[데일리팜=강신국 기자] 복잡하고 챙겨야 할 것도 많지만, 위반하면 무거운 벌칙이 부과되는 게 개인정보보호법이다. 그동안 법 개정을 통해 개인정보보호 업무가 수정이 됐는데 개인정보보호위원회는 지난달 31일 가이드라인과 안내서 전면 개정안을 내놓았다.

위원회 가이드라인에는 약국 관련 내용도 별도로 정리돼 수록됐다.

◆약국 개인정보 수집 = 약국에서 환자 동의 없이 수집할 수 있는 개인정보는 먼저 처방전 정보가 있다. 성명, 주민등록번호, 의료기관명칭과 전화번호, 질병분류기호, 의료인의 성명 및 면허종류, 처방의약품, 발급연월일, 사용기간 등이다.

또한 조제정보 및 요양급여 청구 정보, 즉 가입자 성명, 건강보험증번호, 환자성명과 주민등록번호, 질병명, 요양급여비용의 내용, 본인부담금 및 비용청구액, 처방전 내용 등도 동의 없이 수집 가능하다. 약사법 적용을 받는 약국 입장에서는 사실상의 특혜다.

다만 주의할 점은 처방전 정보를 환자 동의 없이 고객관리용도로 사용할 수 없다. 정보주체의 동의 없이 처방전의 환자정보를 조제, 보험급여청구 이외의 용도(우편물발송, 휴대폰 문자 전송 등)로 사용하는 것은 개인정보보호법 위반이다.

환자 동의 없이 고객관리용도로 사용하면 전체 매출액의 100분의 3을 초과하지 않는 범위에서 과징금이 부과된다.

다만 약국에서 법률에 특별한 규정이 없는 경우 등 다른 적법근거가 없는 경우에 정보주체로부터 동의를 받아 개인정보를 수집할 수 있고 그 수집 목적 범위 내에서 이용할 수 있다.

예를 들면 구충제 투약일 안내 등 고객관리를 위한 개인정보의 수집·이용이 가능하며 할인 행사 광고 문자 발송 등에 이용할 수 있다.

판매를 권유하기 위해 개인정보 처리에 대한 동의를 받으려는 경우 정보주체가 명확하게 인지할 수 있도록 다른 동의 사항과 구분해 각각 동의를 받아야 하고, 정보주체가 동의 여부를 선택할 수 있도록 보장해야 한다.

개인정보 수집시 고객에게 알려하는 반드시 알려한 하는 내용은 ▲개인정보의 수집 이용 목적 ▲수집하고자 하는 개인정보의 항목 ▲개인정보의 보유 및 이용기간 ▲동의를 거부할 권리가 있다는 사실과 동의 거부에 따른 불이익이 있는 경우 내용 등이다.

여기서 중요한 점은 정보주체의 동의를 받아 개인정보를 수집하는 경우에도 최소한의 개인정보만 수집해야 이 경우 최소한의 개인정보 수집이라는 입증책임은 약국이 부담해야 한다.

◆개인정보 3자 제공 = 응급의료기관에서 응급환자의 진료를 위해 조제내역을 요청한다면 목적 외 제공이 가능하다. 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 개인정보의 목적 외 제공을 허용되기 때문이다.

의료기관에서 전화상으로 환자의 조제내역을 알려달라고 하는 경우 전화상으로 환자의 조제내역을 알려주면 약사법 위반이 될 수 있다. 전화상으로 환자의 동의여부를 확인하기 어려운 경우에는 개인정보를 제공하지 않도록 주의해야 한다.

보험회사에서 환자의 조제내역을 알려달라고 하는 경우도 알려준면 안된다. 조제내역과 같은 개인정보를 제3자인 보험회사에게 제공하면 원칙적으로 환자의 동의를 받아야 한다.

보험회사는 자동차손해배상 보장법에 근거해 자동차보험진료수가를 청구 받으면 그 의료기관에 진료기록의 열람을 청구할 수 있지만, 약국은 의료법 상 의료기관이 아니기 때문에 개인정보 보호 상 '다른 법률에 특별한 규정이 있는 경우'에 해당되지 않기 때문이다.

◆개인정보 파기 = 약국은 수집·이용 목적을 달성하거나 법적 의무보존기간에 도달한 조제정보 등 개인정보를 지체 없이 파기하는 것이 바람직하다.

다만 환자 등 정보주체로부터 개인정보 보유·이용기간에 대한 법적 의무보존기간 이외의 기간 동안 활용할 수 있도록 동의를 받은 경우 보존기간을 연장할 수 있다. 또한 약국 개설자가 조제정보의 연장보관이 필요하다고 판단하는 경우 공공기관의 기록물관리에 준하는 절차 즉 조제기록심의회와 같은 내부 심의 절차를 거쳐 보존기간의 연장 또는 폐기를 결정할 수 있다.

또한 약국은 법령에 따라 개인정보를 파기하지 않고 보존하는 경우(처방전: 2년(요양급여비용을 청구한 처방전은 3년) ▲ 조제기록부 등 요양급여청구 관련 자료 5년)에는 해당 개인정보 또는 개인정보 파일을 다른 개인정보와 분리해서 저장･관리해야 한다.

미 파기 정보가 기존 개인정보와 혼재돼 있으면 개인정보의 목적 외 이용이나 유출, 오남용의 위험성이 커지므로 미 파기 정보는 오로지 다른 법령에서 보존하도록 한 목적 범위 내에서만 처리 가능하도록 관리해야 한다. 개인정보 미 파기시 3000만원 이하의 과태료가 부과된다.

약국 폐업시 개인정보의 보유목적이 달성된 것으로 보아, 보유하고 있는 개인정보는 파기하는 것을 원칙으로 한다. 다만 조제기록부·처방전·요양급여청구서류 등 약사법, 국민건강보험법에 의해 일정기간 보관이 의무화된 정보는 약국 대표자가 의무기간 동안 보관해야 한다.

약국 양도 시 개인정보 보호 조치를 위해서는 약국을 양도하면서 보유중인 개인정보를 이전하려면 정보주체에게 이전 사실을 통보해야 한다. 서면 등의 방법이나 연락처가 없어 통지가 불가능한 경우 홈페이지 또는 약국 내에 이전 사실을 30일 이상 공지하면 된다.

개인정보취급자 개념도 중요하다. 약국에서 근무하며 개인정보를 취급하는 모든 자가 해당되므로, 시간제 약사나 아르바이트생 등에 대한 관리와 감독을 철저히 해야한다. 이 경우에도 개인정보의 열람·처리 범위를 업무상 필요한 한도 내에서 최소한으로 제한해야 하며, 보안서약서를 징구하는 등 필요한 관리조치를 취해야 한다.