네트워크 병원 환자 DB, 누구의 것인가

지점이 수집한 환자 DB를 본부가 활용할 때 생기는 법적 위험

네트워크 의료기관에서 본부가 지점 환자정보를 무단 취득할 때 발생하는 의료법·개인정보보호법 위반 위험을 분석하고, 협진 동의·DB 관리 책임·계약서 체크포인트를 제시합니다.

병원은 일반적인 프랜차이즈와 달리 가맹사업법의 적용을 받지 않기 때문에, 이른바 “네트워크 병원”들은 주로 경영 컨설팅 계약, 광고 대행계약, 기타 다양한 업무의 위수탁(도급) 관계 형태로 본부-지점 관계를 맺고 있습니다. 지점은 독립적인 의료기관으로서 운영되지만, 본부가 제공하는 각종 서비스, 예를 들어 브랜드 사용, 경영 지원, 전자차트 프로그램 제공, 마케팅, 인사·노무관리 등 다양한 서비스를 컨설팅 형태로 제공받으며 일부는 계약상 수용 의무를 부담합니다.

이러한 구조에서 본부는 지점의 환자 데이터를 중앙 관리하는 고객관리시스템(CRM)이나 전자차트 서버를 운영하기도 하고, 또 통합 마케팅이나 환자 관리, 콜센터 운영 등을 위해 환자 정보를 지점과 공유하는 경우도 많습니다. 그러나 이러한 중앙 집중식 환자 DB 관리는 환자 개인정보 보호와 책임 소재 측면에서 여러 문제가 제기되고 있습니다. 특히 본부가 지점 환자들의 정보를 과도하게 취득하거나 독자적으로 활용하는 경우, 그 DB의 소유권이나 의료법 및 개인정보보호법 준수의 측면에서 분쟁의 소지가 됩니다.

개인정보 보호 법률과 환자 정보 공유 제한

의료 분야에서 환자의 개인정보(진료기록 포함)는 철저히 보호되며, 법률이 정한 예외나 환자 동의 없이 제3자에게 제공할 수 없습니다. 이는 의료법과 개인정보보호법 모두에서 명시된 기본 원칙입니다. 의료법 제21조 제2항에 따르면 “의료인, 의료기관의 장 및 종사자는 법이 정한 예외를 제외하고는 환자의 진료 정보를 절대 제3자에게 제공해서는 안된다”고 규정되어 있습니다. 개인정보보호법 역시 원칙적으로 정보주체(환자)의 동의 없이 개인정보를 제3자에게 제공하는 것을 금지하고 있으며, 예외가 있더라도 엄격한 조건 하에서만 가능합니다.

즉, 지점 병원에서 수집한 환자정보를 본부가 공유받거나 활용하려면 환자의 명시적 동의가 필요합니다. 물론 본부가 단순히 지점의 업무를 대신 처리하는 “수탁자”로서 정보를 취급하는 경우에는 동의 없이 위수탁계약만으로 법규를 준수할 수도 있지만, 처리 위탁에 대한 안내와 안전성 확보가 필요합니다(개인정보보호법 제26조). 그리고 본부가 해당 정보를 위탁자, 즉 특정 지점을 위해 사용하지 않고 브랜드 자체 마케팅 등 별도 목적으로 활용한다면 이 때에는 반드시 환자로부터 마케팅 활용 목적의 제3자 제공 동의를 별도로 받아야 합니다.

요컨대, 본부-지점 간 정보공유는 법적으로 위탁과 제3자 제공의 구분을 명확히 하고, 이에 맞는 동의나 절차를 거쳐 이루어져야 합니다. 그렇지 않을 경우 본부의 환자정보 취득은 의료법상 비밀누설이나 개인정보보호법 위반 문제가 될 수 있습니다.

의료기관을 위한 개인정보보호 가이드라인은 아래에서 다운로드 가능

https://blog.naver.com/perro_law/223006813797

의료기관 개인정보보호 가이드라인 (개인정보보호위원회, 첨부파일 O)

협진 및 병원 간 정보공유를 위한 환자 동의

네트워크 병원 간 협진(협력진료)이나 환자 소개가 이뤄질 때에도 환자 동의는 필수적입니다. 서로 다른 의료기관이 환자 정보를 공유하여 진료 협력을 하려면, 의료법에 따라 원칙적으로 환자의 사전 동의를 받아야 합니다. 2020년 의료법 개정을 통해 환자 본인의 요청이 있는 경우 의료기관 간 진료기록을 전자적으로 전송할 수 있는 근거(의료법 제21조의2)가 마련되었지만, 이 역시 환자의 요청(동의)이 전제됩니다. 환자가 원해서 다른 병원에 기록을 보내는 경우가 아니라면, 같은 네트워크 소속이라는 이유만으로 임의로 진료 정보를 주고받을 수는 없습니다.

따라서 네트워크 본부와 지점이 공동 진료 시스템이나 통합 전자의무기록(EMR)을 구축하려면, 환자에게 사전에 충분히 설명하고 동의를 받아야 합니다. 예컨대 “OO네트워크 병원 간 진료정보 공유에 동의하십니까?”와 같은 별도의 동의 절차가 필요합니다. 또한 동의 받은 경우에도 공유 범위는 진료 목적에 필요한 최소한으로 제한해야 합니다. 현재 정부도 의료기관 간 진료정보교류 사업을 추진하고 있지만, 환자 개인정보 보호를 위해 엄격한 동의 절차와 보안 대책을 요구하고 있습니다. 결국 환자 치료 편의와 개인정보 보호를 균형 있게 고려하여, 협진 시스템을 운영해야 합니다.

관련 포스팅 : 행정안전부 개인정보보호정책과 질의응답

https://blog.naver.com/perro_law/222193704698

같은 의료원 내의 병원들끼리 환자의 전자의무기록을 열람할 수 있는지

환자 DB의 소유권 vs. 관리 책임

네트워크 병원에서 환자 DB(연락처 등의 목록)를 둘러싼 분쟁에서는 흔히 “누가 DB를 소유하는가”가 쟁점이 됩니다. 하지만 법률적으로 환자 개인정보는 소유의 대상이 아니라 보호하고 관리해야 할 대상으로 보는 것이 타당합니다. 환자 정보는 재산권처럼 누구 마음대로 처분할 수 있는 것이 아니며, 환자가 동의한 목적 범위 내에서만 활용될 수 있습니다. 의료법과 개인정보보호법에 따르면 병원이 직접 수집한 환자정보는 그 병원이 관리책임을 집니다. 즉, 지점 병원이 진료를 통해 얻은 환자 인적사항, 연락처, 진료기록 등은 지점이 개인정보처리자로서 책임지고 안전하게 관리해야 합니다. 본부는 이를 함부로 “자산”처럼 여겨선 안 되며, 경제적 이익을 위해 거래하거나 무단 사용해서는 안 됩니다.

과거 실제 사례에서도, 분원 원장과 분리를 앞둔 의사, 마케팅 업체 등이 얽혀 환자 DB의 “소유권”을 서로 주장한 일이 있었습니다. 이 경우 법적 판단은 “소유권” 자체보다는 환자 동의를 누구에게 받았는지, 누가 정보관리 책임을 지고 있었는지에 따라 갈렸습니다. 병원이 직접 모집한 환자라면 당연히 병원이 정보를 관리하고, 제3자 업체는 이를 마음대로 활용할 수 없다는 것이 원칙입니다. 반대로 만약 본부나 외부 마케팅 업체가 독자적으로 환자 동의를 받아 정보를 수집한 경우라면, 그 제공받은 범위 내에서는 해당 업체(본부)가 정보를 활용할 여지가 생깁니다. 요컨대, DB “소유”를 따질 게 아니라 처음 정보 제공 동의를 받은 상대방과, 법률상 개인정보 관리 주체가 누구인지를 따져야 한다는 것입니다. 개인정보는 처리 주체가 있을 뿐 “소유권” 개념으로 다툴 문제가 아니며, 이를 두고 본부와 지점이 싸우는 것은 법 취지에 맞지 않습니다.

https://www.medicaltimes.com/Users/News/NewsView.html?ID=1145184

[메디칼타임즈] [오승준 칼럼]환자 DB에 관한 소유권 다툼 결론은?

특히 네트워크 본부와 지점 간 계약에서 환자 DB 관련 조항을 면밀히 살펴봐야 합니다. 흔히 본부는 계약서상 “환자 정보 활용 동의” 조항을 넣거나, 제3자 제공 동의를 환자로부터 받도록 합니다. 실제 한 네트워크에서는 환자 동의서에 “본부(네트워크 회사)에 개인정보를 제공”한다는 항목을 넣고, 계약서에도 “계약 종료 후에도 본부가 정보를 사용할 수 있다”는 취지의 내용을 포함시키고 있습니다. 법원은 이 경우 환자와 개원의 모두 본부의 정보 활용에 동의한 것으로 보인다고 판단하여, 개원장이 “환자 DB를 본부가 사용 못 하게 해달라”고 요구한 것을 기각했습니다. 다만 이 판결에서도 “본부의 행위가 관계 법령 위반 소지가 있는지는 별론”이라고 언급된 바 있듯이, 계약과 동의가 있었다고 해서 곧바로 모든 법적 문제가 해소되는 것은 아닙니다.

환자 입장에서는 자신이 방문한 지점 외에 본부가 정보를 보관·활용하는 것을 인지하지 못했을 가능성도 있으며, 감독 당국이 볼 때 의료법상 진료기록 관리 규정 위반으로 문제 삼을 수도 있습니다. 따라서 본부와 지점은 애초에 환자 DB 관련 책임과 활용 범위를 계약서와 내부 정책에서 명확히 규정하고, 환자들에게 충분히 고지 및 동의를 받아야 향후 분쟁이나 법적 문제를 예방할 수 있습니다.

환자 탈퇴 후 중복 연락(마케팅) 문제

네트워크 병원에서 흔히 나타나는 문제 사례 중 하나는 환자가 서비스나 마케팅 수신에 대해 “탈퇴”(동의 철회)한 후에도 본부와 지점으로부터 각각 마케팅 연락을 받는 상황입니다. 예를 들어, 지점 병원에서 더 이상 진료를 받지 않겠다거나 마케팅 문자 수신 거부 의사를 밝힌 환자에게, 얼마 지나지 않아 본부 명의로 홍보 문자가 추가로 발송되는 경우가 있습니다. 환자 입장에서는 이미 거부 의사를 밝혔는데 다른 출처로 다시 연락이 오면 큰 불편과 불신을 느끼게 됩니다. 실제 환자 DB 분쟁 사례에서도 서로 여러 주체가 동일 환자들에게 별도로 문자 메시지를 보내 영업함으로써 환자들의 불만을 산 바 있습니다. 이러한 중복 연락 문제는 본부와 지점 간 개인정보 활용 범위와 책임이 명확히 정리되지 않았을 때 발생합니다.

법적으로도 정보통신망법(현 전기통신사업법 및 이용자보호 관련 규정)에 따라 영리 목적의 광고성 문자를 보내려면 사전 수신동의를 받아야 하며, 수신 거부 의사를 표시한 경우 즉시 발송 중단 조치를 취해야 합니다. 환자가 지점 병원에서 수신거부를 했다면, 그 정보는 본부의 마케팅 DB에도 반영되어 전체 네트워크에서 더 이상 홍보 문자가 나가지 않도록 관리하는 것이 책임 있는 조치일 것입니다. 그러나 본부와 지점이 각기 별도로 환자 정보를 보유·관리하면서 서로 탈퇴 정보를 공유하지 않거나, 책임을 떠넘기는 경우, 이런 불필요한 중복 연락이 이루어집니다. 이는 환자에게 피해를 줄 뿐만 아니라 법적 제재 대상이 될 수 있는 위험한 행위입니다.

이를 방지하려면, 본부-지점 간 개인정보 처리에 대한 역할 분담을 명확히 해야 합니다. 예컨대 본부가 정보 처리자(수탁자)로서 지점 환자 데이터를 관리한다면, 지점으로부터 탈퇴 및 거부 의사를 신속히 전달받아 모든 마케팅 행위를 중단해야 합니다. 반대로 본부가 독자적인 마케팅을 위해 환자 정보를 이용한다면, 이는 사실상 제3자 제공 동의에 의한 별도 활용이므로 본부 스스로 환자 동의와 철회 관리에 책임을 져야 합니다. 어느 경우든 환자 의사를 최우선으로 반영하는 시스템을 갖추는 것이 중요합니다.

결론 및 제언

네트워크 의료기관 본부와 지점 간 환자 개인정보 관리에서는 “누가 정보를 가지고 이득을 볼 것인가”보다 “누가 정보를 책임지고 관리해야 하는가”를 우선하여 생각해야 합니다. 현재 많은 네트워크 병원들이 본부 중심으로 환자 DB를 활용하며 경영 효율을 높이려 하지만, 이는 자칫하면 개인정보보호법과 의료법 위반, 그리고 환자 신뢰 상실로 이어질 수 있습니다.

https://blog.naver.com/perro_law

의료법 산책 : 네이버 블로그