개인정보 처리 별 자주 나오는 질문 자료집 2017.11.28

개인정보 처리 별 잦자주 나오는 질문 자료집 입니다.
업무에 참고하시기 바랍니다.
출처 : 대한병원협회, 행정안전부, 한국인터넷진흥원

1.개인정보 처리별 FAQ-수집단계
Q1. 홈페이지 간편예약 등에서 전화번호, 이름, 수집시 하단에 개별동의를 받아도 될까요?
→ 예약시 전화번호, 이름 사용하실거면 개별동의를 받아도 됩니다.
Q2. 홈페이지 에약시 내부 데이터베이스 접속을 해야 하는데 기술적 방안은 무엇인가요?(예:오라클 프로시저 권한 부여 등)
→ GATEWAY 서버(중계서버)를 사용하시어 필요한 정보만 중계서버를 통해 넘겨주고 중계서버는 홈페이지 서버로 넘겨주면 됩니다.
단, 저장은 하지않는 방법으로 구현하시면 될 것 같습니다.
Q3. 온라인 예약 중에 대리예약은 개인정보보호법에 어긋나는지? 만약 그렇다면 법률에 맞게 어떻게 진행해야 하나요?
→ 예약시 전화번호, 이름만 수집하는 것으로 동의를 받으시면 될 것 같습니다.
Q4. 로그인 방법중에 네이버, 카카오톡, 페이스북 등의 계정사용은 개인정보보호법에 위반되지 않나요?
→ 수집 동의를 받으면 될 것 같습니다.
Q5. 외래환자 이송시 환자정보(소견서 검사결과 등)를 타병원 제출을 위해 환자에게 직접 서면으로 전달하는 경우 개인정보/민감정보/고유식별정보제공동의서를 다 받아야하나요?
→ 응급사항이 아니면 받으시면 됩니다.
Q6. 병원에서 환자진료 접수시 성명, 주소, 주민등록번호, 전화번호를 받고있습니다. 이때에도 개인정보 수집이용 동의서를 받아야하나요?
→ 병원에서 진료목적으로 사용은 가능합니다.
Q7. 병원에 방문한 만14세 미만 아동에게도 법정대리인의 동의를 받아야 하나요?
 → 병원에서 진료목적으로 사용은 가능합니다.
-2-
Q8. 개인정보 동의서를 받을 때 진료, 검진 등 치료 목적이 틀리면 2번 받아야하나요?
 → 최초에 한번 받으시면 됩니다.
Q9. 개인정보동의서는 1년 후 내원해도 다시 받아야 하나요?
 → 진료의 목적이 변동사항 없으면 다시 안 받아도 됩니다.
Q10. 글을 모르는 사람이 대신 접수를 부탁하면 개인정보를 취득해서 접수해도 되나요?
 → 신청에 대한 위임장을 제출받아 접수할 수 있습니다.
Q11. ‘2.2.2 주민등록번호 외 회원가입 방법 제공하는가?’ 항목에 주민등록번호를 입력하지 않아도 회원가입이 된다면 올바른 것인가요?
 → 회원가입 시 주민등록번호를 사용을 금하는 겁니다.
Q12. 진료시 진료 외 목적으로 개인정보보호 수집동의서를 받고 있습니다. 이때 별도로 고유식별 정보 수집 동의를 꼭 받아야 하나요?
 → 받아야 합니다.
Q13. 연구 및 논문 작성 등으로 암환자의 생존여부를 파악하기 위해 통계청(통계청마이크로데이터)에 성명없이 주민등록번호만 제공하여 생존여부 자료를 받아도 되나요? (현재는 개인정보보호법에 위반 될까봐 생존여부 요청을 못하고 있음.)
 → 암 관리법 등에서 정하는 권한 범위 내에서 처리하는 주민등록번호에 한하여 처리 가능하며, 이외에는 처리가 불가능합니다.
Q14. 환자를 지속적으로 관찰해야 하는 중환자실, 심폐소생실, 집중치료실의 경우 환자 모니터링을 위해 CCTV 설치가 가능한지요? (CCTV 녹화 및 저장의 기능은 없고,관찰만을 위한 CCTV 설치)
 → 의료 목적으로 가능합니다.
Q15. 연구에서 아르바이트 인력의 인건비 지급을 위해 개인정보를 수집할 때 이에 대한 동의서를 따로 받아야하나요?
 → 받아야 합니다.
Q16. 외국인이 임상시험에 참여하고자 할 경우 본인의 (예: 중국) 동의서를 받을 때 통역가능한 제3자의 임상시험 관련 동의서(한국어/중국어 동시 가능한) 도 함께 받아야 하는데 이때, 제3자에게도 개인정보 수집이용 동의서도 반드시 받아야 하나요?
 → 받아야 합니다.
Q17. 친족 확인을 할 수 없는 환자가 의식이 없거나 사망한 경우 법적 혼인이 아닌사실혼 관계의 동거인 보호자나 다른 동료에게 환자 진료정보 제공 등 행정사항을처리할 수 있는지요?
(상세) 과거와 비교하여 친족을 확인할 수 없는 1인 가구가 늘고 있고, 법적인혼인이 아닌 사실혼 관계로 동거를 하는 경우의 동거인이 환자의 보호자인 경우가늘고 있습니다. 이러한 경우 환자가 생존해 있고, 의식이 있다면 문제가 될 것이없습니다. 그러나 환자가 의식이 없거나 사망한 경우에는 친족이 아닌 동거인이나 다른 동료가 환자와 관련한 많은 행정적이거나 기타 다른 사유의 상황들을 정리하고 처리해야 하는 경우들이 많습니다. 이러한 경우, 환자의 진료와 관련한 정보를 제공할 수 없는 경우들이 다수 발생하고 있습니다. 실제 환자의 진료비 등의 처리에 있어서는 그의 자격에 제한을 두지 않는 반면, 이후 환자의 진료정보 제공에 있어서는 자격 제한을 두는 상황으로 인해 민원이 발생하고 있습니다. 이에 대한 해결책이 필요하다고? 생각됩니다. 이러한 경우에 환자의 진료정보를 제공할 방법이나 절차가 있는지요?
 → 진료기록에 대하여는 의료법에서 원칙적으로 제3자에 대한 제공을 명백히 금지하고 있고,예외적으로 배우자, 직계존비속, 형제, 자매, 배우자의 직계존속 등이 친족관계를 확인하는증명서를 첨부한 경우에만 허용하고 있는 점을 들 때, 동거인 또는 다른 동료들에게는제공할 수 없다고 해석하여야 합니다.

-3-

2.개인정보 처리 별 FAQ - 이용 및 제공단계
Q18. 타의료기관에서 환자가 가지고 온 자가약 식별이 안 되어 유선으로 문의 전화가오는 경우 알려줘도 되는지요?
 → 진료에 관한 행위인 경우 기관 확인 후 필요한 내용만 진행하셔도 될 것 같습니다.

     단, 위 행위에 대한 기록은 남기셔야 합니다.
Q19. 진료비심사용으로 타의료기관에서 환자 검사결과 확인 전화가 오는 경우 알려줘도 되나요?
 → 진료에 관한 행위인 경우 기관 확인 후 필요한 내용만 진행하셔도 될 것 같습니다.

     단, 위 행위에 대한 기록은 남기셔야 합니다.
Q20. 치과의원에서 환자 발치 전 아스피린 복용여부 확인 전화가 오는 경우 알려줘도되나요?
 → 진료에 관한 행위인 경우 본인 확인 후 필요한 내용만 진행하셔도 될 것 같습니다. 단, 위행위에 대한 기록은 남기셔야 합니다.
Q21. 개인(환자가 연로하여 젊은 보호자), 기관(예 : 검찰 등) 또는 타의료기관(진료연계 상)에서 환자의 복용 약물에 대한 문의전화가 오는 경우 알려줘도되는지요? 개인인 경우 민원으로 확대되는 사례가 종종 있습니다.
 → 진료에 관한 행위인 경우 본인 혹은 기관 확인 후 필요한 내용만 진행하셔도 될 것같습니다. 단, 위 행위에대한 기록은 남기셔야 합니다.
Q22. 개인정보 처리 위탁할 때 수탁자의 관리∙감독의 경우 정해진 계획수립 및 체크리스트 양식이 있나요?
 → 개인정보보호 종합포털(www.privacy.go.kr) 자료마당에 있습니다. 아니면 대한병원협회에게문의를 해 보셔도 됩니다.
Q23. 본원에서 진료 받은 환자의 정보(진단명, 검사결과, 투약 등)를 타병원에서 환자진료 시 필요하여 의료진이 요구하는 경우 별도의 양식에 환자이름,주민번호, 서명/(요구하는) 병원명, 의사이름을 받고 팩스로 송수신하여 정보공개하는 것이 가능한가요?
 → 병원 간에 진료 기록 연계부분은 환자에 동의가 있으면 가능한 걸로 알고 있습니다.

- 4 -
Q24. 고려대학교의료원은 산하 3개 병원(안암,구로,안산)이 있습니다. 의료원 산하3개병원은 각각의 사업자로 운영되고 있지만, 교수, 전공의, 직원 등은 순환근무를 하고 있습니다. 의료원 산하 3개 병원 간 진료, 교육, 연구를 위하여 환자의진료기록을 활용하는것이 가능한가요? 가능하지 않다면 법률에 맞게 어떻게 진행해야 하나요?
 → 연구의 목적이면 개인정보 비식별화 하여 심의를 거처 사용 가능합니다.
Q25. 내원하는 환자에게 진료예약문자 발송 동의서를 받았는데 진료예약외의 진료시간표, 휴진안내 등을 보내도 되나요?
 → 선택 동의를 받고 보내시면 됩니다.
Q26. 홈페이지를 운영하고 있지만 도메인과 호스팅은 저희가 구매하고 홈페이지 제작및 관리는 계약 업체에서 진행하는 경우 회원가입한 사람의 정보는 병원에서삭제를 해야 됩니까?(주민번호 없이도 회원가입가능)
 → 주는 병원에서 관리를 해야 하면 삭제 행위는 계약 업체가 해도 됩니다. 삭제 시 관리감독은 병원에서 해야 합니다.
Q27. 환자가 약처방전을 잃어버려 보호자가 대신 재 발행하기 위해 방문했습니다. 동의 없이 발행해도 되나요?
 → 최초 동의를 받으시면 재동의를 받지 않으셔도 됩니다.
Q28. 연말정산 영수증 발행하기 위해 보호자가 방문했습니다. 환자 동의 없이발행해도 되나요?
 → 국세청에 문의를 해보세요.
Q29. 재단 내 2개 이상의 의료기관이 있습니다. 재단을 1개의 의료기관이라 생각하고 재단 내에서 권한을 부여 받아 재단 소속의 업무를 목적으로 환자의 전체 기록을 열람해도 되나요?
 → 법인이 다르기 때문에 권한을 분리하여 사용하여야 합니다.
- 5 -
Q30. 전화로 환자 정보(진료예약일, 검사명, 약명, 진단명, 검사결과, 검사예약일)를 알려주는 경우 어디까지 알려 줄 수 있나요?
 → 의료법에 따라 하시면 될 것 같습니다.
Q31. 타 병원 의료진이 환자 진료정보를 전화로 문의하는 경우 알려줘도 되나요? 만일 서류가 필요하다면 어떤 서류를 받아 둬야 하나요?
 → 환자 동의가 있으면 가능합니다.
Q32. 본원을 다녀간 환자가 타 병원 응급실을 방문하였습니다. 전화로 그곳 응급실이라 밝히면서 환자의 투약, 검사결과, 진단명, 수술명을 문의하는 경우 알려줘도 되나요?
 → 환자 동의가 있으면 의료인에게는 가능합니다.
Q33. 재진 환자의 경우 환자 대신 약 처방이나 시행한 검사결과 확인 목적으로 대리진료를 받으러 올 경우 약 처방이나 검사결과를 알려줘도 되나요?
 → 본인동의가 있어야 합니다.
Q34. 재단 내 2개 이상의 병원을 운영하고 있습니다. A라는 병원 소속 직원이 B병원 웹 서버에 접근할 수 있는 권한을 재단으로부터 부여 받았을 경우, 환자 정보에 접근해도 되나요?
 → 법인이 다르기 때문에 권한을 분리하여 사용하여야 합니다.
Q35. 가족이 검사(내시경,시술)하는 진행화면을 보여 달라고 요청하는 경우 보여줘도 법적인 문제가 없나요?
 → 본인 동의 및 의료법 확인이 필요합니다.
Q36. 재단 2개의 의료기관의 업무를 관리하는 headquarter 소속이 있습니다.
Headquarter에 소속된 직원은 양병원의 인사정보를 공유해도 되나요?
→ 법인이 다르면 계약서 등을 수립, 정보주체 동의를 받으셔야 합니다.
- 6 -
Q37. 외부 재단으로부터 진료비를 지원받는 환자입니다. 본원에서 재단에 진료비 청구위해 환자의 진료비 내역서를 보낼 경우 환자로부터 개인정보 제3자 제공 동의서를 받아야 하나요? 또한 정보제공 리스트도 작성해 놓아야 하나요?
 → 의료법 등 관련 법령에 특별한 규정이 없는 한 동의서를 받는 것이 원칙입니다.
Q38. 2~3개의 병원과 진료협력을 체결하고 있습니다. 이때 본원에서 진료 받고 협력병원으로 환자가 이동한 경우 협력병원 진료의뢰센터에서 환자의 검사결과나 의무기록을 요청할 경우 동의 없이 제공해줘도 되나요?
 → 의료 목적으로는 가능합니다.
Q39. 전화상으로 공공기관(주민센터, 심평원, 공단 등)의 직원이 환자 진료기록을 확인하는 경우 전화상으로 직원에게 알려줄 수 있나요?
 → 관련 법 또는 본인 동의 없이 알려 줄 수 없습니다.
Q40. 전화상으로 보험회사 직원이 환자가 제출한 진료비 영수증에 대하여 궁금한 점이 있어 전화상으로 물어봅니다. 예를 들면 수납한 금액을 물어보는 경우 확인해서 알려 줄 수 있나요?
→ 관련 법 또는 본인 동의 없이 알려 줄 수 없습니다.
Q41. 전화상으로 환자의 지인이 본인이 환자 진료비를 지불해주고 싶어서 수납해야 할 금액을 물어봅니다. 알려 줄 수 있나요?
 → 환자의 동의가 필요합니다.
Q42. 환자에게 수술하기 전, 수술 장면을 녹화하겠다는 별도 동의를 받고 녹화하였습니다. 환자가 본인의 수술영상이 담긴 파일을 요청할 경우, 제공해도되는지요? 의사는 본인의 술기가 담긴 영상이라 제공을 꺼려하는데, 환자는계속적으로 요청할 경우 어떻게 해야 하는지요?
 → 의료법에 따라 하시면 될 것 같습니다.
Q43. 주치의가 아닌 의사가 임상시험에 참여할 대상자 모집을 위해 EMR 기록을 검토해도 되나요?
 → 의료법에 관련 사항을 찾아 보셔야 할 것 같습니다.
- 7 -
Q44. 환자가 본인의 전자의무기록의 접근 내역(직원이름, 접근사유, 접근시간 등)을 요구 할 때 직원의 이름을 반드시 제공해야 할 의무가 있는지요? 만약 직원의 이름을 제공한다면 직원에게 개인정보 제공 동의를 받고 환자에게 제공 하나요?
또, 이름이 아닌 ○○○팀 직원 등으로 표시 할 경우 별도의 동의 과정 없이 제공 가능한가요?
 → 직원의 이름은 제공하지 않아도 됩니다.
Q45. 이혼부부 사이의 자녀가 입원했을 경우 한쪽부모가 개인정보 보호를 신청하였을때 다른 부모가 정보를 요청할 경우 말해줘도 되나요?
→ 개인정보보호법상 만 14세 미만의 경우 법정대리인의 동의를 받도록 규정되었고, 민법은 부모가 이혼한 경우 친권자가 법정대리인이 되도록 규정하고 있으므로, 만 14세 미만인경우 친권자에게만 제공 가능하며, 만 14세 이상의 경우 본인에게만 제공이 가능합니다.
Q46. 부부사이가 좋지 않은 자녀의 입원 시 한쪽의 부모가 다른 쪽의 부모에게 정보를 제공하지 말라고 요청할 경우 어떻게 할 수 있나요?
 → 만 14세 미만의 경우 이혼하지 않은 경우 부모 모두 법정대리인에 해당하므로 양 쪽에제공 가능하며. 부모가 이혼한 경우 위 45번 질문을 참조하시기 바랍니다. 만 14세이상의 경우 본인의 의사에 따라야 합니다.
- 8 -
3. 개인정보 처리 별 FAQ - 관리(보관)
Q47. 인터넷 예약 간 비정형화된 질의사항 기록을 위한 비고(Remark)에 환자가 직접 주증상 및 개인정보 기록을 할 수가 있는데, 이런 경우의 관리방법을 알고싶습니다.
 → 암호화 하여 사용하시면 됩니다.
Q48. 홈페이지 예약 시 내부 데이터베이스 접속을 해야 하는데 기술적 방안은 무엇인지요? (예 : 오라클 프로시저 권한 부여 등)
 → Gateway 서버(중계 서버)를 사용하시어 필요한 정보만 중계서버를 통해 넘겨주고 중계서버는 홈페이지서버로 넘겨주면 됩니다. 단 저장은 하지 않는 방법으로 구현하시면 될 것 같습니다.
Q49. 개인정보보호법을 준수하기 위해 가능한 한 모든 솔루션 및 장비를 도입 및 운용관리를 해야하나요? (비용 문제 등) 최소한의 보안솔루션 및 운용 방안은 무엇인지요?
 → 방화벽, 침입탐지시스템, 문서관리, 백신프로그램(서버포함), 접근통제 솔루션, 저장매체(USB) 관리 솔루션 등이 있습니다.
Q50. 의료기관의 노동조합에서 조합원 회원가입을 위한 개인정보 수집의 경우 해당 의료기관에서 개인정보보호 관리를 해야 할지, 노동조합에서 자체적으로 관리하는지 궁금합니다.
 → 노동조합에서 먼저 관리가 되야 하고 의료기관에서는 관리 감독하시면 될 것 같습니다.
Q51. 개인정보 보관시 같은 공간에 칸막이를 하고 2중 잠금장치를 하면 되는지 아니면 별도로 보관해야 하나요?
 → 별도로 보관하셔야 합니다.
Q52. 개인정보 교육을 전문적으로 받은 사람이 꼭 있어야 되나요? 전문적이지는 않지만 개인정보담당자가 선임되어 있습니다.
 → 개인정보 담당자는 적격하여야 하며 주기적으로 교육도 받아야 합니다.

- 9 -
Q53. 물리적보안(개인, 서버, 접근제어 등)을 어느 단계까지 해야 되는지 정확한 항목을 알려주셨으면 합니다.
 → 개인, 서버, 접근제어 등 모두 다 하시어야 합니다.
Q54. 환자한테 주는 영수증, 원외처방전, 진료내역서 등에 환자의 진료내역, 전화번호 등이 있는데 환자가 분실하는 경우 책임을 져야하나요?
 → 적법한 절차에 의하여 제공한 이후 정보주체인 환자가 분실한 경우라면 책임이 없습니다.
Q55. CCTV를 설치 운영 중 인데 설치만 업체에서 하고 관리는 병원에서 합니다.CCTV녹화내역보관기간과 저장일이 따로 명시되어 있나요?
 → 예. 내부규정인 영상관리지침에 명시하고 있어야 합니다.
Q56. 방화벽을 사용하고 있지만 개인정보보호법에선 UTM를 사용 하라고 하는 것같습니다. 비용이 발생하는데 꼭 바꾸어야 합니까?
 → 개인정보 안전성 확보조치 기준 또는 동 기준 해설서 어디에도 UTM을 사용하도록 규정하고 있지 않으며, 방화벽을 통한 접근통제도 적절한 것으로 해석되고 있습니다.
Q57. DB암호화 DB접근제어 공인인증 3개정도 솔루션을 도입하여 운영 중 입니다. 또다른 솔루션이 필요하나요?
 → 필요시 문서관리, 매체제어 등 솔루션을 고려해 볼 수 있습니다.
Q58. 업무PC 외 의료장비PC(내시경 X-RAY 등) 환자용PC(인터넷 검색, 치료용)에도백신이 설치가 되어야 합니까?
→ 백신 프로그램 설치되어 있어야 합니다.
Q59. 저희 의료정보실(전산실)은 24시간 당직이 있습니다. 물론 전산실 직원(80%)이 순번제로 하고 있습니다. 당직업무는 현업의 업무 요청에 따라 DB에 접근(수정, 삭제등)해야 하는경우가 많이 발생하고 있습니다. 근데 사실 법에는 DB관리자는 제한해야 하는데 저희처럼 당직이라는 업무를 해야만 하는 경우는 인원수를 최소한으로 할 수 있는 부분이 아닙니다.즉, DB관리자를 최소화 하는데 한계가 있습니다. 어떻게 해야 할까요?
 → 1인 1 계정을 사용하시고 필요시 그 계정에 대해 예외정책을 사용(원장님 승인) 하시고 계정 사용 내용을 기록하시고 주기적으로 검토하여 보고하시면 될 것 같습니다.

- 10 -
Q60. 재단 내 2개 이상의 병원인 경우 정보보호 책임자는 각각 있어야 하나요?
 → 각각 있어야 합니다.
Q61. 의무기록 법적 보관기간은 진료개시일로부터 10년이며, 1회 연장가능하다
했습니다. 4~50년 된 의료기간이 2011년에 EMR을 도입하면서 종이 진료기록을스캔했습니다. 지금의 전자의무기록은 일자별로 구분이 가능하지만 예전의종이기록은 종이 한 장에 여러 날의 진료내용을 담아서 분리를 할 수 없습니다.이 경우 의료법에서 얘기하는 진료개시일로부터 법적보관기간을 산정하여 폐기할 수 없습니다. 어떻게 처리해야 하나요?
 → 해당 문제와 관련한 별도의 조항이나 해석도 찾기 어려우므로 원칙대로 10년 경과한 진료기록부는 파기하여야 합니다.
Q62. 의무기록이 아닌 입원약정서 보존기한이 어떻게 되는지요?
 → 의료법에 따라 보존기한을 하시면 될 것 같습니다.
Q63. 의료법에 명시되어 있지 않은 모든 서류의 보존기한을 병원에서 정한 내규로 보존할 수 있나요?
 → 관련 타 법률에 따라 하시면 될 것 같습니다.
Q64. 일반쓰레기통에 환자가 본인의 개인정보가 포함된 (등록번호, 이름 등)진료비영수증, 약봉지 등을 버려 개인정보가 유출된 경우 어떻게 해야 하나요?
 → 일반쓰레기통에 대하여 까지 개인정보의 관리책임 범위가 있다고 볼 수 없으므로 책임까지있다고 보기는 어렵습니다. 다만 쓰레기통에 관련안내문을 부착하여 유출사고 예방을 하는 것을 권합니다.
Q65. 환자가 타인의 명의로 진료를 볼 경우, 의료기관에서 대처방법은 무엇인지요?주민등록번호 도용 등의 문제로 신고를 해야 할 경우 절차에 대하여 궁금합니다.
 → 본원에 개인정보보호담당자/책임자에게 연락하시기 바랍니다.
Q66. 홈페이지를 통한 자원자 모집 시 개인정보 보관 기간은 몇 년으로 해야 하나요?
 → 보관 기간이 법적으로 정해져 있는 것 아니라 내부 규정을 만들어 놓으시면 됩니다. 보통 다른 곳에는 1년 보관하고 있는 걸로 알고 있습니다.

- 11 -
4. 개인정보 처리 별 FAQ - 파기
Q67. PACS 저장장치(스토리지) 폐기 시 RAID로 구성된 디스크를 포맷(BCwipe)하거나 물리적으로 재활용 가능 시 디스크 위치변경을 해도될까요?
 → 포맷하시고 파기대장에 기록을 남기고 사용하시면 될 것 같습니다.
Q68. PC 하드디스크 파기 시 내부계획에 의거 BCwipe 등 삭제 프로그램으로 포맷 후 일반 PC분리수거로 폐기가 가능한가요?
 → 포맷하시고 파기대장에 기록을 남기고 파기하시면 될 것 같습니다.
Q69. PC 하드디스크 파기 시 비용지출 없이 디스크를 자체 파손시키고 전자문서 등으로 이력을 남길시 폐기 증빙자료로 활용이 될까요?
 → 복구할 수 없도록 파기를 하시면 가능할 것 같습니다.
Q70. 개인정보 폐기 시 폐기업체가 주는 내용을 받으면 되나요? 아니면 참관을 해야하나요?
 → 참관하시고 기록에 남기셔야 합니다.
Q71. 개인 종합검진을 받을 시 정보제공 동의서를 작성합니다. 이때 검사자는 건강검진결과를 수령 할 때까지만 정보를 제공하고, 그 이후는 제공한 정보와 시행한 종합검진 내역 모두 삭제해달라고 합니다. 제공한 정보를 삭제해 줘야 하나요?
 → 의료법에 있는 의무기록(10년 보관) 등 보관 기간을 확인 하시고 절차대로 진행하시면 될것 같습니다.
Q72. 환자 수액에 붙어있는 환자정보 스티커 (등록번호, 이름, 진료과 등)의 경우,의료폐기물에 함께 폐기해도 되는지요?
 → 복구될 수 없도록 삭제하면 가능합니다.

- 12 -
5. 개인정보 처리 별 FAQ - 기타
Q73. 원내에서 보관중인 데이터의 월단위 정기점검 일지는 개인정보보호 수검 시 증빙자료로 활용이 될까요?
 → 점검 내용에 개인정보보호점검 내용이 있으면 가능합니다.
Q74. 개인정보보호법 3.3.1에 비밀번호 및 바이오정보의 저장 시 암호화를 하고 있는가의 항목에 바이오정보는 정확하게 무엇을 뜻하며 비밀번호가 어떤 비밀번호 인가요?
 → 지문, 홍채, DNA 등이 바이오 정보이고 비밀번호는 이런 바이오정보를 가지고 사용할 때 암호화를 하셔야 합니다.
Q75. 저희병원은 전공의 수련병원입니다. 12월부터 전공의법 변경에 따라 전공의에 대한 근무시간에 대해 철저히 관리가 되어야하는 상황입니다. 그래서 저희병원에서는 전공의에 대한 근무시간을 CHECK하여 병원 시스템의 접근을 제한하고 있습니다.
사실 전공의 근무시간이 딱 잘라 마무리 될 수 없는 부분이라 전산으로 제한을 두니 진료(처방)하다가 중단되는 상태가 생깁니다. 그래서 각 진료과에서 전공의공용ID(즉, 공용으로 사용하고 근무시간에 제한이 없는 ID)를 부여해 줄 수 있는지 문의를 합니다. 개인정보보호법에 의해 안 된다고 하지만 진료가 안되는 상태가 계속 발생하니 한계가 있습니다. 어떻게 해야 할까요?
 → 1인 1계정을 사용하시고 필요시 그 계정에 대해 예외정책을 사용(원장님 승인) 하시고 계정 사용 내용을 기록하시고 주기적으로 검토하여 보고하시면 될 것 같습니다.
Q76. 의료기관이 정보통신망법에 적용을 받는지요?
 → 홈페이지 등 망을 사용하시어 정보통신망법에 적용받습니다.
Q77. 의료기관이 법적 의무로 망분리를 꼭 해야 하는지요?
 → 법적으로 의무는 아니지만 분리해 가는 추세입니다.
Q78. 의료기관에서 CIO, CISO가 겸직을 해도 되는지요?
 → 의료기관에서는 아직 겸직해도 됩니다.
Q79. 병원협회 회원이 아니더라도 자율점검을 병원협회에서 받을 수 있는 건가요?
 → 가능합니다.
-13-