병원 환자 개인정보 보호 가이드
개인정보보호법과 의료법에 따른 환자 개인정보 관리 의무를 정리합니다. 수집부터 보관, 폐기까지 전 과정의 법적 요구사항과 실무 대응 방법을 안내합니다.
1. 환자 개인정보 수집과 동의
환자의 개인정보를 수집할 때는 수집 목적, 항목, 보유 기간을 명확히 고지하고 동의를 받아야 합니다. 진료에 필수적인 정보와 마케팅 목적의 정보는 동의를 분리하여 받아야 합니다. 민감 정보인 건강 정보는 별도의 동의가 필요하며 제3자 제공 시에도 별도 동의가 필수입니다. 초진 접수 시 개인정보 수집·이용 동의서를 체계적으로 관리하세요.
2. 전자의무기록(EMR) 보안 관리
EMR 시스템에 저장된 환자 정보는 강력한 보안 조치가 필요합니다. 접근 권한을 직급별로 차등 부여하고 로그인 기록을 관리하세요. 데이터 암호화, 정기적인 백업, 해킹 방지를 위한 보안 솔루션 설치가 필수입니다. 외부 접속 시 VPN을 사용하고 직원의 USB 사용을 제한하세요. 개인정보 유출 사고 발생 시 72시간 이내에 개인정보보호위원회에 신고해야 합니다.
3. 의무기록 보관과 폐기 기준
의료법에 따라 진료기록부는 10년, 처방전은 2년, 수술 기록은 10년, 환자 명부는 5년간 보관해야 합니다. 보관 기간이 경과한 기록은 개인정보보호법에 따라 안전하게 파기해야 합니다. 전자 기록은 복구 불가능한 방법으로 삭제하고 종이 기록은 파쇄 처리합니다. 폐기 내역을 기록으로 남기고 정기적으로 보관 기간 만료 기록을 점검하세요.
4. 개인정보 침해 사고 대응 절차
개인정보 유출 사고 발생 시 즉시 유출 원인을 차단하고 피해 규모를 파악합니다. 영향을 받은 환자에게 유출 사실을 통지하고 개인정보보호위원회에 신고합니다. 사고 대응 보고서를 작성하고 재발 방지 대책을 수립하세요. 개인정보 영향 평가를 정기적으로 실시하고 직원 대상 개인정보보호 교육을 분기 1회 이상 실시하여 사고를 예방합니다.