PIPA가 의료기관에 미치는 영향
개인정보보호법(PIPA)은 2020년 데이터 3법 개정 이후 지속적으로 강화되고 있으며, 의료기관은 일반 사업자보다 더 엄격한 기준이 적용됩니다. 환자 정보는 '민감정보'에 해당해 일반 개인정보(이름·연락처)보다 한 단계 높은 보호 기준이 적용되기 때문입니다. 홈페이지의 상담 폼·예약 시스템·온라인 진료 신청에서 수집하는 모든 정보가 PIPA 적용 대상이며, 위반 시 과태료(최대 5천만원)·형사 처벌·민사 손해배상까지 이어질 수 있습니다. 특히 2025년 이후 개인정보보호위원회의 의료기관 단속이 강화되어, 모든 병원 홈페이지가 점검 대상이 되었습니다.
수집 가능 정보 vs 별도 동의 필요 정보
수집 가능 정보(고지 후 수집): 이름·연락처·이메일·주소·상담 내용. 별도 동의가 필요한 민감정보: 1) 건강·진료 관련 정보 — 증상·진단명·복용약·과거 병력. 2) 주민등록번호 — 원칙적 수집 금지(예외 시 별도 법적 근거 필요). 3) 고유식별정보 — 외국인 등록번호·여권번호. 4) 사상·신념·정치적 견해. 5) 14세 미만 아동 정보 — 법정대리인 동의 필수. 흔한 위반 사례: '상담 신청' 폼에 '현재 복용 중인 약' 항목을 일반 정보처럼 받는 것 — 이는 민감정보 수집으로, 별도 동의 체크박스가 필수입니다. 또한 '주민번호 뒷자리 1자리' 같은 부분 수집도 금지입니다.
개인정보처리방침 필수 항목
개인정보처리방침에 반드시 포함될 8가지: 1) 수집 항목 — 모든 수집 정보 목록(상담 폼·쿠키·로그까지). 2) 수집 목적 — 항목별로 명확히. 3) 보관 기간 — 항목별로 명시(상담 정보 1년 등). 4) 제3자 제공 여부와 대상 — 결제대행사·문자 발송업체 등. 5) 위탁 처리 업체 — 호스팅·이메일 마케팅 업체 등. 6) 정보 주체 권리 — 열람·정정·삭제·처리정지 요구권. 7) 개인정보 보호책임자 — 이름·직위·연락처. 8) 변경 이력. 가장 흔한 누락: 위탁 처리 업체 명시 안 함 — Vercel·Supabase·SendGrid 같은 해외 서비스 사용 시 '미국 등 해외 위탁' 명시 필수입니다.
보관 기간과 파기 절차
보관 기간과 파기 절차: 1) 진료 기록 — 의료법상 5년 또는 10년 보관 의무. 2) 상담 신청·문의 — 일반적으로 '목적 달성 후 즉시' 또는 최대 1~3년. 3) 마케팅 정보 — '동의 철회 시까지' 또는 '최대 2년'. 4) 쿠키·로그 — 1년 이내. 보관 기간 초과 정보는 '복구 불가능한 방법'으로 파기해야 합니다. 단순 삭제 버튼만 누르면 디스크에 데이터가 남을 수 있어 위반. 추천: 1) DB에서 영구 삭제 + 백업본도 일정 주기로 파기. 2) 종이 문서는 분쇄. 3) 파기 일자·방법·담당자 기록 보관. 4) '이용목적 달성 후 즉시 파기'를 자동화하는 시스템 권장.
위반 시 처벌과 실제 적발 사례
최근 적발 사례: A 피부과 — 상담 폼에서 '현재 복용 약' 수집하면서 별도 민감정보 동의 미수령 → 과태료 1,000만원. B 치과 — 환자 후기를 동의 없이 SNS에 게시 → 과태료 800만원 + 시정 명령. C 한의원 — 개인정보처리방침에 위탁 업체(이메일 마케팅사) 미고지 → 과태료 500만원. 위반은 신고로 시작되는 경우가 대부분이며, 환자 1명의 신고로 전체 점검에 들어갑니다. 예방의 핵심: 1) 개인정보처리방침을 분기마다 점검·갱신. 2) 상담 폼 동의 체크박스 정확 운영. 3) 위탁 업체 변경 시 즉시 방침 업데이트. 담연스튜디오의 맞춤제작형은 PIPA 준수 개인정보처리방침 템플릿과 동의 체크박스 시스템을 기본 적용합니다.