MedicalTimes
  • 정책
  • 제도・법률

의료기관 개인정보보호 팔걷은 행자부 "특별점검 실시"

이창진
발행날짜: 2016-09-26 05:00:58

신고와 언론보도 등 수시조사…정춘숙 의원 "복지부 국감서 개선 제기"

정부가 의료기관 환자 개인정보 보호 관련 수시조사 개념의 특별점검 방침을 공표해 의료계 주의가 요망된다.

더불어민주당 정춘숙 의원(사진, 보건복지위)은 26일 "행정자치부가 의료기관 개인정보 침해신고와 언론보도, 유출 등 사고 발생 시 해당 의료기관에 대한 특별점검을 실시하고 있다"고 밝혔다.

정춘숙 의원이 행자부로부터 제출받은 개인정보보호 관련 자료에 따르면, 행자부는 "올해 1월과 8월 의료기관에 대한 현장점검을 실시했고, 연말까지 의료기관 관리실태 현장 계획이 없다"고 답했다.

행자부는 다만, "의료기관 개인정보 침해신고와 언론보도, 유출 등 침해사고 발생 시에는 해당 의료기관에 대한 특별점검을 실시하고 있다"면서 사실상 수시조사를 진행하고 있음을 시사했다.

앞서 행자부는 정춘숙 의원에게 제출한 '개인정보보호법 의료기관 위반 처벌조항 및 처벌 사례'(2016년 8월 현재)를 통해 중소 병의원 중심으로 많은 행정처분을 내렸다.

조사대상 병의원 대다수가 1차 처분에 입각해 작게는 200만원부터 많게는 1000만원의 과태료 처분을 받았다.

정보수집과 홈페이지 관리 위반 시 과태료 최고 5천만원

이들 병의원이 중복 처분을 받게 되면, 개인정보보호법에 의거 5000만원 이하 과태료가 불가피하다는 지적이다.

더욱이 의료기관에서 환자 정보 유출 시 개인정보보호법에 따라 법정손해배상과 징벌적 손해배상 제도 도입으로 병원장도 형사처벌 될 수 있는 게 정보보안 법조계의 공통된 시각이다.

의료기관이 간과하기 쉬운 위반 사례는 개인정보 수집과 처리 등이다.

행자부는 개인정보 수집 시 정보주체 동의 미획득으로 동의 및 고지 의무 위반(개인정보보호법 제15조, 제17조, 제18조, 위반 시 5천만원)위반으로 1000만원 과태료(1차 위반) 처분을 내렸다.

개인정보 수집 시 필수 고지사항인 수집과 이용목적, 수집항목, 보유 및 이용기간, 미동의 시 불이익 고지 등 4개 항목 전체 또한 일부를 누락한 의료기관에 대해 1회 위반으로 600만원 과태료를 부과했다.

의료기관 홈페이지에서 탈퇴한 회원 정보 일부 또는 전부를 미파기 하거나, 보유기간 경과 또는 수집목적을 달성한 개인정보 미파기한 의료기관의 경우, 개인정보 파기 의무 위반(제21조)으로 600만원 과태료 처분을 받았다.

또한 중소 병의원이 취약한 개인정보 조치사항인 내부관리계획 수립과 접근통제 및 접근권한 제한, 저장 및 전송 시 암호화, 접속기록 보관, 보안 프로그램 설치, 물리적 보호조치 등도 3000만원 과태료 부과 대상이다.

접근통제 및 접근권한 제한 조치 위반 사례는 개인정보취급자 접근권한 부여와 변경 또는 말소 내역 미기록, 외부에서 관리자 페이지에 접속 시 VPN 이나 전용선 등 안전한 접속수단 미제공, 관리자 페이지 사용자별 권한차등 미부여 등도 의료기관에서 간과하기 쉬운 보안조치이다.

더욱이 환자 개인정보 저장 및 전송 시 비밀번호 및 주민번호 저장 시 암호화와 홈페이지에서 비밀번호 및 주민번호 전송 시 암호화, 안전하지 않은 암호알고리즘으로 암호화 등도 의료기관이 더욱 신경써야 할 보안대상이다.

행자부 "복지부 등 관련부처와 협의, 의료기관 현장점검 계획 수립"

행자부는 "2017년 개인정보보호법 관련 점검 계획은 아직 수립하지 않았다"고 전하고 "향후 보건복지부 등 관련 부처와 긴밀히 협의해 의료기관 점검 계획을 수립할 예정"이라고 답했다.

국회는 엄격한 개인정보보호법의 법 적용 문제점과 함께 환자정보 보안에 소극적 대처를 하고 있는 복지부와 의료기관의 개선을 촉구할 방침이다.

정춘숙 의원실 보좌진은 "행자부와 복지부 국정감사 답변서를 통해 의료기관 개인정보보호 취약성이 여실히 드러났다"면서 "환자 정보 유출 가능성이 농후하다는 점에서 복지부의 제도 개선을 국정감사에서 집중 제기할 것이다. 더불어 의료기관의 정보보안 관심과 참여를 유도하기 위한 방안도 추궁할 예정"이라고 말했다.

한편, 경기도병원회(회장 정영진) 주최 메디칼타임즈와 드림이앤씨 주관으로 26일 오후 2시 아주대의료원 별관 대강당에서 '의료기관 개인정보 보호 정책토론회'를 개최한다.

이날 토론회(좌장 이왕준 명지병원 이사장, 박진식 부천세종병원 이사장)에는 정보보안 전문 법무법인 테크앤로 구태언 대표변호사와 심사평가원 이영곤 부장 등의 주제발표와 함께 복지부와 행자부, 소비자단체협의회, EY 한영, 의료전문 법무법인 LK 파트너스 등이 패널로 참석해 열띤 토론을 벌일 예정이다.

지역에 구분없이 의료인 및 의료기관 종사자 누구나 참석할 수 있으며, 참가비는 무료이다.