보안서약서

어제 어떤 의원으로부터 보안서약서를 왜 받아야 하는지 문의 전화를 받았습니다.

그곳은 지난 자율점검 지원 컨설팅을 받은 곳이었는데, 방문 당시 보안서약서의 존재 조차 모르고 있었습니다.

일단 모든 간호사의 보안서약서를 만들어서 개인별 날인을 받아 자율점검에 대응할 수 있도록 알려드렸는데, 새로운 직원이 들어오게 되면서 이제서야 그 근거를 물어보는 것이었습니다.

 

당연한 것을 어떻게 설명드려야 할 지 순간 당황했지만, 몇 가지 법률적 근거에 따른 필요성과 실제 사고 발생 후 책임 소재 부문에 대한 설명, 그리고 보안서약서의 내용 등에 대하여 말씀드렸고, 아래 내용은 그런한 설명을 문서화한 것입니다. 저도 다시 정리하는 기회가 되었습니다.^^

 

1. 먼저 법률적 필요성을 보겠습니다.

보안서약서는 개인정보보호법 이전에는 다음 두 가지 법령이 근거가 되었습니다.

• 부정경쟁방지 및 영업비밀보호에 관한 법률(약칭: 부정경쟁방지법)
• 산업기술의 유출방지 및 보호에 관한 법률(약칭: 산업기술보호법)

하지만, 위 두 가지 법은 의료기관에 근무하는 모든 종사자에게 적용하기에는 어려운 부분이 많습니다. 제목만 보셔도 아시겠죠?

 

실질적인 필요성은 의료법 제19조입니다.

제19조(비밀 누설 금지) 의료인은 이 법이나 다른 법령에 특별히 규정된 경우 외에는 의료·조산 또는 간호를 하면서 알게 된 다른 사람의 비밀을 누설하거나 발표하지 못한다.

하지만, 아직 보안서약의 실질적인 징구 근거는 없습니다.

 

그러다가 개인정보보호법이 제정되어서야 보안서약서를 징구할 근거가 마련되었습니다.

개인정보보호법 제12조(개인정보 보호지침) 제1항에 따라 행정자치부의 위임행정규칙 "표준 개인정보 보호지침"이 나왔는데,

그 "표준 개인정보 보호지침" 제18조 제3항에 보안서약서를 징구할 필요성이 언급됩니다.

제18조(개인정보취급자에 대한 감독) ① 개인정보처리자는 개인정보취급자를 업무상 필요한 한도 내에서 최소한으로 두어야 하며, 개인정보취급자의 개인정보 처리범위를 업무상 필요한 한도 내에서 최소한으로 제한하여야 한다.  ② 개인정보처리자는 개인정보 처리시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고 접근권한을 관리하기 위한 조치를 취해야 한다. ③ 개인정보처리자는 개인정보취급자로 하여금 보안서약서를 제출하도록 하는 등 적절한 관리․감독을 해야 하며, 인사이동 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다.

 

그리고 마지막으로 이번 자율점검의 통제항목 2.5.2에 따라 보안서약서를 모든 임직원들로부터 받아야 하게 되었습니다.

• "개인정보취급자에 대한 보안서약서는 징구 하였는가?"

자, 이제 왜 병원(개인정보처리자)이 간호사(개인정보취급자)에게 보안서약서를 받아 두어야 하는지 아시겠죠?!

 

 

2. 사고에 대한 책임 소재

조금 극단적인 예를 들어보겠습니다.

만일, 특정 직원이 환자의 개인정보를 외부에 유출하는 사고가 일어났다면, 누가 책임을 질까요. 당연히 병원과 그 병원의 대표(원장)가 될 것입니다(개인정보보호법에는 양벌 규정이 있어 그 대표(원장)에게도 책임을 묻습니다).

그럼 병원과 그 병원의 대표(원장)는 그 특정 직원에 대하여 어떠한 조치를 할 수 있을까요?

흔히 말하는 구상권 청구와 비슷한 이야기가 될 것인데, 여기선 구상권 청구보다 보안서약서를 통하여 그런 경각심을 임직원에게 상기시키는 효과를 얻는 것으로 설명을 마무리하겠습니다.

 

 

3. 보안서약서의 내용

위에서 설명한 법률적 근거와 종사자의 경각심 제고 차원에서 다음과 같은 내용이 들어가야 합니다.

• 업무관련 정보(환자 개인정보 포함)에 대한 비밀 유지 각서
• 의료기관의 영업비밀(경영정보, 재무정보, 고객정보 등 포함) 유지 각서
• 퇴사 이후 보유하지 않음을 각서
• 의료기관의 개인정보호 조치(교육 등의 활동)에 성실한 참여 및 규정 준수 각서
• 본인에 의한 손해 발생시 법률적 조치에 이의를 제기하지 않겠다는 각서

이러한 내용이 들어가 있는 건강보험심사평가원의 자율점검 서식 자료를 첨부합니다.

[중복]개인정보보호 보안서약서.hwp

 

그런데, 보안서약 당사자의 주민번호가 들어가야 하네요.ㅎㅎㅎ

다음 자료는 주민번호를 수집하지 않는 보안서약서입니다.

보안서약서_빈서식.docx

 

그리고 기타 다른 상황에서 사용할 수 있는 보안각서도 심평원 자료를 첨부합니다. 

보안각서_3종_양식(PDF)__샘플.pdf

 

 

법령에 따르자면 개인정보취급자에 대해서만 보안서약서를 징구받습니다.

하지만, 저희가 컨설팅 할 때 말씀드렸던 대로 가급적 모든 직원으로부터 입사 시점에 받는 것이 효과적일 것입니다. 그리고 이러한 프로세스를 입사 관련 절차에 넣어 두는 것이 좋습니다.

 

그리고 대표(원장)는 보안서약서를 징구받지 않아도 됩니다. 개인정보처리자(병원=대표원장)가 개인정보처리자로부터 보안서약서를 받는다는 것은 이상하잖아요.

 

2016년도 자율점검을 대비하기 위하여 다음 내용을 챙겨주세요.

1. 모든 임직원의 보안서약서를 입사일자 기준으로 작성하여 개인별 날인(서명 가능) 받아 보관하세요.
2. 새로운 임직원이 있다면 역시 새로 작성해서 보관하세요.
3. 자율점검이 시작되면, 해당 보안서약서를 사진 촬영 혹은 스캔하여 파일로 만드세요.
4. 자율점검 통제항목 2.5.2에 증빙자료로 제출하세요.

 

이제부터 보안서약서는 필수!