7월1일부터 정보통신망법 시행규칙이 시행됨에 따라 의료기관에서의 개인정보보호 의무가 강화된다.

개인정보보호 관련법에 추가 지정된 준용사업자로는 의료기관을 포함한 14개 업종, 약 22만개 업체다.

이에 행정안전부는 최근 대한병원협회에 준용사업자로서 준수해야할 개인정보보호 법적 의무사항을 통보하고, 회원병원에 대한 홍보 및 교육을 당부했다

의료기관은 개인정보보호 관련 책임자를 지정하고 고객의 개인정보를 보호할 수 있도록 관리적, 기술적 보호조치를 취해야 한다.

정보통신망 이용촉진 및 정보보호에 관한 법률의 개인정보 처리 단계별 주요 의무사항을 보면, 개인정보 수집(법 제22조~제23조)에 있어 수집 및 이용목적, 수집항목, 보유 및 이용기간 등 3가지 사항을 이용자가 명확히 인지하고 동의를 획득한 후 개인정보를 수집해야 한다.

만 14세 미만의 아동은 법정대리인(부모)에게 직접 동의를 받아야 하고, 위반시 5년 이하 징역 또는 5천만원 이하 벌금 및 과징금을 물게 된다.

웹사이트 회원 등록 시 주민등록번호 대신 가입할 수 있는 방법을 제공해야 하며, 위반시 3천만원 이하의 과태료를 받게 된다. 단 일일 평균 방문자 5만 이상인 포털 또는 1만명 이상인 일반 사이트에 해당된다.(병원에서는 서울아산병원만 해당)

개인정보 이용 및 제공(법 제24조)에서 정보수집시 동의 받은 목적과 다른 목적으로 개인정보 이용 금지하고, 제3자에게 제공 시 제공받는 자, 제공목적, 제공항목, 보유 및 이용기간 등에 대해 개별 동의를 받아야 한다.(벌칙-5년 이하 징역 또는 5천만원 이하 벌금 및 과징금)

개인정보 위탁(법 제25조)은 개인정보 취급업무를 제3자에게 위탁 시 위탁받는 자, 위탁 업무내용에 대해 이용자에게 알리고 동의를 받아야 한다.(벌칙-5년 이하 징역 또는 5천만원 이하 벌금 및 과징금)

서비스제공 관련 계약 이행을 위한 위탁일 경우에는 이용자에게 고지해야 하고, 위반시 2천만원 이하의 과태료가 부과된다.

영업의 양수 등에 따른 개인정보 이전(법 제26조)에 대해서는 영업의 전부 또는 일부의 양도 합병으로 이용자의 개인정보를 다른 사람에게 이전할 경우 이전사실, 이전받는 자, 동의철회 방법을 통지해야 하며, 위반시 2천만원 이하의 과태료를 받게 된다.

개인정보 관리적·기술적 조치(법 제27조~제28조)로는 개인정보관리책임자 지정 및 개인정보취급방침을 이용자에게 공개(과태료-2천만원 이하)하고, 개인정보의 분실·도난·노출·변조·훼손 방지를 위해 기술적·관리적 조치를 수행해야 한다.(과태료-3천만원 이하)

직무상 알게 된 개인정보를 훼손·침해·누설하거나 제공받아서는 안된다.(벌칙-5년 이하 징역 또는 5천만원 이하 벌금)

개인정보 파기(법 제29조)는 이용목적 달성, 보유 및 이용기간 종료, 사업 폐지 등에 해당되는 경우 개인정보를 지체 없이 파기해야 한다.(과태료-3천만원 이하)

이용자 권리(법 제30조)에 있어서 이용자의 동의철회, 열람, 정정요구에 대해 즉시 조치해야 하고, 개인정보 수집방법보다 쉽게 제공해야 한다.(과태료-3천만원 이하)

오류 정정 조치를 완료할 때까지는 해당 정보를 이용·제공하는 것도 금지된다.(벌칙-5년 이하 징역 또는 5천만원 이하 벌금)

한편 대한병원협회는 회원병원의 효율적인 정보관리를 위해 다양한 대책을 마련하고 있다.