2025년 들어 개인정보보호위원회의 점검 대상이 대형 플랫폼을 넘어 병·의원, 약국 같은 동네 의료기관으로도 넓어지면서, 카운터에서 환자 정보를 다루는 약국에도 “우리도 준비가 되어 있나”라는 질문이 다시 돌아왔습니다. 처방 내역은 단순한 연락처가 아니라 건강에 관한 정보라, 법이 다른 정보보다 한 단계 더 무겁게 다루기 때문입니다.
이 글은 막연한 불안을 키우려는 글이 아닙니다. 무엇을 갖춰야 의무를 지킨 것인지(판단 기준), 1인 약국과 직원을 둔 약국이 각각 어디까지 적용하면 되는지(내 경우), 사고가 났을 때 며칠 안에 어디로 신고해야 하는지(절차), 안 했을 때 실제로 어떤 손해가 따르는지(방치 시 결과)를 공개된 법령과 개인정보보호위원회 자료에 근거해 한 번에 정리합니다.
핵심만 먼저
- 개인정보 처리방침 수립·공개는 개인정보보호법 제30조에 따른 의무이며, 규모와 무관하게 환자 정보를 다루는 약국이면 환자가 볼 수 있게 공개해야 합니다.
- 처방 내역 등 건강정보는 제23조의 민감정보라, 다른 정보 동의와 분리한 별도 동의를 받거나 약사법·건강보험 등 법령 근거가 있어야 처리할 수 있습니다.
- 유출 시 일정 요건(1천 명 이상·민감정보·외부 불법 접근)에서 72시간 이내 개인정보보호위원회 또는 KISA에 신고해야 하고(제34조), 미신고 시 과태료(제75조, 최대 3천만 원) 대상입니다.
처리방침을 만들어야 하는가 — 가장 먼저 거를 질문
결론부터 말하면, 환자의 개인정보를 수집·이용하는 약국이라면 개인정보 처리방침을 만들어 공개해야 합니다. 개인정보보호법 제30조는 개인정보처리자가 처리방침을 정하고 정보주체가 알 수 있도록 공개하도록 정합니다. 여기에는 어떤 정보를 어떤 목적으로 수집하는지, 얼마나 보관하고 어떻게 파기하는지, 누가 책임지는지(개인정보 보호책임자)가 담겨야 합니다.
거를 질문은 단순합니다. “환자의 이름·연락처·처방 내역을 적거나 저장하는가?” 그렇다면 대상입니다. 매출 규모나 직원 수로 빠지는 예외가 아니라, ‘개인정보를 처리하느냐’가 기준이기 때문에 1인 동네 약국도 그대로 해당합니다. 중요한 건 형식만 갖춰 서랍에 넣어두는 것이 아니라 실제 운영 방식과 처리방침의 내용이 일치해야 한다는 점입니다. 처리방침에는 위탁을 준다고 써놓고 실제로는 안 주거나, 반대로 청구 대행에 정보가 넘어가는데 처리방침에는 빠져 있으면 그 자체가 점검 지적 사유가 됩니다.
공개 방법은 거창하지 않습니다. 환자에게 보이는 카운터 근처에 안내문 형태로 두거나, 홈페이지·블로그가 있다면 거기에 상시 게재하는 방식이면 됩니다. 핵심은 “환자가 마음먹으면 언제든 찾아볼 수 있는 상태”를 만드는 것입니다.
처방 내역은 ‘민감정보’ — 동의의 결이 다르다
일반 연락처와 처방 내역은 법적 무게가 다릅니다. 건강에 관한 정보는 개인정보보호법 제23조가 정한 민감정보입니다. 민감정보는 원칙적으로 처리가 금지되며, 정보주체에게 필요한 사항을 알리고 다른 개인정보 동의와는 분리해 별도로 동의를 받았거나, 법령에서 처리를 요구·허용하는 경우에만 예외적으로 다룰 수 있습니다. “동의서 한 장에 다 묶어서 한꺼번에 체크” 방식이 민감정보에서는 통하지 않는다는 뜻입니다.
다만 약국 실무 대부분은 동의가 아니라 법령 근거 위에서 돌아갑니다. 조제·복약지도·요양급여 청구의 상당 부분은 약사법과 국민건강보험 관련 법령에 근거가 있어, 그 범위에서는 별도 동의 없이도 정보를 다룰 수 있습니다. 그래서 실무에서 진짜로 구분해야 할 것은 다음 두 가지입니다.
- 법령 근거가 있는 업무 — 조제·복약지도·청구 등. 근거 법령이 있으므로 별도 동의가 전제되지 않습니다.
- 동의가 필요한 부가 활용 — 안내·홍보 문자, 이벤트, 외부 서비스 연계 등 본래 업무를 벗어난 활용. 이때는 민감정보 별도 동의 또는 목적별 동의를 받아야 합니다.
또 제23조는 민감정보가 분실·도난·유출되지 않도록 안전성 확보 조치를 하도록 정합니다. 보관 장소 잠금, 접근 권한 분리, 파기 기준 같은 관리가 단순 권고가 아니라 법적 의무라는 의미입니다.
1인 약국과 직원 약국, 어디까지 하면 되나
규모가 달라도 원칙은 하나입니다. ‘필요한 만큼만 모으고, 안전하게 보관·파기한다.’ 내 약국에 적용하는 순서는 이렇게 잡으면 됩니다.
첫째, 지금 어떤 정보를 어디에 두는지 한 장에 적어봅니다. 종이 처방전, 약국 PC, 청구 프로그램, 휴대폰 환자 메모까지 흩어진 보관처를 눈으로 봐야 빈틈이 보입니다. 둘째, 업무에 꼭 필요하지 않은 항목은 애초에 받지 않습니다. 적게 모을수록 사고가 나도 잃을 것이 줄어듭니다. 셋째, 종이 자료는 잠금장치가 있는 곳에, 전자 자료는 접근 권한을 나눠 관리합니다. 넷째, 보관 기간이 끝난 자료는 복구할 수 없게 파기합니다(종이는 분쇄, 전자는 완전 삭제).
1인 약국과 직원 약국의 실제 차이는 ‘사람 관리’에서 갈립니다. 아래로 정리하면 판단이 빨라집니다.
| 점검 항목 | 1인 약국 | 직원을 둔 약국 |
|---|---|---|
| 처리방침 수립·공개 | 필요 | 필요 |
| 민감정보 안전조치 | 필요(보관·파기 중심) | 필요(+ 접근권한 분리) |
| 직원 교육·처리 기준 공유 | 해당 없음 | 권장(정기 점검) |
| CCTV 안내판(설치 시) | 필요 | 필요 |
| 위탁 시 위탁 사실 명시 | 해당 시 필요 | 해당 시 필요 |
약국에 CCTV가 있다면 영상정보도 관리 대상입니다. 제25조에 따라 설치 목적·촬영 범위·관리책임자 연락처 등을 적은 안내판을 정보주체가 쉽게 알아볼 수 있는 곳에 두어야 합니다. “녹화 중” 스티커 한 장으로 갈음하기보다, 가이드라인이 요구하는 항목을 갖춘 안내판인지 한 번 확인해 두는 편이 안전합니다.
사고가 났다면 — 72시간 시계와 신고 절차
관리의 진짜 시험대는 유출 사고 때입니다. 개인정보가 유출된 사실을 알게 되면, 일정 요건에서 72시간 이내에 개인정보보호위원회 또는 한국인터넷진흥원(KISA)에 신고해야 합니다(개인정보보호법 제34조, 시행령 제40조). 신고 요건은 다음 중 하나에만 해당해도 작동합니다.
- 1천 명 이상 정보주체의 개인정보가 유출된 경우
- 민감정보 또는 고유식별정보가 유출된 경우
- 개인정보처리시스템에 대한 외부의 불법적 접근으로 유출된 경우
약국은 처방 내역이라는 민감정보를 일상적으로 다루므로, 인원 수가 적어도 두 번째 요건만으로 신고 대상이 되기 쉽습니다. 신고는 서면·전자우편·팩스·전화 등으로 가능하며, 천재지변 등 부득이한 사유로 72시간 내 신고가 곤란하면 사유가 해소된 뒤 지체 없이 신고할 수 있습니다. 반대로 유출 경로가 확인되어 해당 정보를 회수·삭제하는 등으로 권익 침해 가능성이 현저히 낮아진 경우에는 신고하지 않을 수 있다는 단서도 있습니다.
사고가 의심될 때의 동선은 이렇게 외워두면 됩니다. ① 무엇이 어디로 새어 나갔는지 사실 확인 → ② 추가 유출 차단(비밀번호 변경·접근 차단) → ③ 72시간 시계 확인 후 신고 → ④ 영향받은 환자에게 통지 → ⑤ 재발 방지 조치 기록. 사후 기록은 나중에 ‘성실히 대응했음’을 보여주는 근거가 됩니다.
안 챙기면 생기는 실제 손해
가장 분명한 손해는 과태료입니다. 신고 의무를 지키지 않으면 개인정보보호법 제75조에 따라 최대 3천만 원 이하의 과태료 대상이 됩니다. 처리방침이 없거나 동의 절차가 빠진 상태 역시 점검·제재의 빌미가 됩니다. 액수만 보면 작아 보일 수 있지만, 점검은 한 항목만 보지 않습니다. 처리방침·동의·안전조치·신고가 줄줄이 엮여 있어, 한 곳이 비어 있으면 다른 곳까지 들여다보게 됩니다.
그러나 숫자로 잡히지 않는 손해가 더 큽니다. “그 약국은 환자 정보가 샌다”는 한 줄 소문은 단골을 가장 빠르게 잃게 합니다. 동네 약국의 자산은 결국 신뢰이고, 신뢰는 사고 한 번으로 무너지지만 회복에는 몇 배의 시간이 듭니다. 평소의 관리가 사고 비용을 줄이는 가장 싼 보험이라는 말은 그래서 과장이 아닙니다.
혼자 점검이 막힐 때 — 함께 봐드리는 방식
여기까지 읽고 “우리 약국은 이미 청구 프로그램과 법령 근거로 거의 맞춰져 있다”는 판단이 서면, 처리방침 문서 한 장과 안내문만 정리하면 충분한 경우가 많습니다. 굳이 새로 바꿀 게 없다면 그대로 두는 편이 낫고, 저희도 그렇게 말씀드립니다. 없는 위험을 만들어 파는 일은 하지 않습니다.
다만 혼자 정리하기 까다로운 지점이 몇 군데 있습니다. 청구 대행·외부 서비스에 정보가 함께 넘어가는 위탁 구간, 동의 항목이 실제 업무와 어긋나 있는 경우, 보관·파기 기준이 통째로 비어 있는 경우입니다. 약국 파트너 상담에서는 지금 운영 방식을 함께 한 장에 적어보고, 손볼 곳이 있으면 어디인지·그대로 둬도 되는 부분은 어디인지 공개된 제도와 법령 기준으로 정직하게 짚어드립니다. 결정은 사장님이 하시고, 저희는 점검을 도와드릴 뿐입니다.
자주 묻는 질문
Q. 작은 동네 약국도 처리방침을 만들어야 하나요?
A. 규모와 무관하게 환자의 개인정보를 수집·이용한다면 개인정보보호법 제30조에 따라 처리방침을 정하고 공개해야 합니다. 매출이나 직원 수로 빠지는 예외가 아닙니다.
Q. 처방 내역도 일반 동의서 한 장으로 받으면 되나요?
A. 처방 내역은 제23조의 민감정보라, 다른 정보 동의와 분리한 별도 동의를 받거나 법령 근거가 있어야 처리할 수 있습니다. 다만 조제·청구 등 약사법·건강보험 근거가 있는 업무는 그 범위에서 별도 동의가 전제되지 않습니다.
Q. 정보는 얼마나 보관해야 하나요?
A. 목적에 필요한 기간만 보관하고, 목적이 끝나면 복구할 수 없게 파기하는 것이 원칙입니다. 종이는 분쇄, 전자 자료는 완전 삭제로 처리합니다.
Q. 유출이 의심되면 며칠 안에 어디로 신고하나요?
A. 1천 명 이상·민감정보·외부 불법 접근 중 하나에 해당하면 72시간 이내에 개인정보보호위원회 또는 KISA에 신고해야 합니다(제34조). 미신고 시 제75조에 따라 과태료 대상이 될 수 있습니다.
Q. CCTV 영상도 관리 대상인가요?
A. 네. 제25조에 따라 설치 목적·촬영 범위·관리책임자 연락처 등을 적은 안내판을 두어야 하고, 영상정보도 개인정보로 보관·파기 기준을 적용해 관리해야 합니다.
출처: 개인정보보호법 제23조(민감정보의 처리 제한)·제25조(고정형 영상정보처리기기)·제30조(개인정보 처리방침의 수립 및 공개)·제34조(개인정보 유출 등의 통지·신고)·제75조(과태료) 및 시행령 제40조 — 국가법령정보센터(law.go.kr) / 개인정보 유출신고제도·고정형 영상정보처리기기 설치·운영 가이드라인 — 개인정보보호위원회(pipc.go.kr)·개인정보 포털(privacy.go.kr) / 유출 신고 접수 전문기관 한국인터넷진흥원(KISA)
※ 개인정보 보호 기준은 법령에 따라 변경될 수 있으며, 신고 요건·기간·과태료 등 구체적 적용은 사안마다 다릅니다. 정확한 내용은 개인정보보호위원회(국번 없이 182, privacy.go.kr) 등 공식 기관에서 확인하세요.