구태언 변호사 "의료기관 개인정보 관리시스템 허술, 유출 위험↑"
의료기관이 적극적으로 개인정보보호 조치를 취해야 하는 이유가 뭘까.
"의료기관이 보유, 관리하는 개인의료정보가 유출되면 신뢰 회복이 불가한 수준으로 떨어질 수 있으며 사회적 파장도 감수해야 하기 때문"이라고 법무법인 테크앤로 구태언 변호사는 말했다.
구 변호사는 경기도병원회(회장 정영진) 주최, 메디칼타임즈와 드림이앤씨 주관으로 26일 오후 아주대의료원에서 열리는 '의료기관 개인정보 보호 정책토론회'에서 주제발표를 맡았다.
구태언 변호사는 "의료기관은 환자의 건강상태, 병력 등 민감정보와 주민등록번호 등 고유식별정보 같은 다양한 개인정보를 처리한다"며 "그럼에도 허술한 개인정보 관리 시스템으로 개인정보 보호가 취약하고 유출 위험도 높다"고 지적했다.
실제 한국인터넷진흥원이 국회에 제출한 자료에 따르면 의료기관 홈페이지 악성코드 유포 탐지 건수는 2014년 479건에서 작년 671건으로 급증했다. 지난해 기준으로 10건 중 8건은 의원급에서 일어나고 있었다.
행자부가 복지부, 개인정보보호위원회와 합동으로 전국 종합병원 20곳의 개인정보 관리실태 현장검사를 실시했더니 17곳에서 총 37건의 위반 사례가 나왔다. 구체적으로 개인정보 암호화 미적용 등 안전조치 의무 위반, 개인정보처리 위수탁 내용 및 수탁자 공개누락, 개인정보처리방침 공개누락 등이었다.
구 변호사는 "의료 개인정보는 의료정보 취급기관, 보험자, 고용주, 법집행기관 등 다양한 이용자에 의해 접근을 받는다"며 "가족사항, 유전적 특징, 병력, 성병 등이나 신분관계, 가족관계 등 정보유출로 인한 피해가 매우 큰 정보"라고 설명했다.
그러면서 "원격의료 도입에 따라 정보누출의 위험성이 증가했다"며 "원격의료 보안 위협에 대비해 안정성 확보조치를 점검하고 보안사고 재발을 방지해야 한다"고 밝혔다.
또 개인정보 유출 시 이를 의무적으로 통지해야 한다고 했다.
그는 "과거 의료정보 유출 사건의 소관 부처인 행정자치부와 보건복지부, 병원과 약국 등에 유출통지 의무를 현실적 제약이라는 이유로 면제해 의료계 감싸기 비판이 있었다"며 "현재는 개인정보 유출 시 의료기관도 개인정보보호법을 준수해야 한다"고 강조했다.
이어 "최소한의 개인정보보호 체계 구축 및 임직원 대상 개인정보 보호교육 등이 필요하다"고 덧붙였다.
"의료기관이 보유, 관리하는 개인의료정보가 유출되면 신뢰 회복이 불가한 수준으로 떨어질 수 있으며 사회적 파장도 감수해야 하기 때문"이라고 법무법인 테크앤로 구태언 변호사는 말했다.
구 변호사는 경기도병원회(회장 정영진) 주최, 메디칼타임즈와 드림이앤씨 주관으로 26일 오후 아주대의료원에서 열리는 '의료기관 개인정보 보호 정책토론회'에서 주제발표를 맡았다.
구태언 변호사는 "의료기관은 환자의 건강상태, 병력 등 민감정보와 주민등록번호 등 고유식별정보 같은 다양한 개인정보를 처리한다"며 "그럼에도 허술한 개인정보 관리 시스템으로 개인정보 보호가 취약하고 유출 위험도 높다"고 지적했다.
실제 한국인터넷진흥원이 국회에 제출한 자료에 따르면 의료기관 홈페이지 악성코드 유포 탐지 건수는 2014년 479건에서 작년 671건으로 급증했다. 지난해 기준으로 10건 중 8건은 의원급에서 일어나고 있었다.
행자부가 복지부, 개인정보보호위원회와 합동으로 전국 종합병원 20곳의 개인정보 관리실태 현장검사를 실시했더니 17곳에서 총 37건의 위반 사례가 나왔다. 구체적으로 개인정보 암호화 미적용 등 안전조치 의무 위반, 개인정보처리 위수탁 내용 및 수탁자 공개누락, 개인정보처리방침 공개누락 등이었다.
구 변호사는 "의료 개인정보는 의료정보 취급기관, 보험자, 고용주, 법집행기관 등 다양한 이용자에 의해 접근을 받는다"며 "가족사항, 유전적 특징, 병력, 성병 등이나 신분관계, 가족관계 등 정보유출로 인한 피해가 매우 큰 정보"라고 설명했다.
그러면서 "원격의료 도입에 따라 정보누출의 위험성이 증가했다"며 "원격의료 보안 위협에 대비해 안정성 확보조치를 점검하고 보안사고 재발을 방지해야 한다"고 밝혔다.
또 개인정보 유출 시 이를 의무적으로 통지해야 한다고 했다.
그는 "과거 의료정보 유출 사건의 소관 부처인 행정자치부와 보건복지부, 병원과 약국 등에 유출통지 의무를 현실적 제약이라는 이유로 면제해 의료계 감싸기 비판이 있었다"며 "현재는 개인정보 유출 시 의료기관도 개인정보보호법을 준수해야 한다"고 강조했다.
이어 "최소한의 개인정보보호 체계 구축 및 임직원 대상 개인정보 보호교육 등이 필요하다"고 덧붙였다.