"병원에서 일하는 지인이 이달 피의사건 처분 통지서를 받았다. 동의서를 받지 않은 채 개인 정보를 수집했기 때문이다."
14일 인텔 주최로 그랜드인터컨티넨탈호텔에서 열린 '병원 정보보호를 위한 IT 보안 전략 컨퍼런스'에서 연세대 정혜정 교수는 이 같은 사례를 들어 문제를 제기했다.
오는 9월 30일부터 전면 시행에 들어가는 개인정보보호법에 따라 의료기관도 개인정보 보호의 의무를 지게 되지만 현재 법이 규정하는 수준으로 보안을 갖춘 병의원은 많지 않다는 지적이다.
정 교수에 따르면 현재 병의원에서 가장 취약한 부분은 수집 단계에 있어서의 정보 제공 동의 확인이다.
그는 "수집에 따른 정부의 표준 가이드라인이 제시가 돼 있다"면서 "먼저 개인정보보호 동의서부터 만들기 바란다"고 주문했다.
주민등록번호 등 고유식별정보의 처리는 개인정보보보호법에 따라 원칙적으로 사용이 금지된 상태지만 환자의 동의 하에서는 사용 가능하다는 것.
현재 병의원에서 동의서 없이 환자의 주민등록번호를 수집하는 곳이 많아 5년 이하의 징역 또는 5천만원 이하의 벌금 처분이 가능하기 때문에 동의서 작성이 시급하다는 설명이다.
정 교수는 "일시적인 수집에도 동의서는 필요하며, 개인정보의 수집 항목과 목적, 그리고 이용 기간을 명시해야 한다"면서 "작년 검찰이 환자 정보를 불법으로 수집했다는 의혹이 있는 병원 열곳을 수사한 적도 있다"고 환기시켰다.
정 교수는 정보 유출시 직원 외에 원장도 함께 처벌받을 수 있다는 점도 지적했다.
그는 "양벌규정을 통해 정보관리자 외에 관리자인 원장도 처벌 대상이 된다"면서 "개인정보 유출 사실을 안 이상 지체 없이 정보 주체에게 사실 통지하고 법적으로 보안 관련 서식도 준비해야 한다"고 밝혔다.