1. 목적·원칙: 위임·철회 동의 체계의 존재 이유와 준거
(최소 수집·목적명확성·투명성·책임성)
위기발굴·사례관리에서 동의 체계를 설계하는 1차 목적은 당사자의 통제권 보장과 안전한 연계를 동시에 달성하는 데 있다.
핵심 원칙은 네 가지로 요약하면 아래와 같다.
첫째, (최소 수집) 생명·신체 보호에 필수적인 항목 중심으로 정의하고, 수집 목적과 무관한 정보는 구조적으로 수집 불가하도록 양식을 설계한다.
둘째, (목적 명확성) “안부확인·위기탐지·연계·사례관리 개선” 등 구체적 처리 목적을 동의서 본문과 메타데이터에 동일하게 박는다.
셋째, (투명성) 누가·언제·무엇을·왜 처리하는지 한눈에 보이도록 ‘레이어드(layered) 동의’ UI를 적용하고, 철회 방법과 연락 창구를 동의 순간에 함께 제공한다.
넷째, (책임성) 열람·정정·이동·삭제 요청을 처리하는 기한, 담당부서, 이의제기 경로를 절차서에 고정하고 시스템에 감사추적(Audit Trail)을 심어둔다. 여기에 긴급상황 예외조항(Overriding Consent)**을 더한다. 생명·신체 위험 등 법령이 허용하는 범위에서 선(先)조치·후(後)통지 원칙으로 작동하게 하되, 사후 기록에는 판단 근거·시간대·조치결과·책임자를 빠짐없이 남겨 재발방지 학습이 가능하도록 한다.
마지막으로 조직 차원의 윤리선언을 문서화해 “기술은 사람을 대체하지 않고, 사람의 결정을 보조한다”라는 기준을 명문화한다.
이 네 가지 원칙은 이후 범위·주체·운영의 모든 설계 판단에서 우선순위를 정하는 나침반이 된다.
2. 범위·계층형 동의: 처리활동·데이터·보유기간·공유대상의 경계 그리기
(스코프·옵션·만료정책)
동의체계의 범위는 처리활동(무엇을 할 것인가), 데이터항목(무엇을 다룰 것인가), 보유기간(언제까지 보유하는가), 공유대상(누구에게 열람·제공하는가) 네 축으로 정의한다.
첫 단계에서는 필수·선택·거부로 나누는 계층형 동의를 적용한다.
예를 들어 필수에는 본인확인·연락처·위기신호 최소 항목, 선택에는 건강·생활습관 상세, 추가선택에는 연구·평가 목적 2차 이용을 둔다.
각 층위마다 철회가 미치는 영향(예: 서비스 일부 제한, 대체 채널 제공)을 쉬운 문장으로 표기하고, 글자 크기·대비·음성 안내 등 고령친화 접근성을 보장한다. 보유기간은 사유별로 차등 설정한다.
상담기록·위기대응 로그는 법정보존기간 또는 내부정책 기간을 명시하고, 자동 만료·정기재동의를 시스템적으로 구현한다.
공유대상은 지자체 담당, 수행기관, 연계 의료·돌봄 파트너 등 역할별로 구체화하고, 목적외 이용 금지 문구와 재제공 금지를 이중으로 건다.
데이터 항목 정의서는 코드·단위·예시값까지 포함한 메타데이터 사전으로 관리하여 중의성을 제거한다. 오프라인 상황을 대비해 종이 동의→디지털 전환 절차(스캔·OCR·서명검증·원본보관 규칙)도 포함한다.
마지막으로 예외·경계 사례—예컨대 대리인이 신청하지만 본인이 철회를 요청한 경우—에 대한 판정 로직과 책임부서를 범위 문서에 함께 고정해 혼선을 막는다.
3. 주체·권한분리: 정보주체·대리인·처리자·공동관리자·제3자의 역할과 책임
(Consent Owner·RBAC·로그)
주체 정의는 권한과 책임의 지도를 그리는 작업이다. 중심에는 정보주체(당사자)가 있다.
다음으로 법정대리인/보호자가 특정 조건에서 위임을 행사할 수 있으나, 가능한 한 본인 의사 우선 원칙을 둔다
조직 측 주체는 공동관리자(지자체·수행기관 등 공동으로 목적·수단을 결정하는 주체), 처리자(위탁받아 처리하는 주체),
제3자 수신자(의뢰·회신 파트너)로 나눈다.
시스템 권한은 RBAC(역할기반 접근제어)와 속성기반 조건(근무지·시간대·사례배정 여부)를 결합해 과도한 열람을 차단한다. 예컨대 배정된 사례에만 접근 가능, 야간 접근은 추가 인증, 민감항목(건강·폭력·학대 의혹)은 열람사유 기입과 상급자 자동통보를 의무화한다. 위임은 스코프(열람/기록/공유 요청), 기간, 대상 역할을 명세한 위임토큰으로 발급하고, 철회 시에는 토큰을 즉시 무효화하며 캐시 삭제·세션 종료·알림 라우팅이 자동으로 실행되게 한다.
모든 접근·변경·내보내기 이벤트에는 사용자ID·시간·대상기록·사유·채널을 담은 불변 로그를 남기고, 감사시 열람범위와 진료·상담의 정당성을 대조할 수 있도록 이벤트-사유 매핑을 강제한다.
외부 협력사는 계약서에 하위처리자(Sub-processor) 등록·변경 통지, 침해사고 보고 기한, 키 관리·데이터국외이전 제한, 작업장 보안통제를 박아 실무와 법적 리스크를 동시에 낮춘다.
4. 운영·감사·리스크: 위임/철회 흐름, 레지스트리·API, 만료·재동의, 침해대응·교육·KPI(프로세스-지표-개선)
운영 단계에서는 위임/철회 플로우를 서비스 여정에 맞춰 표준화한다.
시작은 신원확인(휴대폰·대면·대리인 증빙)과 동의 캡처(전자서명·음성동의 기록·타임스탬프)이며, 생성된 동의는 동의레지스트리에 버전·범위·만료일과 함께 저장된다.
현장·앱·콜센터 등 모든 채널에서 철회가 가능해야 하며, 철회가 접수되면 API 이벤트가 발화되어 권한 회수→캐시무효화→관련자 알림(담당자·파트너)→당사자 확인통지까지 일괄 처리된다. 만료·재동의는 캘린더 기반 배치와 푸시·우편·전화 중 당사자 선호 채널로 리마인더를 보낸다.
침해대응은 발견→격리→평가→통지→재발방지 5단계로 소요시간 KPI를 둔다(예: 72시간 내 관계기관 통지, 24시간 내 당사자 1차 안내). 키회전·권한검토 정기점검을 분기/반기 주기로 잡고, 표본 로그에 대한 무작위 감사로 무단열람 가능성을 사전에 억제한다.
교육은 신규·보수로 분리하고, 실제 사례 시뮬레이션(위기콜, 대리인 오인, 철회 누락)을 통해 ‘사유 입력’과 ‘에스컬레이션’ 숙련도를 높인다. 끝으로 KPI를 설정한다
(1)동의취득 평균 소요시간, (2)철회 처리 TAT, (3)오탐·미탐 연계에 따른 불필요 공유율,
(4)접근권한 과다 부여 건수, (5)민원·이의제기 건의 해결 리드타임.
이 지표를 월례 보안·윤리위원회에 보고하고,
교정조치(CAPA)를 문서화하여 다음 분기의 정책·UI·교육에 반영하면 체계는 살아있는 형태로 진화한다. 최종적으로 이 운영 프레임을 파일럿→확대 로드맵과 연결해, 샌드박스 기간에는 범위를 보수적으로, 전면 확산 시에는 자동화·표준화 비중을 높여 위기 대응력과 당사자 권리를 함께 지키는 체계를 완성한다.
