개인정보보호법은 병의원과 약국 현장의 사소한 부분까지 규제한다. 정부가 현재는 법률준수 여부를 적극적으로 점검하지 않고 있어서 처분을 받는 사례가 거의 없지만 앞으로는 상황이 다르다.

그만큼 개인정보보호법에 대한 관심과 교육이 중요해 보인다.

보건복지부 이형훈 보건의료정책과장은 전문기자협의회와 만나 '현장에서 개인정보보호법을 잘 몰라서 위반하는 (대표적인) 사례' 다섯가지를 공개했다.

20일 공개내용을 보면, 먼저 대다수 의원급 의료기관은 신규환자 종이 접수장을 활용하고 있다. 환자이름과 주민번호, 주소, 전화번호, 증상 등을 적도록 한다.

이 종이 접수장 내용은 해당 의원 OCS에 입력되는 데, 입력 이후에는 종이 접수증 파기계획을 자체적으로 수립해 유출되지 않도록 잘 보관한 뒤 단시간 내에 파기해야 한다.

의료기관이 종이로 처방, 진료기록을 작성한 뒤 OCS 등에 입력한 경우 종이 처방과 진료기록도 접수증과 동일하게 파기해야 한다.

또 의료기관과 약국이 OCS, EMR, 건강보험청구 SW, 약국경영관리시스템을 외주 전산업체와 위·수탁 계약을 체결해 운영하는 경우에는 수탁자(외주 전산업체 명의)와 위탁한 업무사항을 공개해야 한다

계약서 자체를 공개하는 것은 아니지만 홈페이지가 있는 경우엔 홈피에, 없으면 요양기관 내에 공개해야 할 내용을 게시해야 한다.

여기다 외주 전산업체와 위·수탁 계약을 체결할 때는 행자부가 제공하는 표준계약서 내용을 사용해 반영하는 것도 의무사항이다.

이와 함께 의료법, 약사법, 건강보험법 등 관련 법률에 따라 환자의 개인정보를 수집·이용하는 경우 개인정보동의서를 받을 필요는 없다.

불필요하게 받은 동의서를 파기하지 않고, 이면지로 활용하거나 쓰레기통에 버리는 행위가 개인정보보호법 위반이 된다.

또 요양기관 내 다른 진료과에서 수집한 환자 개인정보를 다른 과나 해당 과에서 진료목적이 아닌 연구 등의 목적으로 사용하려면 환자가 식별될 수 있는 개인정보는 삭제해야 한다.

이와 관련 이 과장은 "심사평가원이 수행하는 개인정보보호 자율점검 교육이 개인정보 유출사태로 인해 요양기관이 받지 않아도 되는 교육을 강제로 받게 된 것이라고 불만을 표출하는 목소리가 있는 것으로 안다"고 말했다.

그는 이어 "이번 교육이 이번 사태로 촉발된 건 맞지만 한마디로 오해"라고 지적했다.

그러면서 "요양기관은 개인정보보호법을 반드시 지켜야 하고 위반하면 강력한 형사처벌이나 과태료 처분을 받는다"면서 "자율점검 교육을 통해 법률을 잘 숙지하고 정부 합동점검 등에 대비할 필요가 있다"고 강조했다.