한의원을 포함한 의료기관에서는 새 환자 등록 시 보험증과 운전면허증을 확인하고 복사하기도 한다. 하지만 복사본 보관 시엔 미국 연방 및 주법에 위배되지 않도록 각별히 주의한다. 개인정보 유출시 건당 $1,000의 벌금을 내야하기 때문이다. 그렇다면 정확히 어떻게 신분증 확인하고 보관해야 한의사에게 안전할지 알아봤다. <편집자주>
한의원 및 의료기관에서 환자의 신분증 확인 및 개인정보 보관에 대한 법적 기준과 실무적으로 안전한 운영 방식을 살펴봤다.
▲ 환자 신원 확인 의무
HIPAA 개인정보보호규정(Privacy Rule)은 의료기관(covered entity)이 보호대상 건강정보(PHI, Protected Health Information)에 접근하거나 PHI의 공개·열람 요청을 받을 경우, 요청자 신원과 권한 확인을 위해 합리적 절차를 마련하도록 요구한다. (45 C.F.R. § 164.514(h) 근거).
중요한 점은 HIPAA가 ‘신원 확인’을 요구할 뿐 구체적 방법까지 규정하지 않는다. 미 보건복지부(HHS)는 의료기관이 합리적인 조치를 취해야 한다고 명시하면서도, 운전면허 사본 확보와 같은 특정 방식을 의무화하지는 않는다고 설명한다. 신원 확인은 구두 또는 서면 방식으로 가능하며 방법과 수준은 의료기관의 전문적 판단에 맡겨진다.
따라서 HIPAA는 신분증 사본 보관을 요구하지 않는다. 신분증을 확인한 뒤 진료와 청구에 필요한 최소 정보만 기록해도 요건을 충족한다.
▲ 신원 도용 경고 규칙
연방거래위원회(FTC, Federal Trade Commission)의 신원 도용 경고 규칙(Red Flags Rule)은 일정 요건에 해당하는 금융기관 또는 채권자(creditor)가 신원 도용 방지를 위한 프로그램(Identity Theft Prevention Program)을 운영하도록 요구한다.
의료기관이 항상 적용 대상은 아니지만 진료비 분할 청구 등 금융 거래 성격의 계정을 운영하는 경우 적용될 수 있다. 이 때 환자 신원 확인은 단순 행정 절차를 넘어 보험 사기 및 신원 도용 방지를 위한 리스크 관리 조치이다. 그러나 이 규정 역시 신분증 사본 보관을 직접 요구하지 않는다. 핵심은 합리적인 확인 절차와 예방 프로그램을 갖추는 것이다.
▲ 최소 정보 원칙
HIPAA 개인정보보호규정은 PHI 사용과 공개는 목적 달성에 필요한 최소 정보로 규정하는 ‘최소 정보 원칙’이다.
운전면허증에는 이름, 생년월일, 주소 외에도 사진, 면허번호, 성별, 키, 몸무게 등 진료 및 보험 청구와 직접 관련 없는 정보가 포함된다. 따라서 신분증 전체를 장기 보관하는 것은 이 원칙에 따라 ‘과잉 수집’으로 평가될 수 있다.
이는 곧바로 위법이라는 의미는 아니다. 다만 개인정보 유출이 발생했다면, 해당 정보의 수집·보관이 반드시 필요했음을 의료기관이 입증해야 하는 부담이 커지고 법적 방어력을 약화시키는 요인이 될 수 있다.
▲ 가주-강화된 책임 구조
가주는 HIPAA보다 강화된 의료정보 보호 체계이다. 가주 ‘의료정보기밀보호법(CMIA, Confidentiality of Medical Information Act)’은 의료 정보와 개인 식별 정보가 결합된 자료에 엄격한 보호 의무를 부과한다.
가주 민법(Civil Code § 56.36)에 따르면, 의료 정보가 환자 정보를 부적절하게 공개하거나 유출된 경우 환자가 실제 손해를 입증하지 않아도 위반 1건당 1,000달러의 법정 손해배상을 청구할 수 있다. 이는 고의뿐 아니라 과실에 의한 유출에도 적용된다.
따라서 운전면허 사본 같은 고식별 정보를 차트에 보관할수록 유출 발생 시 의료기관의 법적 리스크는 증가한다.
▲ 안전한 신분증 확인∙차트 기록
한의원을 포함한 의료기관에서 비교적 안전한 실무 기준은 다음과 같다.
▷신분증 확인은 제시와 대조에 그친다. 초진 환자가 내원하면 운전면허증 또는 주정부 발급 신분증을 받아 등록 정보와 일치 여부를 확인한 뒤 즉시 반환한다.
▷ 차트 기록은 최소 정보로 제한한다. 성명, 생년월일, 주소(또는 우편번호), 연락처 등 진료 식별과 보험 청구에 필요한 정보만 기록한다. 운전면허 번호, 사진, 신체 정보 등은 옮겨 적지 않는다.
▷ 신분증 사본 대신 확인 기록을 남긴다. 차트의 행정 메모 또는 등록 섹션에 “ID verified on (날짜)”와 같은 문구를 남기면, 신원 확인 절차를 거쳤다는 점을 입증할 수 있다.
▷ 보험증은 예외적으로 사본 보관이 가능하다. 보험증은 보험 청구와 직접 연결되므로, 접근 통제가 된 전자차트(EMR)에 스캔 보관하는 것은 일반적으로 허용되고 실무상 필요하다.
▷ 예외 상황을 명확히 구분한다. 특정 보험사가 신원 확인 서류를 요구하거나 금융 거래 성격의 계약이 체결되는 경우, 또는 법령·감사 대응상 보관이 필요한 경우에는 신분증 사본 보관이 필요할 수 있다. 이 경우 보관 목적을 명확히 하고 환자의 서면 동의를 받은 뒤 암호화된 전자 환경에서 제한적으로 관리하는 것이 바람직하다. 종이 차트에 신분증 사본을 첨부하는 방식은 캘리포니아 법 체계상 가장 취약한 방식에 해당한다.
관련 법령은 ‘신원 확인’을 요구하지만 ‘신분증 사본 보관’을 의무화하지는 않는다. 실무적으로는 확인은 하되 보관은 최소화하는 원칙이 법적 리스크를 줄이는 가장 안전한 운영 방식이라 할 수 있다.
진희정 기자
<저작권자ⓒHani Times, 무단 전재-재배포 금지>
