[초점]의료기관 개인정보 위반 행정처분 사례

환자 개인정보보호에 대한 의료기관의 보안 취약성이 드러나 의료계 대책마련 등 각별한 주의가 요구된다.

더불어민주당 정춘숙 의원(보건복지위)이 21일 행정자치부로부터 제출받은 '개인정보보호법 의료기관 위반 처벌조항 및 처벌 사례'(2016년 8월 현재)에 따르면, 개인정보보호 보안에 취약한 의원급과 중소병원이 법 위반으로 행정처분을 받았다.

그동안 보건복지부와 심사평가원은 의료기관 자율 점검을 통해 개인정보보호 강화에 나서고 있지만, 행자부 실태조사는 지속적으로 진행되고 있다는 반증이다.

조사 대상 병의원 상당수가 개인정보보호법 위반으로 작게는 200만원부터 많게는 1000만원까지 과태료 처분을 받았다.

우선, 의료기관의 개인정보 수집과 처리 관련 법 위반 사례가 속출했다.

개인정보 수집 시 정보주체 동의 미획득으로 동의 및 고지 의무 위반(개인정보보호법 제15조, 제17조, 제18조)으로 5000만원 이하 과태료를 받아야 하나 1차 위반이라는 점에서 1000만원 과태료 처분을 받았다.

의료법에 따른 진료목적의 의료행위가 아님에도 불구하고 개인정보 수집 시 동의를 구하지 않았다는 의미다.

환자정보 수집 동의·고지-아동 법정대리인 동의 위반 '과태료 1천만원'

또한 개인정보 수집 시 필수 고지사항인 수집과 이용목적, 수집항목, 보유 및 이용기간, 미동의 시 불이익 고지 등 4개 항목 전체 또한 일부를 누락한 의료기관은 1회 위반으로 600만원 과태료를 부과했다.

의료기관이 간과하기 쉬운 홈페이지 운영도 개인정보보호법 레이더에 포착됐다.

홈페이지에서 탈퇴한 회원 정보 일부 또는 전부를 미파기 하거나, 보유기간 경과 또는 수집목적을 달성한 개인정보 미파기한 의료기관의 경우, 개인정보 파기 의무 위반(제21조)으로 600만원 과태료 처분을 받았다.

개인정보 수집 동의(제22조)를 위해 홈페이지에서 일반 정보와 마케팅 활용 정보를 구분않고 일괄해 동의 받은 경우와 개인정보 목적 외 제3자 제공 시 각각의 동의사항을 구분하지 않고 포괄해 동의받은 의료기관은 1차 위반으로 200만원 과태료(각각 1천만 이하 과태료)로 처분됐다.

특히 만 14세 미만 아동의 개인정보 처리(제22조 제5항)를 위해 동의를 받아야 할 때 법정대리인의 동의를 받지 않은 의료기관에게 1회 위반을 감안해 1000만원의 과태료(법 위반시 5천만원 이하 과태료)를 부과했다.

개인정보 처리 위탁처리 시 준수사항(제26조, 위반 시 1천만원 이하 과태료) 위반도 빈번했다.

정보처리 위탁 필수사항 누락-수탁자 홈페이지 미공개 등 '적발'

위탁시 필수사항인 위탁 목적과 범위, 목적 외 처리금지, 기술적 관리적 보호조치, 재위탁 제한, 안전성 확보 조치, 관리현황 점검 감독 및 손해배상 등을 문서(계약서)에 일부 또는 전부 누락해 1회 위반으로 200만원 과태료를 받았다.

개인정보처리 수탁자를 의료기관 홈페이지에 공개 누락 또는 미공개한 의료기관도 동일한 처분을 내렸다.

의원급과 중소병원에서 취약한 개인정보 안전성 확보조치 의무(제29조, 위반 시 3천만원 과태료)도 다수 적발됐다.

의원·병원 취약한 개인정보 안전성 조치 위반 '600만원 과태료'

개인정보 조치사항인 내부관리계획 수립과 접근통제 및 접근권한 제한, 저장 및 전송 시 암호화, 접속기록 보관, 보안 프로그램 설치, 물리적 보호조치 등의 누락으로 600만원 과태료를 해당 의료기관에 부과했다.

접근통제 및 접근권한 제한 조치 위반 사례는 개인정보취급자 접근권한 부여와 변경 또는 말소 내역 미기록, 외부에서 관리자 페이지에 접속 시 VPN 이나 전용선 등 안전한 접속수단 미제공, 관리자 페이지 사용자별 권한차등 미부여, 회원관리 관리자 계정을 2명이 공유 등 의료기관에서 간과하기 쉬운 보안조치이다.

더욱이 환자 개인정보 저장 및 전송 시 비밀번호 및 주민번호 저장 시 암호화와 홈페이지에서 비밀번호 및 주민번호 전송 시 암호화, 안전하지 않은 암호알고리즘으로 암호화 등을 위반한 의료기관도 600만원 과태료를 부과했다.

이밖에도 개인정보 처리방침 수립 및 공개 시 필수항목(제30조, 위반 시 1천만원 과태료)인 처리목적과 처리 및 보유기간, 제3차 제공, 위탁, 정보주체 권리 의무 및 행사방법, 처리 항목, 파기 사항, 안전성 확보조치를 위반한 병의원 그리고 개인정보 보호책임자를 미지정(제31조, 5백만원 과태료)한 병의원에게 각각 200만원과 500만원 패널티가 내려졌다.

행자부는 답변서를 통해 개인정보보호법에 의거 행정처분 의료기관 통계를 공개할 수 없다는 입장이나 의원과 중소병원을 중심으로 실태조사 대상 기관 수 십 곳 대다수가 처벌된 것으로 전망된다.

정보보안 전문 구태언 변호사 "환자 정보 유출시 병원장도 형사처벌"

보안 전문가들은 행자부의 실태조사 시 일부를 제외하고 자유로운 의료기관은 사실상 없다면서 개인정보에 대한 관심을 주문했다.

정보보안 전문 법무법인 테크앤로 구태언 대표변호사는 "환자정보 유출 시 개인정보보호법에 따라 법정손해배상과 징벌적 손해배상 제도가 도입돼 병원장도 형사처벌 될 수 있다"면서 "현재 의원급과 중소병원의 관심과 노력이 미흡한 수준이다. 해커들의 공격으로 하루아침에 법적 재앙을 초래할 수 있는 만큼 의료기관의 관심과 실행이 요구된다"고 조언했다.

의료계 일각에서는 의료기관 자체 개인정보 보안과 더불어 중소병의원 대다수가 사용 중인 청구 소프트웨어 업체의 정보보안 역시 취약하다는 점에서 자칫 제2의 약학정보원(PM2000) 사태가 발생할 수 있다는 시각이다.