[법과 상식 사이] 병원 진료 대기판에 뜨는 내 이름, 한 글자 가리면 충분할까
이름의 한 글자를 가리면 곧바로 익명처리가 될까? 병원 진료 대기판에는 환자 이름이 전부 드러나지 않도록 일부를 별표나 동그라미로 가려 표시하는 경우가 있다. 병원 나름의 개인정보 보호 조치다. 그러나 법적으로 중요한 질문은 따로 있다. 그 표시가 실제로도 환자를 식별하기 어렵게 만들었는가. 아니면 대기실이라는 공간적 맥락 속에서 여전히 누구인지 쉽게 짐작하게 하는가를 고려했을 때 충분한 조치인가. 맥락이 붙는 순간, 이름은 단순한 문자가 아니다 개인정보 보호법은 개인을 알아볼 수 있는 정보뿐 아니라 다른 정보와 쉽게 결합해 식별할 수 있는 정보도 개인정보로 본다. 또한 게시·표시 등은 개인정보 '처리'에 포함될 수 있다. 병원 대기판 표시는 단순한 안내가 아니라 개인정보 처리의 한 방식으로 봐야 한다. 특히 병원에서는 이 문제가 더 민감해진다. 병원은 단지 사람이 모이는 공간이 아니라 이름 표시가 진료 대기 상황과 결합되는 장소이기 때문이다. 진료실 앞 대기판 문제의 핵심은 '이름을 조금 가렸는가'가 아니라, 그 표시 방식이 현실적으로 식별 가능성을 얼마나 낮추고 있는가에 있다. 가명정보라는 오해 이름 일부를 가렸으니 '가명정보'가 아니냐고 물을 수 있다. 하지만 법은 가명처리를 개인정보의 일부를 삭제하거나 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것이라고 정의한다. 다시 말해, 같은 대기실의 이용자들이 별도의 추가정보 없이도 누구인지 쉽게 추정할 수 있다면 실질적으로는 가명처리의 효과가 충분하다고 보기 어렵다. 그래서 병원 대기판에서 핵심은 부분 비식별 표시만으로 실제 보호가 충분한지에 있다. 몇 글자를 가렸는지가 아니라 그 방식이 현실적인 식별 가능성을 충분히 낮추고 있는지가 중요하다. 최소 처리의 원칙 이 사안을 관통하는 법적 기준은 개인정보보호법 제3조의 원칙이다. 개인정보처리자는 목적에 필요한 최소한의 범위에서만 정보를 처리해야 하며, 익명이나 가명처리로 목적을 달성할 수 있다면 그 방법을 우선해야 한다. 병원 대기판 운영에 이 원칙을 대입하면 질문은 단순하다. 환자 확인을 위해 반드시 이름이 필요한가. 필요하다면 전체 공개가 불가피한가. 더 나아가 이름 일부를 표시하는 것보다 덜 식별적인 대체 수단은 없는가. 법이 요구하는 것은 관행이 아니라 목적 달성에 필요한 최소 범위의 설계다. 접수번호나 대기번호 중심의 호출 방식처럼 덜 침해적인 수단이 존재한다면, 병원은 왜 더 노출하는 방식을 선택했는지 설명할 수 있어야 한다. 어떻게 설계해야 하나 그래서 실무적 결론도 비교적 분명하다. 원칙적으로는 대기번호나 내부 식별번호 중심으로 운영하는 것이 가장 안전하다. 불가피하게 이름 확인이 필요한 경우라면 성명 전체를 드러내기보다 일부만 표시하는 방식으로 식별 범위를 줄이는 것이 바람직하다. 다만 여기서도 안심할 수는 없다. 외국인 이름처럼 드물고 눈에 띄는 경우, 지역이나 병원 규모상 동명이인이 많지 않은 경우, 예약 시간이나 대기 순번이 함께 보이는 경우에는 이름 일부만 가려도 특정이 쉬울 수 있다. 핵심은 마스킹의 유무가 아니라 재식별 가능성을 충분히 낮췄는지에 있다. 특히 주의해야 할 것은 정보가 놓이는 맥락이다. 이름을 다 보여주지 않았다고 해서 문제가 사라지는 것은 아니다. 진료실 앞 대기판은 그 위치 자체로 이미 의료적 맥락을 형성하기 때문에 성명 일부만 표시하더라도 주변 사람이 누구를 위한 호출인지 짐작할 가능성이 있다. 그래서 병원은 무엇을 표시할 것인가만이 아니라, 그 정보가 어떤 맥락에서 읽히는지도 함께 따져야 한다. 필요 이상의 식별 단서는 빼고 정말 필요한 최소 요소만 남겨야 한다. 결국 병원 대기판 운영의 판단 기준은 분명하다. 형식적으로 몇 글자를 가렸는지가 아니라, 그 방식이 실제로 환자의 식별 가능성과 사생활 노출을 얼마나 줄였는지가 핵심이다. 환자 안내와 진료 운영의 편의도 중요하지만 그 목적이 개인정보 최소처리의 원칙을 넘어설 수는 없다.
