#. A병원은 진료목적이 아닌 이유로 환자 개인 정보를 수집하면서도 이를 환자에게 고지하지 않아 600만원에 달하는 과태료 처분을 받았다.

B병원은 개인정보 수집 동의를 받는 방법을 위반해 200만원의 과태료를 냈다.

#. C병원은 병원 홈페이지에 가입한 환자가 비밀번호를 알려달라고 요청했는데, 이에 응했다고 600만원의 과태료 처분을 받았다.

지난해 개인정보보호 자율점검 현장조사 결과 274개 기관이 행정처분을 받았고 이 중 217개 기관이 115억원에 달하는 과태료 처분을 받은 것으로 나타났다.

22일 의료계에 따르면, 건강보험심사평가원은 오는 28일까지 전국 15개 지역에서 개인정보보호 자율점검 설명회를 진행하고 있다.

행정안전부 주도 이뤄지는 현장점검 결과 2015년 94개 기관이 행정처분을 받았고, 이 중 33개 기관은 총 1억9900만원의 과태료를 내야했다.

2016년에는 150개 기관이 행정처분을 받았고 99개 기관이 7억7700만원의 과태료 처분을 받았다.

올해도 온라인을 통한 개인정보보호 자율점검이 10월말까지 이뤄진다. 개인정보보호법에서 정하고 있는 최소한의 시스템을 갖췄는지 자율규제 단체가 자체적으로 규약을 마련해 실태를 점검하고 관리하는 것이다. 행안부는 자율점검 결과를 보고 받은 후 현장조사를 실시한다.

병의원은 진료목적으로 환자 개인정보를 수집하는 것은 환자 동의를 받지 않아도 되지만 진료목적 이외로 개인정보를 수집하려면 개인정보 수집 활용 동의를 받아야 한다.

진료목적 외로 개인정보를 수집하는 경우는 진료과 관련 없는 홍보와 마케팅 등의 서비스 관련 문자메시지 발송, 진료실에 CCTV를 설치해 영상을 촬영하는 경우 등이 있다.

진료목적 범위는 ▲진료와 직접 관련된 진료 신청, 진단, 검사, 치료, 수납 등 업무 ▲진료신청 문자발송, 검사결과 통보 ▲진료와 연결된 예방접종 ▲병원 이전 또는 휴업에 관한 정보 등이다.

병원 홈페이지에 가입한 환자의 비밀번호 관리에도 신중을 기해야 한다. 환자가 비밀번호를 알려달라고 요청해 본인확인을 거쳤더라도 알려줘서는 안된다.

비밀번호는 해독이 불가능하도록 '일방향 암호화'해야 하며 암호화된 비밀번호는 관리자조차도 알아낼 수 없어야 한다.

환자가 비밀번호를 알려달라는 상황이 생기면 본인확인 후 임시 비밀번호를 부여하고 '비밀번호 작성규칙'에 따라 환자 본인이 직접 새로운 비밀번호를 작성한 후 홈페이지를 이용하도록 안내를 해야 한다.

홈페이지 관리자가 회원의 비밀번호를 확인, 안내하는 것이 가능하다면 일방향 암호화를 적용하고 비밀번호 분실 시 대응방법을 바꿔야 한다.