개인정보 수집 및 활용 동의서(이하 '동의서')를 카드결제시에 사용하는 사인패드로 서명받는 부분과 관련한 개발진행 상황에 대해 궁금해 하시는 분들이 많으셔서, 관련 내용에 대한 안내말씀 드립니다.
OO차트회사에서 사인패드에 서명하여 그림파일(?)로 저장하고 있다는 내용을 익히 전해듣고 알고 있는 상황입니다.
동의서를 환자의 차트에 저장하여 관리하려는 생각은 지극히 상식적이라고 봅니다.
현재 한차트를 사용하고 계시는 여러 원장님들께서도...
동의서를 초진환자 1인당 한장씩 서명받아서, 스캔해서 한차트 종이차트나 진료사진에 저장하는 분들이 많이 계십니다.
한편, OO차트를 사용하는 한의원에서는 동의서를 접수대에 붙여놓고, 사인패드에 간단히 서명하여 차트에 저장하는 방식등으로 동의를 받고 있다는 말씀을 전해들었습니다.
저희도 동의서에 서명을 받아 차트에 저장해두는 것은 꼭 필요한 기능이라고 생각하는 것에 100% 공감하고 있습니다.
단지, 저희가 이 기능을 추가하는데 있어서... 사인패드 업체를 선정하는 과정 중에 자문변호사를 통해 법적인 효력 여부와 관련한 내용을 문의한 바, 얼마간의 법적인 검토가 필요하다는 의견을 받았습니다.
보통 로컬 한의원에서 OO차트 회사와 같은 방식으로 사인패드로 동의받는 것이 과연 법적효력을 담보할 수 있는가의 문제에 대한 것이었습니다.
서명하는 단계를 한 번 순서대로 정리하자면... 아마도 다음과 같은 방식으로 대부분 동의 서명을 받는다고 보겠습니다.
1) 동의서를 보기 좋게 만든 후 인쇄한다.
2) 접수대 어디엔가 환자들이 내용을 읽기 쉬운 위치에 부착한다.
3) 환자들에게 그 내용을 한 번 (주의해서) 읽어보라고 안내한다.
4) 환자가 다 읽어봤으면, 잘 읽어봤냐고 물어본다.
5) 그 내용에 동의한다면, 사인패드에 서명을 하라고 말한다.
6) 그 서명한 이미지를, 차트에 미리 준비되어 있는 해당 환자의 동의서 위에 레이어로 덛붙여서 이미지 파일로 저장한다.
이와 관련한 법적인 검토사항은 아래와 같습니다.
3) 번째 단계 중에...
환자에게 주의해서 읽어보라고 안내하지만, 만약 직원이 동의할 내용에 대한 구체적인 항목에 대한 설명을 하지않았다면...
일반적인 계약법상의 효력을 인정받을 수 없다는 것입니다.
법률상으로는 동의서에 사인을 받는 것도 청약과 승낙이라는 계약행위로 볼 수 있기 때문입니다.
아래의 관련조항을 보면 더 분명하게 설명이 되어 있기도 합니다.
개인정보보호법 제22조 제1항 "각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다."는 취지에 부합하는가의 여부가 문제가 될 수 있겠습니다.
또한 개인정보보호법 시행령 제17조 제1항 제1호에 규정되어 있듯이,
"동의 내용이 적힌 서면을 정보주체에게 발급하거나 전달하였는가 따져봤을 때,
단순히 데스크에 코팅해서 비치한 동의서가 '발급' 이나 '전달'의 효력을 발휘할 수 있을지는 의문이라고 하겠습니다.
데스크 앞에서 불안정한 스탠스에서 모든 환자들이 동의내용을 숙독하고 동의했다는 것은 그리 설득력이 없을 수 있다고 생각됩니다.
5), 6)번째 단계에서 이뤄지는 행위 자체도 법적효력이 있는가를 따진다면, 충분히 다툼의 여지가 있다고 봅니다.
조금 금전적 여유가 있는 곳이라면, 모니터를 듀얼로 만들어서 환자가 자신이 동의하는 내용을 볼 수 있게...
데스크에서 환자가 볼 수 있는 모니터를 별도로 비치하고, 그 자리에서 내용을 정확하게 확인한 후에 사인패드에 사인을 한다면...
법적인 요건을 어느 정도 충족할 수 있다고 볼 수 있겠습니다.
실제 대형병원(서울대 분당병원 등)에서는 환자가 직접 필기가 가능한 모니터에 직접 사인을 하거나,
갤럭시탭 같은 곳에 동의서(수술동의서 포함)를 보여주고, 그 탭에서 바로 서명을 받는 방식으로 이 부분에 대한 법적인 요건을 충족시키고 있습니다.
그런데 단순히... 접수대에 비치된 동의서를 보고 서명을 할 때,
본인이 서명하고 있는 내용이 적힌 모니터를 확인하지도 않고, 서명에만 급급한다면...
마치 계약서에 어떤 내용이 적혀있는지 모르고 계약서에 서명하는 행위와 다름이 없다고 판단됩니다.
나중에 그런 내용... 즉, 환자가 제대로 설명도 못듣고 사인할 때 모니터도 못보고 내용도 제대로 확인 못했다고 말을 바꾼다면,
동의 자체의 효력을 인정하기가 매우 어렵다고 볼 수 있습니다.
이런 이유로 단순히 게시(또는 비치)된 동의서의 내용을 보고, 기계적으로 서명을 받는 사인패드 방식이라면,
추후 충분한 논란의 여지가 있다고 하겠습니다.
또한 이 방식이 최선이라고 프로그램을 만들어 한의원에 제공한 차트개발회사의 입장에서는 비난을 면하기 어려울 것입니다.
그래서 현재 시점에서 OO차트회사의 방식대로 동의 받는 프로그램을 구현하고, 나중에 더 나은 방식을 구현한다는 것이...
개발적인 부담뿐만 아니라 법적인 부담에서 자유로울 수 없다고 사료됩니다.
(물론 OO차트회사의 경우에도 터치스크린을 이용한 서명을 제공하고 있지만... 그 방식은 태블릿PC나 터치모니터을 이용해 한차트의 종이차트 모드에서 서명하는 것과 큰 차이가 없습니다.)
나름 최선의 방식으로 구현한다면...
서울대 분당병원과 같은 방식의 동의 방식을 만들어야 한다고 생각합니다.
값싼 안드로이드 탭이나 안드로이드 휴대폰을 이용해서 동의 내용을 환자에게 충분히 설명해주거나 읽을 수 있는 시간을 주고...
그 내용 위에 바로 사인을 받은 후에 차트로 전송한다면, 모든 요건을 충족하는 최선의 방식이 아닐까 생각합니다.
식당에서도 자신이 지불할 금액을 확인하고 서명하는 것과 같이, 한의원에서도 개인정보 동의를 받는 것이 개인정보와 위반시 법적처벌과 연관되어 있기 때문에 더 신중히 고려해야 한다고 생각합니다.
현재 웹프로그래밍쪽 개발인력이 충분치 않음에도 불구하고,
이판호 공학박사가 이 부분에 대한 개발고민을 계속하고 있고... 현재 몇 가지의 웹개발프로젝트를 진행하면서, 기회를 봐서 구현할 수 있지 않을까 생각합니다.
불편하시겠지만, 현재는 초진환자에게 동의서를 교부하고 충분히 그 내용을 설명하고 서명을 받은 후에...
한차트의 [바로스캔] 기능을 사용해서 종이차트나 진료사진으로 저장하는 것이 법규를 충족하는 최선의 방법이라 할 수 있겠습니다.
긴 설명 읽어주셔서 감사드리며, 좀 더 편한 차트가 될 수 있도록 계속 노력하겠습니다.
TNH(주) 김경민 부사장 드림
아래는 참조조문입니다.
[개인정보보호법]
제22조(동의를 받는 방법) ① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제5항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.
② 개인정보처리자는 제15조제1항제1호, 제17조제1항제1호, 제23조제1호 및 제24조제1항제1호에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.
③ 개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다.
④ 개인정보처리자는 정보주체가 제2항에 따라 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제3항 및 제18조제2항제1호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.
⑤ 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.
⑥ 제1항부터 제5항까지에서 규정한 사항 외에 정보주체의 동의를 받는 세부적인 방법 및 제5항에 따른 최소한의 정보의 내용에 관하여 필요한 사항은 개인정보의 수집매체 등을 고려하여 대통령령으로 정한다.
[개인정보보호법 시행령]
제17조(동의를 받는 방법) ① 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 다음 각 호의 어느 하나에 해당하는 방법으로 정보주체의 동의를 받아야 한다.
1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법
4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
유형
