약국의 고민거리 중 하나인 개인정보보호 자율점검. 약국 유형별, 조건별로 자율점검 항목이 달라져 소형약국은 5인 이상 약국에 비해 수월하게 자율점검을 진행할 수 있다.

대한약사회가 18일 새롭게 공개한 약국 개인정보보호 자율점검 가이드를 보면 총 40개 점검항목 중 CCTV와 약국 홈페이지가 없거나 근무자 5인 미만 약국이면 23개 항목만 점검을 하면 돼 점검 대상이 절반 가까이 줄어든다.

반대로 5인 이상 약국이 홈페이지 회원가입이나 CCTV가 설치돼 있다면 40개 항목을 모두 점검해야 한다.

즉 상시 근로자 수, 홈페이지나 서면을 통한 회원가입 유무, CCTV설치 등이 자율점검의 주요 변수가 된다.

모든 약국 유형에 해당하며 약사들이 가장 어렵게 생각하는 것은 7번 점검항목이다.

보유기간 경과, 처리목적(제공받는 경우 제공받은 목적) 달성 후 지체 없이 개인정보를 파기하고 관리대장을 작성유무인데 약국에서 소중하게 정리해 모은 환자약력을 파기해야 하기 때문이다.

보유기간은 처방전 2년(요양급여비용을 청구한 처방전은 3년), 요양급여청구정보 5년, 조제기록부 5년이다.

자율점검 가이드를 보면 종이처방전은 위탁업체에서 수거한 처방전을 파기한 후 '사실확인서' 또는 '증빙(사진)자료'를 첨부해 '개인정보 파기관리대장'에 첨부해 기록·관리해야 한다.

PM2000, 유팜 등 약국 관리프로그램에서 제공한 개인정보 파기 기능을 이용해 정보를 없애야 한다.

보유기간이 경과한 처방전, 전산데이터의 파기는 일정범위의 기간을 설정해 파기할 수 있으나, 해당 사항을 개인정보처리방침에 명시해야 한다.

예를 들어 개인정보처리방침에 OO약국은 보유기간이 경과한 개인정보를 매 6개월 단위로 파기하고 있다고 명시하면 된다.

또 약사들이 심평원 자율점검 시스템에 접속했다 낭패를 본 곳이 자율점검 신청서 작성이었다.

신청서 작성이 안되니 자율점검 자체를 하지 못하는 경우도 비일비재했다.

먼저 담당자 지정은 1인 약국은 약국장이 개인정보책임자/담당자/취급자가 되며 2인 이상의 약국에서는 분담해 지정할 수 있다.

개인정보 파일수는 약국에서 사용하는 청구프로그램에 저장된 조제기록부의 수를 기록하면 된다.

개인정보처리시스템수는 PC에 설치된 PM2000 등 청구프로그램 수를 의미한다.

정보주체수는 약국에서 관리하는 고객(환자)의 수, 청구프로그램에 저장된 고객(환자)수를 기재하면 된다.

위탁기관수는 청구프로그램 업체, 처방전 보관-폐기업체, CCTV 관리업체 등을 말한다.

개인정보보호 담당조직 및 예산이라는 거창한 표현을 사용하고 있지만 신청서에는 1인 약국의 경우 별도 조직구성이나 예산계획이 없기 때문에 담당조직은 공란, 예산은 V3 등 백신/보안프로그램 갱신(유지) 비용을 쓰면 된다.