약국·드러그스토어 개인정보보호법 가이드
약국은 처방전을 통해 환자의 진단명, 처방 의약품, 복약 이력을 처리하는 의료 인접 업종입니다. 이 정보는 PIPA상 건강 정보로서 민감정보에 해당할 수 있습니다. 개인정보보호법(PIPA) 관점에서 약국과 드러그스토어가 알아야 할 핵심 의무를 정리합니다.
1. 약국의 개인정보 처리 범위
조제부터 복약 지도까지
| 처리 단계 | 수집 정보 | 민감도 | |---------|---------|------| | 처방전 접수 | 환자 이름, 주민등록번호 앞자리, 진단 코드 | 높음 | | 조제 | 처방 의약품명, 용량, 복약 지시 | 높음 (건강정보) | | 약력 관리 | 과거 처방 이력, 알레르기, 병용 금기 | 높음 (건강정보) | | 건강 상담 | 증상, 건강 상태, 복약 이력 | 높음 | | 결제 정보 | 카드, 현금영수증, 실손보험 청구 | 높음 | | 멤버십 | 구매 이력, 포인트 | 중간 |
2. 처방전 정보의 처리
처방전에 담긴 민감 정보
처방전에는 환자 이름, 주민등록번호 일부, 처방 의약품, 진단명이 포함됩니다. 이는 PIPA상 건강 정보로서 민감정보에 해당할 수 있습니다.
처방전 처리 원칙:
처방전 수령 후:
✅ 조제 목적으로만 활용
✅ 처방전 원본: 약사법상 2년 보관 의무
✅ 처방전 사본: 조제 완료 후 즉시 파기 (원본 보관으로 대체)
금지:
❌ 처방전 정보를 환자 동의 없이 제약사·보험사에 제공
❌ 처방전 사진 촬영 후 개인 기기에 저장
❌ 다른 고객이 볼 수 있는 위치에 처방전 방치
처방전 보관 기준: 약사법 제47조에 따라 처방전은 조제일로부터 2년간 보관해야 합니다. 이 의무 기간이 PIPA의 파기 원칙보다 우선 적용됩니다. 다만 2년 경과 후에는 즉시 파기해야 합니다.
3. 약력 관리 서비스
약력(DUR) 시스템과 개인정보
의약품 안전사용 서비스(DUR)와 약력 관리 앱은 환자의 처방 이력을 기반으로 중복 투약, 병용 금기를 확인합니다.
약력 데이터 처리 원칙:
| 활용 방식 | 허용 여부 | |---------|---------| | DUR 중복 투약 확인 | 허용 (의약품안전사용법 근거) | | 병용 금기 확인 | 허용 | | 처방 이력 환자에게 제공 | 허용 (본인 요청 시) | | 처방 이력 타 의료기관 공유 | 환자 동의 또는 법적 근거 필요 | | 처방 이력 마케팅 활용 | 금지 | | 처방 이력 제약사 영업 목적 제공 | 금지 |
약력 앱 서비스: 모바일 약력 관리 앱을 운영하는 경우, 앱을 통해 수집·저장되는 건강 정보에 대한 별도의 명시적 동의와 암호화 저장이 필요합니다.
4. 건강 상담과 OTC 판매
처방전 없는 상담에서도 건강 정보 수집
일반의약품(OTC) 판매 시 약사의 복약 상담 과정에서 고객의 증상, 기저질환, 복약 이력 정보가 수집됩니다.
OTC 상담 정보 처리:
상담 중 수집 정보:
- 증상 설명: 상담 목적으로만 활용
- 기저질환 (당뇨, 고혈압 등): 약 선택 목적으로만 활용
- 임신·수유 여부: 안전한 약 선택 목적으로만 활용
금지:
❌ 상담 내용을 기록하여 마케팅에 활용
❌ 상담 내용을 다른 직원과 불필요하게 공유
❌ 상담 고객의 건강 정보를 가족에게 알림 (동의 없이)
5. 실손보험 청구 연계
보험사 제출 시 제3자 제공
환자가 실손보험 청구를 위해 약국 영수증·처방 내역을 보험사에 제출하는 경우가 있습니다.
보험사 연계 처리 원칙:
- 환자가 직접 보험사에 서류 제출 시: 약국의 추가 의무 없음
- 보험사가 약국에 직접 처방 이력을 요청 시: 환자(본인) 동의 확인 후 제공
- 보험사 직원이 환자 대신 약국을 방문해 이력 요청 시: 거부 (환자 본인 직접 요청이 원칙)
6. 드러그스토어의 구매 이력
올리브영·롭스 등 헬스앤뷰티 스토어
드러그스토어의 멤버십은 건강 용품·의약외품 구매 이력을 축적합니다.
드러그스토어 구매 이력 처리:
| 구매 카테고리 | 개인정보 고려 사항 | |------------|---------------| | 일반 화장품 | 낮음 (프로파일링 가능) | | 피임용품 | 높음 (성 관련 정보) | | 임신 테스트기 | 높음 (건강·임신 정보) | | 당뇨 용품 | 높음 (건강 정보) | | 수면제·진통제 | 중간 |
민감 구매 이력의 마케팅 활용: 피임용품, 임신 테스트기, 당뇨 용품 구매 이력을 기반으로 타겟 광고를 발송하는 것은 건강 정보의 목적 외 사용에 해당할 수 있습니다. 별도의 명시적 동의가 없다면 이러한 민감 카테고리는 마케팅 분석에서 제외하는 것이 안전합니다.
7. 약국 내 상담실과 개인정보
복약 지도의 프라이버시
처방약 복약 지도는 환자가 진단명과 처방 이유를 알 권리와 관련되지만, 다른 고객에게 노출되면 프라이버시 침해가 됩니다.
상담 환경 보안:
- 복약 지도는 다른 고객이 듣지 않도록 별도 공간 또는 낮은 목소리로 진행
- 처방전을 약국 카운터에서 다른 고객이 볼 수 있게 방치 금지
- 처방전 내용을 약국 직원끼리 불필요하게 큰 소리로 공유 금지
8. 개인정보처리방침 약국 특화 항목
# 개인정보처리방침 (○○약국)
## 수집 항목 및 목적
**처방 고객:**
- 항목: 이름, 주민등록번호 일부, 처방 의약품명
- 목적: 조제 서비스, DUR 확인
- 보관: 처방전 2년 (약사법), 조제 기록 3년
**건강 상담:**
- 항목: 증상, 기저질환, 복약 이력 (구두 상담)
- 목적: 적합한 의약품 추천
- 보관: 기록 없음 (상담 목적으로만 활용)
## 민감정보
처방전 정보(진단명·처방약)는 건강 정보로서
조제 및 법령 의무 외 활용 금지.
## 실손보험 제출
환자 본인의 요청에 한해 처방 내역 발급.
보험사의 직접 요청에는 환자 동의 확인 후 처리.
9. PipaGuard로 약국 컴플라이언스 관리
PipaGuard 지원 기능:
- 약국 맞춤 개인정보처리방침 생성
- 처방전 보관 기간 알림 (2년 의무 + 이후 파기)
- 약력 관리 서비스 동의서 가이드
- 건강 상담 기록 보안 체크리스트
- 드러그스토어 멤버십 민감 구매 이력 처리 가이드
무료로 시작하기: pipaguard.vercel.app
체크리스트: 약국·드러그스토어 PIPA 필수 점검
- [ ] 처방전 2년 보관 후 즉시 파기 스케줄 설정
- [ ] 처방전을 카운터에 방치하지 않는 물리적 보안 환경 확인
- [ ] 약력 관리 앱 건강 정보 암호화 저장 확인
- [ ] 처방 이력 제약사·보험사 무단 제공 금지 직원 교육
- [ ] 복약 지도 다른 고객에게 들리지 않는 환경 조성
- [ ] 드러그스토어 민감 카테고리 구매 이력 마케팅 분석 제외
- [ ] 실손보험 청구 처방 내역 환자 본인 요청 원칙 확인
- [ ] 멤버십 탈퇴 시 구매 이력 파기 프로세스 수립
- [ ] 직원 대상 환자 개인정보 보안 교육 연 1회 실시
- [ ] 개인정보처리방침 약국 내 게시 및 앱에 공개
자주 묻는 질문
Q. 환자 보호자(가족)가 처방 내역을 알려달라고 요청하면 어떻게 하나요?
A. 처방 내역은 환자 본인의 개인정보이므로 원칙적으로 환자 본인에게만 제공해야 합니다. 보호자에게 제공하려면 환자의 서면 동의 또는 위임장이 필요합니다. 단, 환자가 의식불명이거나 미성년자인 경우 법정대리인에게 제공할 수 있습니다.
Q. 제약사 영업사원이 처방 실적 확인을 위해 처방 이력을 요청하면 줘야 하나요?
A. 제공할 수 없습니다. 처방 이력은 환자의 건강 정보로서 환자 동의 없이 제약사에 제공하는 것은 PIPA 위반입니다. 처방 실적 분석이 필요한 경우 익명화·집계된 통계 정보를 제공하는 것은 가능하지만, 개별 환자 처방 이력의 제공은 금지됩니다.
Q. 약력 관리 앱으로 수집한 데이터를 건강 관련 스타트업에 제공해도 되나요?
A. 건강 정보를 제3자에게 제공하려면 환자의 별도 명시적 동의가 필요합니다. 일반적인 약력 관리 서비스 동의로는 제3자 제공 동의가 포함되지 않습니다. "건강 연구 목적으로 익명화된 데이터를 제공하는 것에 동의하십니까?"라는 별도 동의를 받아야 합니다.
약국은 건강을 지키는 의료의 최전선입니다. 환자가 건강 정보를 믿고 맡길 수 있는 약국이 되기 위해서는 처방전 한 장도 소중히 다루어야 합니다. PipaGuard로 약국 PIPA 컴플라이언스를 지금 점검하세요.