약국은 보유중인 개인정보가 유출되면 인지 즉시 정부주체에게 통지해야 한다. 만약 1만건이 넘으면 안전행정부나 전문기관(KISA, NIA)에도 신고한다.

또 대형약국은 내부 관리계획을 수립해 시행해야 한다.

복지부와 안전행정부는 이 같은 내용의 '개인정보보호 가이드라인(약국편)'을 제정했다.

약국에서 개인정보를 수집해 처리하는 모든 업무과정에서 고려해야 할 절차와 규칙 등을 정의한 지침이다.

19일 가이드라인에 따르면 먼저 약국은 처방전, 요양급여청구정보, 조제기록부, 홈페이지 회원정보 등에 대해 개인정보 처리방침을 수립하고 공개해야 한다.

처리방침 공개는 홈페이지 게재가 원칙이지만 홈페이지가 없는 약국은 접수창구 등에 게시해도 된다.

또 처방전, 요양급여청구정보, 조제기록부는 동의없이 수집 이용할 수 있지만 홈페이지 회원정보는 반드시 동의가 필요하다.

만약 정보주체 동의없이 처방전 환자정보를 조제, 급여청구 이외의 용도(우편물발송, 휴대문자 전송 등)로 사용하는 것은 법령에 위반된다. 벌칙도 5년이하의 징역 또는 5000만원 이하의 벌금으로 중하다.

홈페이지 상담코너의 성명과 이메일 주소 입력도 정보주체에게 동의를 받아야 할 대상이다. 또 상담 중 건강정보(병력이나 신체적, 정신적 장애같은 민간정보 수집 때는 포괄적 동의 불가)를 수집하는 경우도 별도 동의가 필요하다.

이와 함께 개인정보를 위탁할 때는 문서화하고 위탁사실도 공개한다. 또 개인정보처리방침 공개, 개인정보보호책임자 지정, 비밀번호설정 백신설치, 암호화 등 보호조치를 시행해야 한다.

개인정보 제3자 제공은 정보주체의 동의, 법률적 근거, 급박한 생명.신체의 이익 등 개인정보보호법에서 지정하는 사항 이외에는 제3자에게 제공할 수 없다.

가령 의료기관에서 전화상으로 환자의 조제내역을 문의하면 약사법 위반이 될 수 있기 때문에 환자나 보호자와 직접 연락할 수 있도록 조치하는 게 바람직하다.

보험회사의 요청도 마찬가지다. 보험회사는 자동차보험진료수가를 청구받으면 해당 의료기관에 관련 진료기록 열람을 청구할 수 있지만 약국은 대상이 안된다.

환자본인이나 배우자, 직계존비속, 배우자의 직계존속 등 정보주체의 열람 요청이 있으면 10일 이내에 처리한다. 단, 법률에 따라 수집하는 정보는 정정, 삭제 요청이 불가하다.

아울러 개인정보는 보유목적이 달성되면 파기한다. 보유기간은 처방전 2년(급여비를 청구한 처방전 3년), 급여청구정보 5년, 조제기록부 5년 등이다.

개인정보가 유출되거나 해킹 등의 침해를 받은 경우 정보주체에게 유출사실을 알려야 한다. 1만건 이상 유출됐다면 안전행정부 또는 전문기관에도 신고한다.

또 인터넷 홈페이지나 사무소, 사업장 등의 보기 쉬운 장소에 최소 30일 이상 유출사실을 게시해야 한다.

이밖에 공개된 장소에 CCTV를 설치했으면 안내판을 게시하도록 했다. 영상정보도 안전관리대상인 데, 임의조작과 녹음기능 사용은 금지된다.

또 상시근로자가 5인이상이거나 개인 정보처리시스템을 직접 구축해 사용하는 대형약국은 개인정보 안선헝 확보조치 일환으로 내부관리계획을 수립해 시행해야 한다.

소형약국은 1D 1ID를 사용하고 업무상 불필요한 직원은 고객관리프로그램에 접속하지 못하도록 관리가 필요하다. 비밀번호는 최소 6개월 주기로 변경한다.