1. 개인정보보호위원회 개인정보 질의응답 모음집 개정본 발간
개인정보보호위원회(이하 ‘개인정보위’)는 2025년 12월 30일(화) 개인정보 질의응답 모음집 개정본을 홈페이지에 공개했습니다. 이번 개정본에는 기존 개인정보 질의응답 모음집 발간 이후의 새로운 질의응답 사례가 추가되어 있습니다.
* 개인정보보호위원회 개인정보 질의응답 모음집 개정본 원문을 보시려면 [여기]를 클릭하시기 바랍니다.
2. 보건∙의료 분야 관련 주요 사례 소개
이번 개정본에 수록된 99건의 사례 중 보건∙의료 분야와 관련하여 참고할 만한 사례는 다음과 같습니다.
| [개인정보의 정의] – 개인정보위, 개인정보 질의응답 모음집, 제5면 Q. 개인의 치아 엑스레이 사진이 개인정보에 해당하나요? A. 치아 엑스레이 사진 그 자체만으로는 개인정보에 해당하지 않을 수 있으나, 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있다면 개인정보에 해당할 수 있습니다. 설명: 치아 엑스레이 사진만으로 정보주체를 알아볼 수 없는 경우 개인정보 보호법에서 보호하는 개인정보로 보기 어려우나, 진료기록 등 설명 데이터가 있어 이를 쉽게 결합하여 개인을 알아볼 수 있는 경우 개인정보에 해당합니다. ※ 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우도 포함됩니다(개인정보 보호법 제2조 제1호). * 원문을 보시려면 [여기]를 클릭하시기 바랍니다. |
S&K 코멘트: 보건·의료 분야의 특성상 MRI, CT, 엑스레이 등의 영상·사진 자료는 그 자체만 단독으로 존재하기보다는, 환자의 이름, 나이, 성별 등의 인적 정보가 함께 기재되거나 진료기록 등 설명 데이터와 결합되어 관리되는 경우가 많습니다.
이러한 경우 해당 영상·사진 자료는 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있으므로, 현행 개인정보 보호법상 개인정보에 해당하는 것으로 해석될 가능성이 높습니다. 따라서 보건·의료 현장에서 영상·사진 자료를 처리·활용하는 경우에는, 단순히 ‘영상 자료 자체’만을 기준으로 개인정보 해당 여부를 판단하기보다는, 다른 정보와의 결합 가능성을 함께 고려하여 개인정보 보호에 각별히 주의할 필요가 있습니다.
| [개인정보의 정의] – 개인정보위, 개인정보 질의응답 모음집, 제8면 Q. 사망자 관련 정보가 개인정보에 해당하나요? A. 아니요, 원칙적으로 사망자의 정보는 개인정보에 해당하지 않습니다. 다만, 사망자 정보라 하더라도 유족과의 관계를 알 수 있는 정보인 경우에는 살아 있는 유족의 정보로서 개인정보에 해당합니다. 설명: ‘개인정보’는 살아 있는 개인에 관한 정보이므로 (개인정보 보호법 제2조 제1호) 사망했거나 관계 법령에 따라 사망한 것으로 보는 자에 관한 정보는 원칙적으로 개인정보에 해당하지 않습니다. 다만, 사망자에 관한 정보라 하더라도 유족과의 관계를 알 수 있는 정보인 경우에는 살아있는 유족의 정보로서 개인정보에 해당합니다. * 원문을 보시려면 [여기]를 클릭하시기 바랍니다. |
S&K 코멘트: 사망자에 관한 정보는 원칙적으로 개인정보에 해당하지 않습니다. 다만, 사망자 정보라 하더라도 유족과의 관계를 알 수 있는 정보인 경우에는 살아 있는 유족의 개인정보에 해당할 수 있다는 점에 유의할 필요가 있습니다.
따라서 개인정보 처리에 관한 동의서와 관련하여, 사망자에 관한 정보라고 하더라도 해당 정보가 유족과의 관계를 드러내거나 다른 정보와 쉽게 결합되어 유족을 알아볼 수 있는 경우에는, 그 유족의 개인정보로 보아 유족으로부터 개인정보 처리에 관한 동의를 받아야 합니다.
| [개인정보의 정의] – 개인정보위, 개인정보 질의응답 모음집, 제89면 Q. 얼굴 사진이 민감정보에 해당하나요? A. 아니요, 얼굴 사진은 일반적으로 개인정보에 해당하나, 민감정보에 해당하지 않습니다. 설명: 민감정보는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보 등을 의미합니다(개인정보 보호법 제23조, 동법 시행령 제18조 제3호). 따라서 여권사진이나 증명사진 등 얼굴 사진은 일반적으로 개인정보에 해당하나, 민감정보에는 해당하지 않습니다. * 다만, 일반적인 얼굴 사진을 차후에 인증·식별 등의 목적으로 일정한 기술적 수단으로 처리할 경우 해당 정보는 개인정보 보호법 시행령 제18조 제3호에 따른 민감정보에 해당합니다. * 원문을 보시려면 [여기]를 클릭하시기 바랍니다. |
S&K 코멘트: 최근 미용 시술 시 홍보 목적으로 시술을 하고 얼굴 사진을 촬영하는 경우가 증가하고 있습니다. 얼굴 사진도 개인정보에 해당하므로 얼굴 사진 촬영 및 이용에 앞서 개인정보 처리에 관한 동의를 받아야 합니다. 다만 얼굴 사진은 민감정보에는 해당하지 않으므로 일반 개인정보 처리에 관한 동의를 받아 처리하면 됩니다.
| [민감∙고유식별정보] – 개인정보위, 개인정보 질의응답 모음집, 제92면 Q. 민감정보, 고유식별정보, 주민등록번호 처리 업무를 위탁할 수 있나요? A. 네, 개인정보 보호법 제26조 제1항에 따라 개인정보 처리 업무 위탁 계약을 맺은 경우 민감정보 및 고유식별정보 처리 업무를 위탁할 수 있습니다. 설명: 개인정보 처리 업무를 위탁하는 위탁자가 개인정보 보호법 제23조 제1항, 제24조 제1항, 제24조의2 제1항에 따라 민감정보·고유식별정보·주민등록번호를 처리할 수 있는 개인정보처리자라면, 제26조 제1항에 따라 수탁자와 업무위탁 계약을 체결하고 그 처리를 위탁할 수 있습니다. 다만, 수탁자에 관하여 제23조, 제24조, 제24조의2, 제29조가 준용되므로, 수탁자 또한 동 조항들에 따른 개인정보처리자의 안전성 확보 조치, 암호화 조치 등의 의무사항을 준수해야 합니다(개인정보 보호법 제26조 제8항). * 원문을 보시려면 [여기]를 클릭하시기 바랍니다. |
S&K 코멘트: 보건∙의료 분야에서는 진료기록 관리, 검체 분석, 영상 판독, 정보시스템 운영 등과 관련하여 민감정보에 해당하는 보건의료정보 또는 주민등록번호 처리 업무를 외부에 위탁하는 경우가 적지 않습니다. 개인정보보호위원회의 질의응답 모음집에서도 확인할 수 있듯이, 이러한 민감정보·고유식별정보 처리 업무의 위탁 자체는 개인정보 보호법 제26조 제1항에 따라 허용됩니다.
다만, 이는 개인정보 보호법에서 정한 요건을 충족한 개인정보 처리 업무위탁 계약을 문서로 체결한 경우에 한하여 가능하다는 점에 유의할 필요가 있습니다. 특히, 위탁자뿐만 아니라 수탁자 역시 위탁받은 범위 내에서 개인정보 보호법상 개인정보처리자와 동일한 수준의 의무를 부담하게 되므로, 수탁자의 보안 역량과 내부 통제 체계에 대한 사전 검토가 중요합니다.
* 참고로, 개인정보 처리 업무 위수탁 계약서에는 다음과 같은 사항이 필수적으로 포함되어야 합니다(개인정보 보호법 제26조 제1항, 동법 시행령 제28조 제1항).
- 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
- 개인정보의 기술적·관리적 보호조치에 관한 사항
- 위탁업무의 목적 및 범위
- 재위탁 제한에 관한 사항
- 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
- 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
- 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
| [개인정보 관리] – 개인정보위, 개인정보 질의응답 모음집, 제113면 Q. 병원에서 대기자 명부에 개인정보를 기재토록 하는 것이 문제가 되나요? A. 병원은 환자의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하고 안전하게 관리하여야 합니다. 설명: 병원은 진료 시, 「의료법」 등의 법령상 의무 수행을 위해 불가피한 경우, 환자와의 진료 계약 체결 및 이행을 위해 필요한 경우에 정보주체의 동의 없이 개인정보를 수집·이용할 수 있습니다(개인정보 보호법 제15조 제1항 제2호, 제4호). 따라서 병원이 진료실에 들어갈 환자를 정확히 특정할 목적으로 대기자 명부를 만들어 성명, 생년월일 등을 기재하도록 하는 것 자체를 개인정보 보호법 위반이라고 보기는 어려울 것이나, 병원은 정보주체인 환자의 권리가 침해받을 가능성과 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 하고, 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리할 필요가 있습니다(개인정보 보호법 제3조 제4항, 제6항). * 원문을 보시려면 [여기]를 클릭하시기 바랍니다. |
S&K 코멘트: 병원에서 환자 진료를 목적으로 ① 대기자 명부를 작성하는 것이 개인정보 보호법상 가능한지 여부와, ② 그러한 대기자 명부를 어떠한 방식으로 운영·관리해야 하는지는 구분하여 볼 필요가 있습니다. 개인정보보호위원회에서도 밝힌 바와 같이, 병원에서 환자의 진료 목적으로 대기자 명부를 작성하여 성명, 생년월일 등을 기재하도록 하는 것은 개인정보 보호법상 가능합니다.
다만, 그 운영 방식에 있어서는 대기자 명부에 가림 처리를 하여 다른 환자들이 볼 수 없도록 하고 또 당일 진료가 마감되면 즉시 이를 폐기하는 등의 방법으로 환자의 사생활 침해를 최소화하고 정보 유출이 가능성도 차단할 필요가 있습니다.
| [개인정보 공개] – 개인정보위, 개인정보 질의응답 모음집, 제114면 Q. 감염병 환자의 개인정보는 어느 정도까지 공개할 수 있나요? A. 주의 이상의 위기경보 발령 시 감염병 환자의 이동경로 등은 신속히 공개하여야 하나, 감염병 예방과 관계없는 정보는 공개대상에서 제외됩니다. 설명: 감염병 확산으로 인해 ‘주의’ 이상의 위기경보가 발령되면 ‘감염병 환자의 이동경로, 이동수단, 진료의료기관 및 접촉자 현황, 감염병의 지역별·연령대별 발생 및 검사 현황’ 등 국민들이 감염병 예방을 위하여 알아야 하는 정보를 신속히 공개하여야 하나(재난 및 안전관리 기본법 제38조 제2항, 감염병의 예방 및 관리에 관한 법률 제34조의2 제1항), ‘성별, 나이, 성명, 읍·면·동 단위 이하의 거주지 주소’ 등 감염병 예방과 관계없다고 판단되는 정보는 공개대상에서 제외됩니다(감염병의 예방 및 관리에 관한 법률 시행령 제22조의2 제1항). * 원문을 보시려면 [여기]를 클릭하시기 바랍니다. |
S&K 코멘트: 놓치기 쉬운 부분일 수 있으나, 항목별로 공개 여부를 선별하는 것이 중요합니다. 법령에서 공개가 허용된 범위 내에서만 정보를 공개해야 하기 때문입니다. 이에 따라 ‘성별, 나이, 성명, 읍·면·동 단위 이하의 거주지 주소’ 등 감염병 예방과 직접적인 관련이 없는 정보는 공개되지 않도록 각별한 주의가 필요합니다.
| [개인정보 공개∙개인정보 유출] – 개인정보위, 개인정보 질의응답 모음집, 제115면 Q. 건강검진 대상자의 성명, 주민등록번호가 포함된 명단을 실수로 대상자가 속한 기관이 아닌 다른 기관에 발송하였다면 개인정보 유출에 해당하나요? A. 네, 개인정보 유출에 해당합니다. 설명: 개인정보의 분실·도난·유출은 ‘법령이나 개인정보처리자의 자유로운 의사에 의하지 않고 개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것’을 말합니다(표준지침 제25조). 따라서 대상자가 속한 기관이 아닌 다른 기관에 실수로 대상자의 성명, 주민등록번호가 포함된 명단을 발송한 것은 개인정보처리자의 관리·통제권을 벗어나 제3자가 내용을 알 수 있게 한 것으로서 개인정보 유출에 해당합니다. * 원문을 보시려면 [여기]를 클릭하시기 바랍니다. |
S&K 코멘트: 단순한 착오나 실수로 인한 발송이라 하더라도, 개인정보가 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르렀다면 개인정보 유출로 평가된다는 점에 유의할 필요가 있습니다.
개인정보 보호법에 따르면 개인정보 유출이 발생한 경우, 개인정보처리자는 지체없이 해당 사실을 정보주체에게 알리고 특히 (ⅰ) 1천명 이상의 정보주체에 관한 개인정보가 유출 등이 된 경우, (ⅱ) 민감정보 또는 고유식별정보가 유출 등이 된 경우, (ⅲ) 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출 등이 된 경우 중 어느 하나에 해당하는 경우로서 개인정보가 유출 등이 되었음을 알게 되었을 때에는 72시간 이내에 개인정보위 또는 한국인터넷진흥원에 신고해야 합니다.
보건·의료 분야의 경우 그 특성상 대부분 민감정보 또는 주민등록번호와 같은 고유식별정보를 처리하고 있어, 개인정보 유출 등이 발생하면 위와 같은 신고가 필요한 경우가 많을 것입니다. 따라서 평소 오발송, 오기재 등으로 인한 개인정보 유출을 예방하기 위하여 내부 관리체계와 기술적·관리적 보호조치가 적절히 마련되어 있는지 주기적으로 점검해 둘 필요가 있습니다(예: 법무법인 등을 통한 개인정보 보호법상 Privacy 및 Security 관련 내부 관리체계 수립 및 정기 점검).
| [개인정보 활용] – 개인정보위, 개인정보 질의응답 모음집, 제117면 Q. 성형외과에서 성형 환자들의 성형 결과를 사진으로 촬영하여 병원 홈페이지에 병원 홍보 목적으로 게시하는 경우 문제가 없나요? A. 성형 결과 사진을 당초의 수집한 목적 범위를 벗어나 병원 홍보 목적으로 이용·제공하기 위해서는 환자로부터 별도의 동의를 받는 등 개인정보의 목적 외 이용·제공 요건을 충족하여야 합니다. 설명: 병원이 환자의 성형수술 결과 사진을 병원 홍보 목적으로 게시하는 것이 당초 수집한 목적 범위를 벗어난 경우 이는 ‘개인정보의 목적 외 이용·제공 행위’에 해당합니다. 개인정보처리자는 원칙적으로 당초 수집한 목적 범위를 초과하여 개인정보를 이용·제공하여서는 아니 되며(개인정보 보호법 제18조 제1항), 정보주체로부터 별도의 동의를 받은 경우 등 보호법 제18조 제2항 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용·제공할 수 있습니다(개인정보 보호법 제18조 제2항). 따라서, 병원이 환자의 성형수술 결과 사진을 당초의 수집한 목적 범위를 벗어나 홍보 목적으로 활용하기 위해서는 ‘촬영한 사진을 병원의 홍보 목적’으로 게재한다는 사실을 정보주체(환자)에게 명확히 알리고 별도의 동의를 얻는 등 보호법 제18조 제2항의 요건을 충족하여야 합니다. * 원문을 보시려면 [여기]를 클릭하시기 바랍니다. |
S&K 코멘트: 개인정보는 원칙적으로 동의서에 기재된 수집·이용 목적의 범위 내에서만 이용할 수 있습니다. 동의서에 특정 목적(A)을 명시하여 개인정보를 수집·이용한 경우, 그와 다른 목적(B)으로는 해당 개인정보를 이용할 수 없습니다.
이러한 법리는 임상시험이나 연구 과정에서 촬영한 사진·영상 자료의 활용에도 동일하게 적용됩니다. 예를 들어, 진료 또는 임상시험 수행을 목적으로 촬영한 환자의 사진·영상 자료를 학회 발표, 논문 게재, 교육 자료 또는 병원 홍보 자료 등 다른 목적으로 이용하는 경우에는, 당초의 수집 목적을 벗어난 개인정보의 목적 외 이용에 해당할 수 있습니다.
따라서 임상시험이나 연구 과정에서 촬영한 사진·영상 자료를 당초의 진료·연구 목적을 넘어 활용하고자 하는 경우에는, 새로운 활용 목적에 관하여 정보주체로부터 별도의 동의를 받아야 한다는 점에 유의할 필요가 있습니다.
* * *
법무법인(유) 세종의 헬스케어팀은 보건복지부, 식품의약품안전처, 건강보험심사평가원 등 보건의료 규제기관과의 업무 경험을 바탕으로, 병원, 제약·바이오 기업, 디지털 헬스케어 기업을 포함한 보건·의료 산업 전반에 대해 폭넓은 법률 자문을 제공하고 있습니다. 특히 헬스케어팀은 개인정보 보호법, 생명윤리 및 안전에 관한 법률, 의료법, 디지털 헬스케어 관련 규제 등 보건의료정보를 둘러싼 규제 환경에 대한 높은 이해와 실무 경험을 바탕으로, 진료·임상시험·연구·데이터 활용 전 과정에서 발생하는 법적 이슈에 대해 실질적인 해법을 제시하고 있습니다. 개인정보 및 민감정보의 활용, 목적 외 이용·제공, 동의 설계, 임상시험 및 연구 데이터 관리와 관련하여, 규제 해석에 그치지 않고 실제 운영 단계에서 적용 가능한 자문을 제공하는 것을 강점으로 합니다.
법무법인(유) 세종의 개인정보·데이터팀은 개인정보보호법, 정보통신망법, 신용정보법, 위치정보법 등 개인정보와 관련된 다양한 법령에 대한 깊은 이해와 풍부한 실무 경험을 토대로 개인정보, 데이터 분야에 전문화되고 특화된 법률적, 정책적 서비스를 제공합니다.
본 뉴스레터에서 다룬 개인정보보호위원회의 개인정보 질의응답 모음집과 관련하여 보다 전문적인 내용이나 궁금하신 사항이 있으시면 언제든지 저희에게 연락주시기 바랍니다.
