개인정보보호 자율규제 자율점검을 준비하는 병원들은 개인정보보호 수집 및 동의, 제3자 제공 등을 위한 동의 서식 작성과 문구 등을 면밀히 검토할 필요가 있어 보인다.

옥은택 ㈜포유시큐리티 대표는 9월 30일 서울 코엑스에서 열린 ‘2021년 대한병원정보협회 학술대회’에서 △개인정보 수집·이용 동의 △개인정보 최소 수집 △홍보·마케팅 등 선택정보 별도 동의 △개인정보 제3자 제공 동의 등에 필요한 유의 사항을 설명하면서 그 서식과 문구를 자세히 살펴야 한다고 강조했다.

먼저 개인정보 수집 시 동의 안내 4가지 필수사항으로 개인정보 수집 및 이용목적, 수집하는 개인정보 항목, 개인정보 보유 및 이용 기간, 동의를 거부할 수 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용 등을 꼽았다.

특히 개인정보 수집 동의 4가지 필수사항 작성 시 ‘중요내용’ 및 ‘중요내용 표시방법’을 제대로 준수하고 있는지 확인이 필요하다고 했다.

여기서 말하는 ‘중요내용’은 △개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에 연락할 수 있다는 사실 △처리하는 개인정보의 항목 중 다음의 사항(개인정보보호법 시행령 제18조에 따른 민감정보, 개인정보보호법 제19조 제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허증의 면허번호 및 외국인등록번호) △개인정보의 보유 및 이용기간(제공 시에는 제공받는 자의 보유 및 이용기간을 말한다) △개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적 등이다.

또 ‘중요내용 표시방법’은 △글씨의 크기는 최소한 9포인트 이상으로 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것 △글씨의 색깔, 굵기 또는 밑줄 등을 통해 그 내용이 명확히 표시되도록 할 것 △동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분해 표시 등을 해야 한다.

옥 대표는 “진료목적 이외에 다른 곳에 활용한다는 목적을 두게 될 경우개인정보보호법에 기반해 정확하게 동의를 받을 수 있도록 해야 한다”면서 “진료목적이 아니면 오히려 불이익이 있을 수 있는 만큼 동의서 서식을 면밀히 살펴봐야 한다. 홈페이지 가입 서식도 반드시 점검이 필요하다”고 말했다.

다시 말해, 진료목적 외 서식이 있는지, 개인정보보호법 제22항을 준용하고 있는지 꼭 확인이 필요하다는 것.

옥 대표는 “추가적으로 병원은 진료목적으로 주민번호를 수집할 수 있지만 진료목적 외에는 주민번호를 수집해서는 안되며 진료목적 외 민감정보도 별도 동의를 받아야 한다”고 설명했다.

증빙자료 제출과 관련해선 온라인으로 회원가입을 받는 경우 회원가입 홈페이지 화면에서 개인정보 수집 동의 4가지 필수사항을 안내하고 있는 화면을 캡쳐하고 회원가입을 해야 서비스 신청이 되는 경우 홈페이지 회원가입 시 개인정보 수집 동의 4가지 필수사항을 안내하고 있는 화면과 서비스 신청 화면을 캡쳐해 제출해야 한다.

반면, 오프라인(방문, 전화)으로 동의를 받는 경우에는 서식스캔, 전화 동의시 안내된 녹음파일 또는 안내 매뉴얼을 제출해야 한다.

또한, 중점 자율점검 항목 하나인 ‘개인정보 수집 시 수집항목 최소화’는 고객에게 개인정보를 수집하는 경우 업무에 꼭 필요한 개인정보만 수집해야 하고 홈페이지 회원가입, 병원 진료목적 외 서비스 시 수집되는 개인정보에 대한 항목별로 필요한 사유에 대해 입증할 책임은 개인정보처리자(병원)에 있는 만큼 증빙서류를 받는 경우 서류에 작성된 개인정보 항목도 포함해야 한다는 점을 핵심 포인트로 꼽았다.

옥 대표는 “점검요령은 서비스를 제공하는데 필요한 고객의 개인정보가 무엇인지 그 종류를 조사해야 하고 조사한 개인정보 중 필수적으로 수집해야 하는 ‘필수항목’을 검토해 구성헤야 한다”면서 “조사한 개인정보 중 부가서비스를 위한 개인정보는 ‘선택항목’으로 구분하고 양식서에는 수집하는 항목에 ‘필수’, ‘선택’으로 구분해야 한다”고 소개했다.

그러면서 개인정보 수집 동의 안내는 필수동의, 선택동의 사항을 명시적으로 구분해 안내해야 하고 동의를 하나로 포함해 받는 것은 문제가 될 수 있다면서 다만 필수항목 외의 추가적인 항목에 대해 선택항목이 아닌 필수항목으로 할 경우 이에 대한 명확한 사유를 작성해 제출해야 한다고 충고했다.

홍보·마케팅 등 개인정보 수집 목적 외 이용 시 고객에게 별도 동의를 받을 수 있도록 동의절차를 마련해야 한다. 또한 홍보·마케팅 등에 동의하지 않는다고 해서 병원 진료서비스 등 서비스를 제한해서는 안된다.

이에 대한 점검방법은 홈페이지 회원가입, 진료목적 또는 진료목적 외로 수집시 홍보·마케팅 목적으로 별도 동의를 받는지 확인한다. 또 홍보·마케팅 목적으로 별도 동의를 받을 경우 필수사항 4가지를 고지하고 있는지 확인해야 한다.

옥 대표는 “예를 들어 고객님은 개인정보 수집에 동의를 거부할 수 있고 동의를 거부할 경우 회원가입은 되나 그 외 부가서비스 제공에 일부 제한이 될 수 있다는 것처럼 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우는 그 불이익 내용 부분의 문구를 확인해야 한다”고 밝혔다.

이어 옥 대표는 “홍보 및 마케팅을 이유로 동의를 받을 때 가장 실수하는 부분이 개인정보를 수집하면서 홍보·마케팅을 같이 표기하는 것”이라고 주의를 당부했다.

특히, 이날 교육에서 옥 대표는 개인정보 제3자 제공 동의 시 안내 사항 5가지 필수사항을 강조했다.

5가지 필수사항으로는 개인정보를 제공받는자, 개인정보를 제공받는 자의 개인정보 이용목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용기간, 동의를 거부할 수 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용 등이다.

병원이 이를 작성할 경우 ‘중요내용’ 및 ‘중요내용 표시방법’이 준수돼야 하고 점검방법은 회원가입 홈페이지 화면 또는 진료목적 외 수집문서 양식에 제3자 제공 동의를 하고 있는지가 확인할 점이다.

또 개인정보 수집 등의 5가지 필수사항 중 개인정보를 제공받는자, 개인정보를 제공받는 자의 개인정보 이용목적, 개인정보의 보유 및 이용기간 등의 부분이 다른 글자보다 20% 이상 크고, 진하게 또는 색깔로 구분돼 강조되고 있는지가 확인할 부분이다.

옥 대표는 “문제가 되는 것은 개인정보를 제3자에게 제공할 때 보유 기간을 정해 놓지만 그 기간이 지나도 파기가 안된다는 것이고 이에 대한 확인도 잘 안된다는 것”이라고 지적했다.

이어 옥 대표는 “평가자들은 동의 안내 5가지 사항을 제공한다고 해도 그 내용과 목적이 맞지 않다고 생각되면 부정적인 평가를 할 수 있는 만큼 이런 점을 잘 고려해야 한다”면서 “참고로 제3자 제공을 여러 곳에 제공하고 이 모든 곳이 다 필수적이라고 생각되면 하나로 묶어서 동의 서식을 만들면 되지만 하나하나 필수적인 게 아니라면 각각에 대해서 목적도 다르게 안내하고 그에 따라 동의 서식 부분도 다르게 작성해 고객이 선택할 수 있게 만들어야 한다”고 조언했다.

즉, 여행사에 주는 개인정보와 호텔에 주는 개인정보가 다른데 이걸 하나로 묶는 것은 문제라는 것이다.

끝으로 옥 대표는 “앞으로 증빙자료 요구사항은 더욱 강화될 것인 만큼 병원들이 이에 대해 더 신경을 써야 한다”면서 “병원 내부적으로 절차를 잘 만들어야 개인정보 유출에 대응을 잘할 수 있을 것”이라고 덧붙였다.