리자는
주민등록번호를 암호화 하도록 의무화 하려는 것임.
6
Ⅱ. 개인정보보호법
주요개정 내용
⊙법률 제12504호
[2014. 3 . 24]
제1조(목적) “국민의 권리와 이익을 증진하고” → “개인의 자유와 권리를 보호하고”
제2조 2호 중 처리란 "생성,"을 "생성, 연계, 연동, 기록,저장,보유,가공,편집~ 파기 ~ 유사한 행위 ,"로
한다.
제24조의 2 개인정보처리자는 제24조 제3항에도 불구하고 주민등록번호가 분실·도난·유출·변조 또는
훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다.
③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는
그 고유식별정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록
대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.
제75조 (과태료)
② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. [개정 2013.8.6, 2014.3.24] [[시행일 2016.1.1]]
5. 제24조의2제3항을 위반하여 정보주체가 주민등록번호를 사용하지 아니할 수 있는 방법을 제공하지 아니한 자
제24조의2 및 제75조 제2항 제5호의 개정규정은
2016년 1월 1일부터 시행한다
7
Ⅲ. 의료기관 개인정보 적용
1. 의료기관의 개인정보 기록(범위)
환자정보를 기록하는 서류 목록
1.
외래초진
16. 마취기록, 마취 전 상태평가
2.
외래경과
17. 수술기록
3.
퇴원기록
18. 수술간호기록
4.
임상관찰내역
19. 회복간호기록
5.
의사지시
20. 검체 검사 보고서, 영상검사보고서, 병리검사보고서
6.
초기간호정보
21. 기능검사보고서
7.
간호일지
22. 중환자간호기록
8.
간호활동수행기록
23. 투석간호기록
9.
퇴원간호계획
24. 진단서, 소견서 등
10. 입원초진
25. 스캔자료
11. 입원경과
26. PACS (영상검사결과)
12. 과별서식
27. 단기입원기록
13. 타과의뢰
28. 전과기록
14. 수술, 마취, 검사 동의서
29. 처방전
15. 수술 간호상태 확인표
30. 조제기록부 등
8
Ⅲ. 의료기관 개인정보 적용
2. 개인정보 보호 법령의 적용(1)

개인정보보호법은 개인정보 처리에 관한 사항을 규정한 일반법

의료분야를 규율하는 법령 등에 환자나 의료기관 등의 개인정보 처리와 관련된 특별한 규정이 있으면
해당 법령이 우선 적용
구분
개념
일반원칙
진료정보
○ 진료를 목적으로 수집하는 개인정보
- 진료기록부, 수술기록부, 간호기록부, 환자명부 등
○ 의료법에 규정이 있는 경우 의료법을 우선 적용
일반 개인정보
○ 홈페이지 회원정보, 홍보를 위한
연락처 등 일반적인 개인정보
○ 개인정보보호법 적용
- 타 법령에 규정되지 않는 경우
○ 개인정보보호법 제15조
○ 의료법 제22조(시행규칙 제14조)
수집·이용
- 동의 없이 수집 가능(진료목적으로만 사용)
- 진료목적 외 수집 시 반드시 동의 필요
- 동의를 받아 수집 가능
- 타 법령에 규정한 경우
(목적, 항목, 보유/이용기간, 거부 시 불이익에 대한 사항
정보주체에게 알리고 각각 개별 동의 )
9
Ⅲ. 의료기관 개인정보 적용
2. 개인정보 보호 법령의 적용(2)
구분
관리
제공·열람
정정·삭제 등
요구사항 처리
보관 및 파기
진료정보
일반 개인정보
○ 개인정보보호법
- 제26조 : 위탁 시 문서로 위탁, 위탁사실 공개
- 제29조 : 안전한 관리(접근통제, 암호화, 접속기록보관, 물리적 보호조치 등 안전성 확보조치)
- 제30조 : 개인정보처리방침을 수립하여 공개
- 제31조 : 개인정보보호책임자 지정
○ 의료법 제21조
- 정보주체 외에는 제공할 수 없음
* 다른 법률 근거, 특별규정 열거
○ 개인정보보호법 제18조②, 제35조④
- 정보주체 외에는 제공할 수 없음
* 다른 법률 근거 시 제공 가능
○ 의료법 제22조, 제23조
- 정정·삭제 할 수 없음
○ 개인정보보호법 제35조, 제36조
- 정보주체 요구 시 가능
* 다른 법률 근거 시 예외 적용
○ 의료법 시행규칙 제15조
○ 개인정보보호법 제21조
- 최소 보유기간 이상 보관
- 진료목적상 필요 시 연장보관 가능
- 보유목적이 달성되면 즉시 파기
10
Ⅲ. 의료기관 개인정보 적용
2. 개인정보 보호 법령의 적용(3)
구분
진료정보
○의료법 제40조
이관
- 폐·휴업 시 관할 보건소장에게 진료기록 이관
- 보건소장의 허가를 받은 경우 계속 보관 가능
※ 허가사항 변경 시는 의료기관이 유지되는 것으로 봄
유출, 침해 대응
일반 개인정보
○ 개인정보보호법 제27조
- 의료기관 변경 시 정보주체에
게
이관사실을 알려야 함
○ 개인정보보호법 제34조
- 정보주체에게 유출사실 통보, 1만건 이상일 경우 안전행정부 또는 전문기관(NIA, KISA)에 신
고
○ 개인정보보호법 제62조, 제63조
- 정보주체가 침해신고센터에 침해사실을 신고한 경우 조사에 협조
영상정보처리기
기 운영
○ 개인정보보호법 제25조
- 대기실 등 공개된 장소에 CCTV 설치 시 반드시 안내판 설치
○ 개인정보보호법 제15조
- 진료실, 수술실 등 비공개 장소에 CCTV를 운영하려면 정보주체의 동의를 받아야 함
11
Ⅳ. 의료기관 개인정보 실무
1. 개인정보의 단계별 조치요령(제3장 수집·이용)
동의 없이 가능한 경우
▶ 진료목적으로 수집하는 개인정보
·진료기록부(의료법 제 22조, 의료법 시행규칙 제 14조)
·예방접종안내는 진료(일반적 접종안내는 진료목적에 포함되지 않음)
·병원 이전이나 휴업 안내(진료예약 검사 등과 연결되므로 가능)
▶ 의료기관 직원의 인사관리 정보는 근로계약 체결과 이행에 관련된 필수정보
(인사·노무관련 가이드라인 참조)
※ 수탁자가 개인정보보호법을 위반하여 손해배상 책임이 있는 경우 개인정보처리자 (위탁자)의 소속직원으로 간주 함
동의를 받아야 가능한 경우
▶ 진료정보를 진료목적 외 다른 용도로 이용
·의료기관 홍보, 홈페이지 회원 관리 등 진료와 관련 없는 개인정보 수집 시
12
Ⅳ. 의료기관 개인정보 실무
2. 영상처리기기 설치 및 운영(제3장 25조)
공개된 장소의 영상정보처리기기 설치
Ο 공개된 장소: 정보주체가 접근하거나 통행 시 제한을 받지 아니한 장소
- 병원 내 대기실, 접수대, 휴게실, 주차장 등
※ 개인의 사생활(진료실, 수술실 등) 침해가 우려되는 장소는 CCTV 설치·운영 안 됨
(예외)법령에서 허용, 범죄 예방·수사, 시설안전·화재 예방, 교통단속, 교통정보의 수집분석 및 제공

공개된 장소에 설치된 영상정보처리기기는 안내판 설치 필요
안내판 기재 내용
1.
2.
3.
4.
설치 목적 및 장소
촬영 범위 및 시간
관리책임자의 성명(직책) 및 연락처
(위탁 받은 자가 있는 경우) 위탁 받은 자의 명칭 및 연락처
※ 영상정보처리기기는 임의로 조작하거나 다른 곳을 비춰서도 안되며 녹음은 금지
13
Ⅳ. 의료기관 개인정보 실무
3. 개인정보의 단계별 조치요령(제4장 관리의무)

개인정보보호법 제29조(안전조치 의무)
- 의료기관은 개인정보의 안전한 처리를 위해서 관리적·기술적·물리적 조치를 취해야 함
조치사항
안전성 확보조치 내용
관리적 보안
(대상) 상시 근무 인원 5인 이상인 사업장(안전행정부 ‘개인정보 보호지침’)
(내용) 개인정보 처리방침 수립, 공개(목적, 기간, 제3자 제공, 위탁에 관한 사항 등)
개인정보보호 책임자 지정, 개인정보취급자 감독, 개인정보 유출 통지 등
* 홈페이지 보유기관은 홈페이지에 공개(미 운영 기관은 접수창구에 비치)
기술적 보안
(접근통제) 업무용PC를 이용하는 경우 윈도우 운영체계에서 제공하는 방화벽 설치
(접근제한] 개인정보처리시스템 접근을 최소화, 권한 부여,변경 등(기록 3년 보관)
* 고유식별정보, 비밀번호 등 저장 및 전송 시 암호화
(접근보호) 업무용PC에 보안 프로그램(백신소프트웨어) 설치
(비밀번호) 제3자가 쉽게 추측할 수 없도록 9자리 이상, 최소 6개월마다 변경
물리적 보안
개인정보가 담긴 서류나 보조저장매체 등의 보관을 위해 캐비닛이나 보관함 마련
14
Ⅰ. 개인정보 개요
Ⅳ. 의료기관 개인정보 실무
4. 개인정보의 단계별 조치요령(제5장 권리보장)
개인정보의 제공·열람
▶ 의료인이나 의료기관 종사자는 환자가 아닌 다른 사람에게 환자에 관한 기록을 열람하게
하거나 사본을 내주는 등 내용을 확인하게 해서는 안 됨
※ 다만 법령에서 요구· 허용하거나 법령에서 정한 요건을 갖춘 경우 가능
개인정보의 정정·삭제 등
▶ 의료법에 따라 수집하고 보존기간 동안 보관하도록 명시된 의료정보에 대해서는
정보주체가 삭제를 요구할 수 없으며, 임의 수정할 수 없음
※ 의료법 제 22조 (진료기록부 등), 제23조(전자의무기록), 개인정보 보호볍 제 36조 (개인정보의 정정·삭제)
▶ 정보주체가 열람·처리정지·수정·삭제 등을 요구 시 10일 이내에 요청에 대한 처리
※ 개인정보 보호법 제 35조(개인정보의 열람), 제36조(개인정보의 정정·삭제)
15
Ⅳ. 의료기관 개인정보 실무
5. 개인정보의 단계별 조치요령(제3장 파기)
 진료정보의 보유기간
 진료정보는 법령에 명시된 기간 동안 보존해야 하며, 의료법상 명시된 기간은 최소 보존기간으로 연장가능
 진료기록부상 성명, 주소, 주민등록번호 등 개인정보는 최종 진료일로부터 의료법상
보존기간 동안 보유하여야
함
<진료기록의 보존기간>
1. 환자명부: 5년
2. 진료기록부: 10년
3. 처방전: 2년
4. 수술기록: 10년
5. 검사소견기록: 5년
6. 방사선 사진 및 그 소견서: 5년
7. 간호기록부: 5년
8. 조산기록부: 5년
9. 진단서 등의 부본 (진단서, 사망진단서 , 시체 검안서 등을 따로 구분하여 보존할 것) : 3년

개인정보 보유기간 경과, 처리 목적 달성 등 불필요하게 되었을 때 지체 없이 파기
16
Ⅳ. 의료기관 개인정보 실무
6. 분쟁조정위원회 및 단체소송(제6장, 제7장)
개인정보 분쟁조정위원회(제6장 47조)

개인정보와 관련한 분쟁의 조정을 원하는 자 → 분쟁조정위원회에 분쟁조정 신청

분쟁 조정안을 작성하여 당사자에게 제시

조사대상 침해행위의 중지

원상회복, 손해배상 그 밖의 구제조치

같거나 비슷한 침해의 재발을 방지하기 위해 필요한 조치
☞ 15일 이내에 당사자가 수락여부를 알리지 아니하면 조정 거부로 함

집단분쟁조정[법제49조] : 국가, 지방자치단체, 개인정보 보호단체 등 일괄적인 분쟁조정
개인정보 단체소송[제7장 51조]

집단분쟁조정을 거부하거나, 결과를 수락하지 아니한 경우
* 『소비자기본법』에 따라 등록된 단체 : 권익증진, 정회원수 1천명, 등록 3년경과
* 『 비영리민간단체 지원법 』에 따른 비영리민간단체
: 동일침해 100명이상, 3년이상 단체 활동실적, 회원수 5천명이상, 중앙행정기관 등록
17
Ⅳ. 의료기관 개인정보 실무
개인정보보호법 의무사항 및 위반 시 벌칙
구분
수
집
ㆍ
주요내용
처벌 및 벌금(과태료)
민감정보(사상ㆍ신념,노조ㆍ정당 가입, 건강, 성생활 등) 처리기준 위반(제23조)
5년 이하 징역 또는
5천만원 이하 벌금
부당한수단이나방법에의해개인정보를취득하거나개인정보처리에관한동의를얻는행위(제59조)
3년 이하 징역 또는
3천만원 이하 벌금
탈의실ㆍ목욕실 등 CCTV 설치 금지 위반(제25조)
5천만원 이하 과태료
정보주체의 동의 없는 개인정보 제3자 제공(제17조)
5년 이하 징역 또는
5천만원 이하 벌금
개인정보 주체에게 알려야 할 사항을 알리지 아니한 자(제15조, 제17조, 제18조, 제26조)
3천만원 이하 과태료
개인정보의 누설 또는 타인 이용에 제공(제59조)
5년 이하 징역 또는
5천만원 이하 벌금
이
용
제
공
관
리
의
무
권
익
CCTV 설치목적과 다른 목적으로
임의 조작하거나
또는 녹음기능을 사용한 자(제25조)
다른 곳을 비추는 자
직무상 알게 된 비밀을 누설하거나 직무상 목적 외 사용한 자(제60조)
3년 이하 징역 또는
3천만원 이하 벌금
개인정보의 정정ㆍ삭제요청에 대한 필요한 조치를 취하지 않고,
개인정보를 계속 이용하거나 제3자에게 제공한 자(제36조)
2년 이하 징역 또는
1천만원 이하 벌금
정보주체의 정정ㆍ삭제요구에 따라 필요 조치를 취하지 아니한 자(제36조)
3천만원 이하 과태료
파기 개인정보 미파기(제21조)
3천만원 이하 과태료
18
Ⅴ. 의료기관 개인정보보호 상담사례
개인정보의 수집·이용
Q: 모든 병원에서 환자의 개인정보 수집.이용 동의서를 꼭 받아야 하나요?
A: 아닙니다. 병원의 개인정보 수집이용 목적에 따라 동의서 동의 여부를 결정
Q: 네트워크 병원의 경우 a라는 지점에서 진료 후 다른 지점에서 진료를 받을 때
진료정보를 공유 받아 수집·이용할 수 있나요?
A: 환자나 환자 보호자가 동의할 경우에만 가능합니다.
Q: 진료실 앞 모니터에 대기자 명단을 게시하고 있는데, 이 때 환자의 이름을 전체
다 표시해도 되는지?
A: 가능하나, 민감한 진료과에서는 이름 중 일부를 *표 처리 바람직 함.
Q: “SMS, DM등 병원 홍보에 따른 개인정보 활용에 동의합니까?”라고 한 줄로
압축해서 동의 받아도 되는지?
A: 아닙니다. (아래의 내용에 따라 동의)
○ 개인정보의 수집·이용 목적, 항목, 보유 및 이용 기간, 불이익의 내용 등
○ 거부할 권리가 있다는 사실 및 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
Q: a, b가 공동개원을 하다가 a가 독립해 나갈 경우, 진료정보를 복사 할 수
있는지?
A: 진료정보를 임의로 복사할 수 없음
19
Ⅴ. 의료기관 개인정보보호 상담사례
개인정보의 관리
Q : 의료기록 서류 보관 시 별도의 보관시설, 잠금 장치 등 물리적 조치 취해야 하나?
A: 보관시설을 마련하거나 잠금 장치를 설치(법제29조, 시행령 제30조)
Q : 위탁업체를 통해 검사결과 안내, 예약안내 등 위탁사실에 대하여 동의 ?
A: 위탁자(병원 등)가 정보주체에게 알리는 것으로 갈음 (시행령 제28조)
개인정보의 제공·열람
Q :전화상으로 환자의 입원여부를 묻거나 입원병실을 묻는 경우 알려줘도 되는지?
A: 입원 여부를 환자의 동의 없이 알려 주는 경우 의료법에 저촉될 수 있습니다.
Q : 외부에서 전화를 통해 환자진료정보에 관하여 문의 때 알려줘도 되는지?
A: 전화를 통해 환자진료정보를 알려주는 것은 의료법 위반
(의료법시행규칙 제13조 2: 제출서류 구비하여 제출)
Q : 경찰서에서 수사를 위해 진료기록 요청한 경우 제공해야 하는지?
A: 자료가 환자의 진료기록에 관한 것이라면 의료법을 우선 적용(의료법 제21조)
○ 공공기관의 범죄의 수사와 공소의 제기 및 유지 경우 동의 없이도 제공 가능
20
정부동향 등 개인정보보호 관련 안내
2013년도 현장점검결과
Ⅵ. HIRA Services (정부 동향)
정부동향 : 개인정보보호 인증제 실시
개인정보 보호 인증제의 법률적 근거 :
｢개인정보 보호법｣ 제13조(자율규제의 촉진 및 지원)
안전행정부장관은 개인정보처리자의 자율적인 개인정보 보호활동을 촉진하고 지원하기 위하여
다음 각 호의 필요한 시책을 마련하여야 한다.
3. 개인정보 보호 인증마크의 도입·시행 지원( KISA, NIA 등 )
( 기관당 최소2천 만원 이상 소요 추정 )
「개인정보 보호 인증제 운영에 관한 규정」
제28조(인증취득기관의 혜택)
① 안전행정부장관은 인증취득기관에게 「개인정보보호법」에 따라 실시하는 기획점검 대상 제외
또는 실시 유예, 행정처분 감경 등의 혜택을 줄 수 있다.
[ 과태료 600 ~ 1000만원 이상]
② 안전행정부장관은 인증취득기관에게 개인정보 보호 우수기관 포상, 개인정보 보호 인증 관련
교육기회 및 정보제공, 행사 참여기회 제공 등의 혜택을 줄 수 있다.
복지부 : 민간의료기관 보안관제 확대 및 개인정보보호 관리를 위한 방안 고민 중
Ⅵ. HIRA Services (대응방향 : 의약단체 및 심사평가원)
요양기관 개인정보보호 수준진단을 위한 자율점검 서비스 추진
요양기관
의
약
단
체
정보화지원 협의회
요양기관 정보보호
자율점검 서비스 추진단
점검팀 점검팀 점검팀 점검팀
자
자
자
율
율
율
점
점
점
검
검
검
자율점검 서비스 신청 요양기관
심
사
평
가
원