개인정보의 중요성에 대한 국민, 정부의 인식 변화와 아울러 개인정보 보호법령 또한 개인정보 보호를 강화하는 추세로 개정되어 왔다.
일반적으로 적용되는 개인정보 보호법의 형사처벌, 양벌규정으로 인해 법인의 임직원이 위반행위를 한 경우 해당 법인까지 처벌이 가능해짐에 따라 다량의 개인정보를 관리하는 기업들이 개인정보보호법령의 준수를 위해 촉각을 곤두세우고 많은 노력을 기울이고 있다.
반면, 의료기관의 경우 환자나 병원 임직원의 주민등록번호 등 고유식별정보뿐 아니라 건강, 질병정보와 같은 민감 정보 등의 주요 개인정보를 관리하고 있음에도 타 개인정보처리자에 비해 완화된 정부기관의 감독, 규제를 받아 왔다.
그러나 국내 의료분야에 있어 개인정보보호 실태가 매우 취약한 것으로 드러남에 따라 최근 의료기관을 대상으로 건강보험심사평가원의 자율점검, 보건복지부와 행정자치부의 개인정보 관리실태 현장검사 실시 등 규제 적용의 움직임을 보이고 있다.
취약한 의료 개인정보 현주소, 의료기관 형사처벌 이어질 수도
국내 의료 개인정보 보호 실태를 단적으로 보여주는 사례로 지난 2013년 대한약사회 산하 약학정보원이 약국 청구프로그램을 통하여 무단 수집한 약 7억 4천만 건의 환자 진료 처방 정보를 헬스케어 컨설팅 전문업체 불법 판매한 행위로 개인정보보호법 위반 혐의로 기소된 바 있다.
뿐만 아니라 2014년에는 SK텔레콤이 전자처방전 서비스 운영 시 병원이 발급한 전자처방전을 환자의 동의 없이 SK텔레콤 서버로 무단 전송, 보관하여 의료법, 개인정보보호법 위반 문제가 발생하기도 하였다.
의료정보의 전산화, 상업화로 인해 환자의 개인정보가 대량으로 유출될 가능성이 높아지면서 개인정보 안전성 확보조치 등 의료기관의 개인정보 보호 노력의 중요성이 나날이 대두되고 있는 반면, 의료기관의 개인정보 보호 실태는 여전히 취약한 실정이다.
가령, 지난 2016년 8월 31일 자 기사로 병원 보안이 허술한 점을 노려 취업준비생이 산부인과 3곳과 성형외과 1곳을 해킹해 여성 환자들의 이름과 나이, 아이디, 패스워드 등의 총 1만 6000여건의 개인정보를 손쉽게 입수하여 개인정보보호법 위반으로 불구속 입건된 사건이 보도된 바 있다.
해킹 당한 병원의 관리자 아이디는 admin(관리자를 뜻하는 administrator의 준말)이었고, 비밀번호는 1111이었다. 당시 해킹을 한 취업준비생뿐아니라 해킹당한 병원장과 개인정보 관리 책임자 등 8명도 개인정보 관리를 소홀히 한 혐의로 함께 입건되었다.
구체적으로, 개인정보보호법 제73조 등에 따라 안전성 확보에 필요한 조치를 하지 않아 개인정보를 분실, 도난, 유출, 변조 또는 훼손당한 자 또한 2년 이하의 징역 또는 2천만원 이하의 벌금형에 처하게 되며, 양벌규정의 적용으로 인해 법인의 임직원 등이 위와 같은 행위를 한 경우 그 법인에게도 같은 벌금형이 과해진다.
해킹의 '해'자도 모르는 초보자에게 해킹을 당할 만큼 허술한 병원들의 보안관리가 형사책임으로 이어질 우려가 있는 것이다.
의료법 뿐 아니라 개인정보보호법, 정보통신망법도 고려해야
의료기관의 개인정보 보호 관련 형사책임이 문제되는 경우는 크게 의료법, 개인정보 보호법, 정보통신망법 위반으로 구분할 수 있다.의료법 제18조 제3항에서 정당한 사유 없이 전자처방전에 저장된 개인정보를 탐지하거나 누출 변조 또는 훼손하는 행위를 금지하고 있다.
또한, 이러한 행위를 한 자를 5년 이하의 징역 또는 2천만원 이하의 벌금형에 처함과 동시에(의료법 제87조 제1항 제2호) 제91조의 양벌규정에 따라 행위자가 소속된 의료기관 등 법인에게도 2천만원 이하의 벌금형을 부과하고 있다.
개인정보 보호법에서는 의료법에 비해 처벌 대상의 범위가 확대되는 바, 의료기관의 임직원이 개인정보 안전성 확보조치를 하지 아니하여 개인정보를 분실, 도난, 유출, 위조, 변조 또는 훼손을 당한 경우,정보주체의 별도 동의를 받거나 법령에서 요구, 허용하지 않음에도 민감정보나 고유식별정보를 처리하는 경우 등 임직원의 개인정보 보호법 위반행위가 있는 경우에 법인인 의료기관 역시 벌금형을 부과 받게 된다.
한편, 홈페이지를 운영하는 의료기관은 개인정보보호법 상 개인정보처리자의 지위에 있을 뿐 아니라 정보통신망법 상 정보통신서비스 제공자의 지위에 있으므로정보통신망법에 따라 이용자의 정보보호조치를 취하는 등 의무를 준수하여야 한다.
그러나 한국인터넷진흥원의 '의료기관 홈페이지 악성코드 유포 및 탐지현황'자료에 따르면 2014년부터 2016년 7월까지 의료기관 홈페이지 악성코드 유포 탐지건수가 1261건에 달하는바,의료기관 홈페이지 또한 취약한 보안으로 인해 악성코드 유포의 온상으로 지목되고 있다.
병원 의료 관련 정보를 얻기 위해 홈페이지에 방문했다가 악성코드에 감염되거나 개인정보가 유출될 위험에 처한 사례가 발생하는 경우 정보통신망법 제28조의 기술적, 관리적 조치 이행 여부가 문제되어 과태료 처분을 받게 될 수도 있다.
뿐만 아니라 의료기관의 임직원이 정보통신망법을 위반하여 개인정보를 목적 외 이용하거나 제3자 제공하는 경우, 이용자의 동의를 받지 않고 개인정보 처리위탁을 하는 행위 등을 하는 경우 양벌규정이 적용되어 법인인 의료기관도 해당 벌금형을 부과 받게 될 수 있다.
개인정보 안전성 확보조치 및 정기교육 등으로 양벌규정 적용 면할 수 있어
행정자치부와 보건복지부의 점검이 현재까지는 권고, 독려의 형태로 이루어지고 있으나 불시에 정부의 입장이 변화되어 의료기관에 대한 개인정보 보호 규제 이행 점검을 강화할지도 모르는 일이다.
또한 비밀번호를 1111로 설정하였던 성형외과, 산부인과 해킹 사건과 같은 사고는 언제 어디에서라도 발생할 수 있고, 개인정보 관리를 허술히 한 의료기관 또한 양벌규정에 의해 개인정보보호법 위반에 따른 처벌을 면하게 될 수 없게 된다.
그러나 의료법, 개인정보 보호법, 정보통신망법 상 양벌규정은 단서조항에 따라 의료기관이 소속 임직원의 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 적용되지 않으므로, 평소 개인정보 안전성 확보조치와 임직원 대상의 개인정보보호교육 등을 정기적으로 실시하는 경우 충분히 그 처벌을 피할 수 있는 것으로 보인다.
개인정보보호법령 위반으로 인한 형사책임 때문만이 아니더라도 의료기관은 건강, 질병 정보 등의 민감 정보뿐 아니라 주민등록번호 등 고유식별정보와 같은 환자의 개인정보를 다량으로 처리하는 만큼 환자 개인정보 보호의 중요성을 인식하고 이를 소중히 관리하는 노력을 지속해야 할 것이다.