병원·의원 개인정보보호법 완전 가이드

병원·의원은 환자의 질병, 처방, 수술 기록 등 가장 민감한 개인정보를 처리하는 기관입니다. PIPA(개인정보보호법)와 함께 의료법, 의료기기법, 감염병예방법 등 의료 특수 법령이 중첩 적용되며, 위반 시 의료 면허 취소까지 이어질 수 있습니다.

1. 의료 정보의 법적 성격

민감정보 해당 여부

PIPA 제23조는 다음을 민감정보로 규정합니다.

| 항목 | 의료 맥락 | |------|-----------| | 건강 정보 | 진단명, 처방 내역, 검사 결과 | | 유전 정보 | 유전자 검사 결과, 가족력 | | 정신건강 정보 | 정신과 진료 기록, 심리 평가 | | 성생활 정보 | 산부인과·비뇨기과 진료 내용 | | 신체적 특징 | 장애 등급, 만성질환 이력 |

민감정보는 명시적 동의 없이는 수집·활용이 금지됩니다. 단, 의료법에 의한 진료 목적으로 처리하는 경우는 법령 근거로 동의 없이 가능합니다.

의료법 vs PIPA 보관 기간

| 기록 종류 | 의료법 보관 기간 | PIPA 원칙 | |-----------|-----------------|-----------| | 진료기록부 | 10년 | 의료법 따름 | | 처방전 | 2년 | 의료법 따름 | | 수술기록 | 10년 | 의료법 따름 | | 방사선 사진 | 5년 | 의료법 따름 | | 간호기록 | 5년 | 의료법 따름 | | 예약·접수 정보 | 의료법 미규정 | 목적 달성 후 파기 |

의료법상 의무 보관 기간이 지난 후에도 진료기록을 무기한 보관하는 것은 PIPA의 최소 보관 원칙에 위반됩니다.

2. 진료 예약·접수 정보 처리

온라인 예약 시스템

네이버 예약, 카카오 예약, 자체 앱 등을 통한 예약 수집 시:

예약 완료 후 미래 예약이 없으면 예약 정보 파기 (진료기록과 별도)
예약 취소·노쇼 이력을 장기 보관하는 것은 목적 외 이용 가능성 있음
자동 예약 확인 문자 발송: 진료 목적이므로 마케팅 동의 불필요

전화 예약 녹음

전화 예약 시 "상담 내용이 녹음될 수 있습니다" 안내는 의무입니다. 녹음 파일 보관 기간을 내부 규정으로 정하고 준수해야 합니다(통상 1~3개월).

3. 보험사·건강보험공단 정보 제공

환자 진료비 청구 및 보험금 지급을 위해 정보를 제공하는 경우:

건강보험공단·심평원 청구

법령 의무에 따른 제공이므로 별도 동의 불필요. 그러나 청구 범위를 초과한 정보 제공은 위반입니다.

민간 보험사 제공

환자가 직접 보험사에 청구하는 경우:

환자 본인이 진단서·소견서를 발급받아 보험사에 제출 → 병원은 환자에게 서류 발급만
병원이 보험사에 직접 전송하는 경우 → 환자의 명시적 동의 필수

"보험 처리해 드릴게요"라며 환자 동의 없이 보험사에 진료 정보를 전송하는 것은 명백한 PIPA 위반입니다.

생명보험·실손보험 자동 청구 서비스

일부 병원에서 제공하는 자동 청구 서비스는 환자의 별도 동의와 함께 서비스 약관에 명확한 동의 조항이 있어야 합니다.

4. 마케팅·건강검진 안내

병원에서 가장 자주 문제가 되는 영역이 기존 환자 대상 마케팅입니다.

금지 사례

내원 환자에게 "건강검진 받으세요" 문자 발송 → 마케팅 동의 없으면 위반
"지난번 처방 약 다 드셨나요?" 문자 → 진료 목적이지만 동의 여부 따라 다름
생일 축하 문자 + 할인 쿠폰 → 마케팅 동의 필요

허용 사례 (마케팅 동의 불필요)

예약 확인·변경·취소 알림
검사 결과 이상 소견 연락
처방전 수령 안내
입원 환자 가족 연락

동의 분리 원칙

진료 동의서와 마케팅 동의서를 같은 종이에 묶어 서명받는 관행은 PIPA 위반입니다. 마케팅 동의는 별도 서식으로 선택적으로 받아야 합니다.

5. 원격진료·비대면 진료

2023년 이후 비대면 진료가 확대되면서 새로운 개인정보 이슈가 발생합니다.

화상 진료 녹화

환자 동의 없이 진료 영상을 녹화·저장하는 것은 금지
진료 기록 목적으로 저장하더라도 환자에게 고지 필요
저장된 영상은 진료기록에 준해 10년 보관

원격 처방·약국 연계

처방전 전송을 위한 팩스·앱 사용 시 전송 과정의 암호화 필요
약국에 처방 정보를 공유하는 것은 법령 근거 있음

해외 플랫폼 사용

Zoom·Teams 등으로 원격 진료를 하는 경우 국외 이전 문제가 발생합니다. 환자에게 사전 고지가 필요하며, 가급적 국내 서버 플랫폼 사용을 권고합니다.

6. 직원·간호사·의료진 개인정보

의료진 면허 정보

의사·간호사 면허 정보는 의료법상 비치 의무가 있지만, 웹사이트에 게시할 때는 해당 의료진의 동의 또는 게시 범위 합의가 필요합니다.

직원 진료비 할인

직원이 자신의 근무 병원에서 진료받는 경우, 인사팀이 직원의 진료 기록에 접근하는 것은 엄격히 금지됩니다. 진료비 정산만 가능하고 진료 내용은 의료진 외 접근 불가.

7. CCTV·동선 관리

병원 CCTV는 일반 사업장 기준과 동일하지만 특수 공간에 대한 추가 규제가 있습니다.

| 공간 | CCTV 설치 | |------|-----------| | 로비·접수 | 가능 (안내판 필수) | | 복도·대기실 | 가능 | | 진료실 내부 | 원칙 금지 — 의료 비밀 침해 | | 처치실·수술실 | 금지 | | 화장실·탈의실 | 절대 금지 |

8. 개인정보 침해 대응

병원에서 개인정보 유출 사고가 발생하면 의료법 위반과 PIPA 위반이 동시에 적용될 수 있습니다.

1,000명 이상 유출 시 개인정보보호위원회 72시간 이내 신고
피해 환자에게 개별 통지 의무
의료법상 진료 기록 유출은 3년 이하 징역 별도 적용

9. PipaGuard 의료기관 지원

PipaGuard는 의료기관의 PIPA 준수를 지원합니다.

진료 동의서 + 마케팅 동의서 분리 템플릿
보험사 제공 동의 서식
보관 기간 관리: 의료법 의무 기간 자동 계산
직원 교육 자료: 의료 종사자 대상 개인정보 교육 콘텐츠

👉 pipaguard.vercel.app에서 무료로 시작하세요.

마치며

환자는 자신의 건강 정보가 병원 밖으로 나가지 않을 것이라는 강한 신뢰를 갖고 있습니다. 이 신뢰를 지키는 것이 의료기관의 핵심 의무입니다. 마케팅 동의 분리, 보험사 제공 동의, 보관 기간 관리 — 이 세 가지를 정비하는 것부터 시작하세요.

병원·의원 개인정보보호법 완전 가이드

1. 의료 정보의 법적 성격

민감정보 해당 여부

PIPA 제23조는 다음을 민감정보로 규정합니다.

의료법 vs PIPA 보관 기간

의료법상 의무 보관 기간이 지난 후에도 진료기록을 무기한 보관하는 것은 PIPA의 최소 보관 원칙에 위반됩니다.

2. 진료 예약·접수 정보 처리

온라인 예약 시스템

네이버 예약, 카카오 예약, 자체 앱 등을 통한 예약 수집 시:

예약 완료 후 미래 예약이 없으면 예약 정보 파기 (진료기록과 별도)
예약 취소·노쇼 이력을 장기 보관하는 것은 목적 외 이용 가능성 있음
자동 예약 확인 문자 발송: 진료 목적이므로 마케팅 동의 불필요

전화 예약 녹음

전화 예약 시 "상담 내용이 녹음될 수 있습니다" 안내는 의무입니다. 녹음 파일 보관 기간을 내부 규정으로 정하고 준수해야 합니다(통상 1~3개월).

3. 보험사·건강보험공단 정보 제공

환자 진료비 청구 및 보험금 지급을 위해 정보를 제공하는 경우:

건강보험공단·심평원 청구

법령 의무에 따른 제공이므로 별도 동의 불필요. 그러나 청구 범위를 초과한 정보 제공은 위반입니다.

민간 보험사 제공

환자가 직접 보험사에 청구하는 경우:

환자 본인이 진단서·소견서를 발급받아 보험사에 제출 → 병원은 환자에게 서류 발급만
병원이 보험사에 직접 전송하는 경우 → 환자의 명시적 동의 필수

"보험 처리해 드릴게요"라며 환자 동의 없이 보험사에 진료 정보를 전송하는 것은 명백한 PIPA 위반입니다.

생명보험·실손보험 자동 청구 서비스

일부 병원에서 제공하는 자동 청구 서비스는 환자의 별도 동의와 함께 서비스 약관에 명확한 동의 조항이 있어야 합니다.

4. 마케팅·건강검진 안내

병원에서 가장 자주 문제가 되는 영역이 기존 환자 대상 마케팅입니다.

금지 사례

내원 환자에게 "건강검진 받으세요" 문자 발송 → 마케팅 동의 없으면 위반
"지난번 처방 약 다 드셨나요?" 문자 → 진료 목적이지만 동의 여부 따라 다름
생일 축하 문자 + 할인 쿠폰 → 마케팅 동의 필요

허용 사례 (마케팅 동의 불필요)

예약 확인·변경·취소 알림
검사 결과 이상 소견 연락
처방전 수령 안내
입원 환자 가족 연락

동의 분리 원칙

진료 동의서와 마케팅 동의서를 같은 종이에 묶어 서명받는 관행은 PIPA 위반입니다. 마케팅 동의는 별도 서식으로 선택적으로 받아야 합니다.

5. 원격진료·비대면 진료

2023년 이후 비대면 진료가 확대되면서 새로운 개인정보 이슈가 발생합니다.

화상 진료 녹화

환자 동의 없이 진료 영상을 녹화·저장하는 것은 금지
진료 기록 목적으로 저장하더라도 환자에게 고지 필요
저장된 영상은 진료기록에 준해 10년 보관

원격 처방·약국 연계

처방전 전송을 위한 팩스·앱 사용 시 전송 과정의 암호화 필요
약국에 처방 정보를 공유하는 것은 법령 근거 있음

해외 플랫폼 사용

6. 직원·간호사·의료진 개인정보

의료진 면허 정보

의사·간호사 면허 정보는 의료법상 비치 의무가 있지만, 웹사이트에 게시할 때는 해당 의료진의 동의 또는 게시 범위 합의가 필요합니다.

직원 진료비 할인

7. CCTV·동선 관리

병원 CCTV는 일반 사업장 기준과 동일하지만 특수 공간에 대한 추가 규제가 있습니다.

8. 개인정보 침해 대응

병원에서 개인정보 유출 사고가 발생하면 의료법 위반과 PIPA 위반이 동시에 적용될 수 있습니다.

1,000명 이상 유출 시 개인정보보호위원회 72시간 이내 신고
피해 환자에게 개별 통지 의무
의료법상 진료 기록 유출은 3년 이하 징역 별도 적용

9. PipaGuard 의료기관 지원

PipaGuard는 의료기관의 PIPA 준수를 지원합니다.

진료 동의서 + 마케팅 동의서 분리 템플릿
보험사 제공 동의 서식
보관 기간 관리: 의료법 의무 기간 자동 계산
직원 교육 자료: 의료 종사자 대상 개인정보 교육 콘텐츠

👉 pipaguard.vercel.app에서 무료로 시작하세요.

병원·의원 개인정보보호법 완전 가이드

병원·의원 개인정보보호법 완전 가이드

1. 의료 정보의 법적 성격

민감정보 해당 여부

의료법 vs PIPA 보관 기간

2. 진료 예약·접수 정보 처리

온라인 예약 시스템

전화 예약 녹음

3. 보험사·건강보험공단 정보 제공

건강보험공단·심평원 청구

민간 보험사 제공

생명보험·실손보험 자동 청구 서비스

4. 마케팅·건강검진 안내

금지 사례

허용 사례 (마케팅 동의 불필요)

동의 분리 원칙

5. 원격진료·비대면 진료

화상 진료 녹화

원격 처방·약국 연계

해외 플랫폼 사용

6. 직원·간호사·의료진 개인정보

의료진 면허 정보

직원 진료비 할인

7. CCTV·동선 관리

8. 개인정보 침해 대응

9. PipaGuard 의료기관 지원

마치며

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

병원·의원 개인정보보호법 완전 가이드

병원·의원 개인정보보호법 완전 가이드

1. 의료 정보의 법적 성격

민감정보 해당 여부

의료법 vs PIPA 보관 기간

2. 진료 예약·접수 정보 처리

온라인 예약 시스템

전화 예약 녹음

3. 보험사·건강보험공단 정보 제공

건강보험공단·심평원 청구

민간 보험사 제공

생명보험·실손보험 자동 청구 서비스

4. 마케팅·건강검진 안내

금지 사례

허용 사례 (마케팅 동의 불필요)

동의 분리 원칙

5. 원격진료·비대면 진료

화상 진료 녹화

원격 처방·약국 연계

해외 플랫폼 사용

6. 직원·간호사·의료진 개인정보

의료진 면허 정보

직원 진료비 할인

7. CCTV·동선 관리

8. 개인정보 침해 대응

9. PipaGuard 의료기관 지원

마치며

지금 바로 PIPA 컴플라이언스 점검하기

관련 글