병원과 의원에서 처리하는 환자 정보는 개인정보보호법상 민감 정보입니다. 이름·연락처뿐만 아니라 진단명, 처방 내역, 검사 결과 모두 법적으로 특별 보호를 받아야 합니다.
의료기관이 개인정보보호법을 위반하면 형사처벌(5년 이하 징역 또는 5천만 원 이하 벌금)까지 가능합니다. 규모와 관계없이 모든 의원에 동일한 의무가 적용됩니다.
의료기관이 처리하는 개인정보 분류
| 데이터 | 법적 성격 | 보호 수준 | |--------|---------|---------| | 이름, 생년월일, 연락처 | 일반 개인정보 | 기본 보호 | | 주민등록번호 | 고유 식별 정보 | 수집 제한 | | 진단명, 병력 | 민감 정보 | 별도 동의 또는 법령 근거 | | 처방·투약 기록 | 민감 정보 | 별도 동의 또는 법령 근거 | | 검사 결과 (혈액·영상) | 민감 정보 | 별도 동의 또는 법령 근거 | | 정신건강 기록 | 민감 정보 | 더욱 엄격한 보호 | | 수술·시술 기록 | 민감 정보 | 별도 동의 또는 법령 근거 | | 원무 청구 정보 | 금융 정보 포함 | 기본 + 금융 보호 |
의료기관의 민감 정보 처리: 법적 근거
의료기관은 의료법에 의거해 환자 진료를 위해 민감 정보를 수집·이용할 수 있습니다. 별도 동의 없이 진료 목적으로 처리할 수 있는 근거가 됩니다.
그러나 다음과 같은 경우는 추가 동의가 필요합니다.
❌ 진료와 무관한 마케팅(이벤트 안내, 신규 시술 홍보)
❌ 연구 목적으로 환자 데이터 활용
❌ 제약사·보험사에 진료 데이터 제공
❌ 비식별 처리 없이 임상 케이스 발표
진료 예약·접수 단계의 주요 의무
개인정보 수집 시 고지 의무
환자가 처음 내원하거나 온라인 예약 시, 다음을 반드시 안내해야 합니다.
✅ 수집 목적: "진료 및 원무 처리"
✅ 수집 항목: 이름, 생년월일, 연락처, 주소 등
✅ 보유 기간: 의료법에 따른 10년 (진료 기록), 퇴원 후 5년 (처방전) 등
✅ 제3자 제공: 건강보험심사평가원, 국민건강보험공단 청구 등
✅ 정보 주체의 권리: 열람·정정·삭제 요청 방법
마케팅 동의는 별도로
진료비 영수증 문자, 재방문 안내와 마케팅 문자(이벤트, 할인 안내)는 반드시 분리된 동의가 필요합니다.
✅ "예약·진료 알림 수신 동의" — 필수 동의 가능
✅ "이벤트·프로모션 문자 수신 동의" — 선택 동의
❌ 두 항목을 한 체크박스로 묶어 동의 받기 — 위반
환자 정보 제3자 제공
의료기관이 환자 정보를 외부로 보내야 하는 경우가 많습니다. 각각의 법적 근거를 확인하세요.
| 수신자 | 법적 근거 | 별도 동의 | |--------|---------|---------| | 건강보험심사평가원 | 국민건강보험법 | 불필요 | | 국민건강보험공단 | 국민건강보험법 | 불필요 | | 타 의료기관 (전원) | 환자 의사에 따른 동의 | 필요 | | 보험사 (보험금 청구) | 환자 동의 | 필요 | | 법원, 경찰, 검찰 | 영장·법원 명령 | 불필요 | | 공중보건 목적 (법정 신고) | 감염병예방법 등 | 불필요 | | 연구기관 | 별도 IRB 심의 + 동의 | 필요 |
전원(Transfer) 시 주의: 다른 병원으로 진료 의뢰 시 환자 동의 없이 진료 기록을 팩스로 전송하는 관행이 있으나, 이는 PIPA 위반 가능성이 있습니다. 환자 동의서를 받거나 법령 근거를 명확히 하세요.
진료 기록 보관·파기
의료법은 진료 기록의 최소 보관 기간을 정합니다. 이 기간을 지나면 반드시 파기해야 합니다.
| 기록 종류 | 보관 기간 | |---------|---------| | 환자 명부 | 5년 | | 진단서 등 | 3년 | | 처방전 | 2년 | | 수술 기록 | 10년 | | 간호 기록 | 5년 | | 방사선 사진 | 5년 | | 진료 기록부 | 10년 |
보관 기간이 지난 기록은 복원 불가능하게 파기해야 합니다. 종이 기록은 분쇄, 전자 기록은 복구 불가능한 삭제 또는 덮어쓰기가 필요합니다.
병원 내 CCTV 운영
수납 창구, 복도, 주차장 등에 설치된 CCTV도 PIPA 규제 대상입니다.
CCTV 설치 시 필수 사항
✅ 안내판 설치 의무
- 촬영 목적
- 촬영 범위 (구역)
- 담당 부서 및 연락처
- 영상 보관 기간
✅ 개인영상정보 처리방침 공개
✅ 영상 보관 기간 설정 및 준수 (일반적으로 30일 이내)
✅ 접근 권한 제한 (지정된 담당자만)
CCTV 설치 금지 구역
❌ 진료실 내부 (환자 동의 없이 금지)
❌ 탈의실, 샤워실, 화장실
❌ 직원 휴게실 (사생활 침해 가능)
직원 개인정보 관리
환자 정보뿐 아니라 직원(간호사, 의사, 행정직) 정보도 PIPA 적용 대상입니다.
채용 시 수집 제한
✅ 직무와 직접 관련된 정보만 수집
❌ 결혼 여부, 임신 계획, 종교 등 차별 가능 정보 수집 금지
❌ 의무 없는 건강검진 결과 요구
급여명세 및 인사 기록
급여 이체, 4대보험 신고에 필요한 정보는 법령 근거로 처리 가능하지만, 외부 위탁(급여 관리 서비스 사용 시) 시 위탁 계약을 반드시 체결해야 합니다.
온라인 채널 운영 시 추가 의무
병원 홈페이지, 카카오 채널, 네이버 예약 등 온라인 채널을 운영하면 추가 의무가 생깁니다.
홈페이지 필수 게시 사항
✅ 개인정보처리방침 (하단 링크 필수)
✅ 온라인 예약·문의 시 수집 항목·목적 고지
✅ 상담 내용 보관 기간 안내
카카오 채널·문자 마케팅
카카오 알림톡은 진료 예약 확인, 결과 안내 등 서비스 목적이면 별도 동의 없이 발송 가능합니다. 그러나 이벤트, 건강검진 패키지 홍보는 마케팅 수신 동의가 필요합니다.
의료기관 PIPA 체크리스트
즉시 확인 항목
- [ ] 환자 정보 수집 동의서에 민감 정보(건강 정보) 별도 동의 항목이 있는가
- [ ] 마케팅 문자 발송 동의가 진료 동의와 분리되어 있는가
- [ ] CCTV 안내판이 모든 촬영 구역에 설치되어 있는가
- [ ] 개인정보처리방침이 홈페이지에 게시되어 있는가
단기 개선 항목
- [ ] 진료 기록 보유 기간 초과 데이터 파기 절차 수립
- [ ] 외부 위탁업체(EMR 시스템사, 원무 대행사) 위탁 계약 체결
- [ ] 직원 교육 연 1회 이상 실시 계획 수립
개인정보 보호에 대한 환자의 기대 수준이 높아지고 있습니다. PIPA 의무를 성실히 이행하는 것이 환자 신뢰를 높이는 핵심 경쟁력이 됩니다. PIPAGuard로 현재 PIPA 준수 현황을 무료로 진단해보세요.