[메디칼타임즈=박상준 기자]병원 경영진이나 마케팅 담당자로부터 이런 질문을 자주 받는다.

"환자에게 동의를 받았는데도 왜 문제가 됩니까?"

"DB 작업을 외부 업체에 맡기는 것도 불법입니까?"

환자가 동의했고, 병원이 직접 하기 어려운 업무를 전문 업체에 맡긴 것이라면 큰 문제가 없어 보이기도 한다. 그러나 병원의 환자 DB를 활용한 마케팅은 생각보다 복잡한 법률 구조 위에 놓여 있다. 개인정보보호법상 동의 요건, 민감정보 처리 기준, 제3자 제공과 처리위탁의 구별, 그리고 의료법상 환자 유인·알선 규제까지 함께 검토해야 하기 때문이다.

결론부터 말하면, 환자 동의를 제대로 받고 구조를 적법하게 설계한 DB 마케팅을 위법하다고 볼 수는 없다. 다만, 어떤 항목에 대해, 어떤 방식으로 동의를 받았고, 그 정보를 누가, 어떤 목적과 범위 안에서 활용하고 있는지 함께 살펴봐야 한다.

"동의를 받으면 된다"는 말의 의미

개인정보보호법 제17조는 개인정보를 제3자에게 제공할 때 정보주체의 동의를 받도록 정하고 있다. 그런데 실무에서 자주 혼동되는 것이 있다. '동의를 받았다'는 사실과 '유효한 동의를 받았다'는 것은 전혀 다른 이야기다.

동의가 유효하려면 몇 가지 필수 요건을 충족해야 한다.

첫째, 특정성이다. 동의서에는 제공받는 자의 명칭, 이용 목적, 제공 항목, 보유·이용 기간이 구체적으로 기재되어야 한다. "제휴사", "파트너사", "협력업체"와 같은 포괄적 표현은 제17조가 요구하는 특정성 요건과 충돌한다. 제공받는 자가 "A의원"이라면 그 명칭이 동의서에 그대로 기재되어 있어야 한다.

둘째, 분리성이다. 개인정보보호법 제22조는 마케팅 수신 동의를 선택 항목으로 분리하고, 이를 거부하더라도 기본 서비스 제공을 거부해서는 안 된다고 정하고 있다. 진료 예약이나 회원 가입과 마케팅 동의를 하나의 항목으로 묶어두는 구조는 이 요건을 충족하기 어렵다.

셋째, 명확성이다. 동의 문구가 형식적으로 존재한다고 해서 곧바로 유효한 동의가 되는 것은 아니다. 정보주체가 자신의 개인정보가 누구에게 제공되는지, 어떤 목적으로 이용되는지, 그 결과 마케팅 연락을 받을 수 있는지를 실제로 인식할 수 있어야 한다. 대법원도 경품행사를 통해 수집한 개인정보를 보험회사에 제공·판매한 사안에서, 개인정보 수집 및 제3자 제공에 관한 내용을 약 1mm 크기의 글씨로 기재하여 소비자가 제대로 인식하기 어렵게 한 점, 경품행사에 필요한 범위를 넘어 개인정보를 수집한 점 등을 문제 삼은바 있다(대법원 2017. 4. 7. 선고 2016도13263 판결).

이런 주요 요건을 갖춘 동의라면, 그 동의를 기반으로 한 DB수집, 텔레마케팅은 개인정보보호법상 적법한 처리에 해당한다.

DB 수집 업무를 외부에 맡겨도 되는가

병원이 직접 DB를 구축하지 않고 전문 업체에 수집·정리 업무를 맡기는 방식은 실무에서 흔히 활용된다.

일단 가장 흔하게 활용되는 "위탁 방식"을 살펴보면, 개인정보보호법은 처리 위탁과 제3자 제공을 명확히 구분한다. 위탁은 개인정보처리자(병원)가 자신의 업무를 처리하기 위해 수탁자(업체)에게 개인정보 처리를 맡기는 것이다. 이 경우 수탁자는 위탁자의 지시 아래 움직이며, 수탁자의 행위는 법적으로 위탁자의 행위와 동일하게 취급된다.

따라서 병원이 DB 수집·관리 업무를 외주 업체에 맡기면서 ① 업무 범위와 지시 권한을 병원이 유지하고, ② 수탁자가 독자적 목적으로 해당 정보를 활용하지 않으며, ③ 위탁 계약에 재위탁 금지와 안전조치 의무를 명시한다면, 이는 제3자 제공이 아니라 처리 위탁에 해당한다. 이 경우 별도의 제3자 제공 동의 없이도 적법한 운영이 가능하다. 다만 정보수집 주체인 병원의 이름은 명확히 밝혀야 한다.

한편, 종종 구조가 반대인 경우도 있다. DB 수집 업체가 자신의 명의로 개인정보를 수집한 뒤 병원에 넘기는 방식이다. 이 경우는 위탁이 아니라 제3자 제공 구조에 해당하므로, 수집 단계의 동의서에는 수집 주체인 업체의 명칭과 함께 제공받는 자로 병원 명칭이 구체적으로 기재되어 있어야 한다. '제휴 의료기관' 또는 '협력 병원'과 같은 포괄적 표현으로는 제17조의 특정성 요건을 충족하기 어렵다.

종종 이 구조를 두고 사실상 개인정보를 돈을 주고 사는 것 아니냐는 의문을 제기하는 경우가 있다. 그러나 현행 개인정보보호법 어디에도 유상으로 개인정보를 취득하는 행위 자체를 금지하는 규정은 없다. 대법원도 개인정보를 제3자에게 대가를 받고 제공한 사안에서, 단순히 유상 판매라는 이유만으로 위법성을 인정한 것이 아니다. 대법원은 동의서 문구만 따로 떼어 볼 것이 아니라, 개인정보 수집의 동기와 목적, 수집 방법, 관련 법령 준수 여부, 수집된 정보의 내용과 규모 등을 전체적으로 보아야 한다고 판시하였다(대법원 2017. 4. 7. 선고 2016도13263 판결).

수집 단계에서 동의가 유효하게 이루어지고, 제공받는 자인 병원이 동의서에 명확히 특정되어 있으며, 병원이 제공받은 목적 범위 안에서만 해당 정보를 활용한다면, 이 구조는 현행법상 허용된다고 보는 것이 타당하다.

텔레마케팅 외주는 합법인가

텔레마케팅을 외부 콜센터에 맡기는 방식도 위탁 구조로 설명된다. 병원이 보유하고 있는 DB를 기반으로 외부 콜센터가 전화 상담을 진행하는 경우, 콜센터는 병원의 지시에 따라 병원의 업무를 수행하는 수탁자이기 때문이다.

이 때 흔히 쟁점이 되는 부분은 의료법상 의료광고 및 환자유인 규제다. 텔레마케팅 현장에서 마케터들의 성과를 끌어내기 위해 매출에 비례하는 인센티브를 설정하는 경우가 적지 않은데, 이 구조가 의료법이 금지하는 환자유인에 해당할 수 있다는 점을 간과해서는 안 된다. 의료법 제27조 제3항은 영리를 목적으로 환자를 의료기관에 소개·알선·유인하거나 이를 사주하는 행위를 금지하고 있으며, 판례는 내부 직원과 외부 직원을 가리지 않고 성과에 비례하는 대가를 지급하는 방식을 환자 유인에 대한 브로커 수수료와 동일하게 평가한 바 있다.

다만 인센티브 구조가 모두 위법한 것은 아니다. 마케팅 직원에게 건당 소액의 인센티브를 지급한 사례에서 수사기관이 무혐의 처분을 내린 사례가 다수 존재한다. 업계에서 통용되는 수준을 크게 벗어나지 않는 합리적 범위의 인센티브라면 곧바로 위법으로 단정하기 어렵다는 것이다.

또 한 가지 주의해야 할 것은 마케터들이 성과 압박 속에서 허위·과장 광고를 하거나 과도한 유인 멘트를 사용하는 문제다. 병원 입장에서는 외부 업체에 맡긴 일이라고 해서 책임에서 자유로울 수 없다. 수탁자의 행위는 법적으로 위탁자(병원)의 행위와 동일하게 취급되기 때문이다. 따라서 병원은 TM 콜센터와의 계약 단계에서 스크립트를 공유하고, 금지 표현 목록을 명시하며, 주기적인 교육과 모니터링을 통해 현장에서 불법 행위가 발생하지 않도록 관리할 의무가 있다.

DB마케팅 과정에서 주의해야 할 점

지금까지의 논의는 일반 개인정보를 전제로 한 것이다. 그러나 병원 DB는 일반 개인정보와 달리, 건강정보와 진료기록이라는 특성 때문에 훨씬 더 엄격한 기준으로 보아야 한다.

첫째, 민감정보가 포함되는 경우에는 별도 동의가 필요하다. 물론 DB 마케팅이라고 해서 언제나 민감정보가 처리되는 것은 아니다. 단순히 이름, 연락처, 상담 희망 여부 정도만 수집·제공되는 구조라면 일반 개인정보의 제3자 제공 및 마케팅 활용 동의 문제가 중심이 된다.

그러나 의료기관 마케팅 DB에서는 상담 내용, 관심 시술, 증상, 질환명, 검사 결과, 처방·수술 이력, 치료 계획 등 건강 상태를 직접 드러내거나 추론하게 하는 정보가 함께 포함되는 경우가 있다. 이러한 정보가 포함된다면 개인정보보호법 제23조의 민감정보 규율이 별도로 문제 된다. 이 경우에는 일반 개인정보 처리 동의와 구분된 별도 동의가 필요하고, 일반 마케팅 동의서 안에 민감정보 항목을 다른 개인정보와 섞어 기재하는 방식만으로는 요건을 충족하기 어렵다.

둘째, 의료법상 비밀보호와 기록 열람 제한이다. 의료법 제19조는 의료인이 진료 과정에서 알게 된 환자의 비밀을 누설하는 것을 금지하고, 제21조는 환자가 아닌 다른 사람에게 환자 기록을 열람하게 하거나 사본을 내어주는 것을 원칙적으로 금지한다.

하지만 예약을 대행하다 보면 기존 진료 이력을 확인해야 하는 상황이 발생한다. 다음 방문일을 잡기 위해 마지막 내원 날짜를 확인하거나, 예약된 시술 일정을 조회하는 수준이라면 업무상 불가피한 범위로 볼 여지가 있다. 그러나 외부 마케터가 시스템에 접근하는 과정에서 진료기록 전반을 열람할 수 있는 구조라면, 의료법 제21조에 반하지 않도록 주의를 요한다.

물론 시술의 성격상 어느 정도의 치료 내역 확인이 불가피한 경우도 있다. 여러 시술이 순차적으로 이루어져야 하고, 각 단계별 가능 시간대와 회차 간격이 정해져 있는 경우라면, 다음 예약을 위해 이전 시술 내역을 일부 확인하는 것 자체를 무조건 금지하기는 어렵다. 문제는 확인의 범위와 방식이다. 차트 전체가 열리는 구조보다는, 예약에 필요한 최소한의 정보, 즉 시술 회차, 마지막 내원일, 다음 가능 시기만 별도로 표시되는 화면 설계가 타당하다. 이는 개인정보보호법 제16조가 요구하는 최소 수집·처리 원칙과도 맥을 같이한다.

맺음말

동의를 받은 DB를 기반으로 한 마케팅은 위법하지 않다.

다만 그 동의가 유효해야 하고, 구조가 적법하게 설계되어야 하며, 증빙이 뒤를 받쳐야 한다. 이 세 가지를 갖추지 못하면 "동의를 받았다"는 사실 하나로 법적 분쟁을 방어하기 어려울 것이다.