개인정보를 특히 주의깊게 다뤄야 할 보건복지부 산하기관 및 소속기관의 개인정보보호 조치가 부족하다는 지적이 나왔다.
민주통합당 김용익 의원은 보건복지부로부터 받은 '개인정보보호 필수조치사항 자체점검 결과' 자료를 5일 공개했다.
결과에 따르면 복지부를 포함한 29개 산하, 소속기관 중 13개 기관이 개인정보보호법 시행에 따른 필수조치 사항을 완료하지 못하고 있었다.
건강보험심사평가원은 영향평가를 실시하지 않았고, 개인정보파일을 등록할 때 영향평가 결과도 행정안전부에 첨부하지 않았다.
개인정보 영향평가는 개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템을 변경할 때 시스템의 구축·운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대해 미리 조사·분석·평가하는 절차다.
심평원은 10월까지 내부 개인정보보호 분야 용역사업 후 개인정보 영향평가를 진행할 예정이다.
국립암센터도 영향평가를 실시하지 않은것과 동시에 홈페이지 회원가입시 주민번호 대체수단 도입을 하지 않았다.
국립암센터는 지적에 따라 지난 9월 홈페이지 가입시 주민번호 대체수단 GPIN을 도입했고 이달 중 중요시스템부터 단계별 영향평가를 실시할 예정이다.
국립중앙의료원은 내부관리계획 및 개인정보사용 동의서식이 갖춰지지 않은 것으로 나타났다.
이에따라 국립중앙의료원은 하반기 중 개인정보파일 관리체계를 구축하고, 의무기록열람 및 사본발급거절 통지서 서식을 만들고 원내에 비치할 예정이다.
한편, 이들 기관들은 개인정보보호 조치를 소홀히 해 홈페이지를 통해서도 개인정보가 노출되는 사건이 자주 일어났다.
지난해부터 올해 8월까지 1년 8개월사이 국립암센터 홈페이지에서 총 31건의 개인정보노출 사건으로 가장 많이 일어났다. 이 중 21건은 개인정보보호법이 개정된 후에 일어났다.
이밖에도 국민건강보험공단이 1건, 복지부 건강증진사업지원단 2건이 발생했다.
김용익 의원은 "필수조치사항 미이행은 대부분 현행법 위반에 해당하는 사안이다. 복지부 및 산하 기관은 개인 건강상태나 질병이력을 알 수 있는 민감한 정보가 대량으로 축적돼 있기 때문에 다른 기관보다 특별한 관리가 필요하다"고 강조했다.