안전행정부 지난해 합동점검 결과 89.7% 개인정보보호법 위반
의료기관10곳 점검 과태료·시정명령 25건…올해 중소병원 기획점검
문금주 안전행정부 과장은 28일 한국과학기술회관에서 열린 의료기관 개인정보보호 및 정보보완 컨퍼런스에 참석, '개인정보보호 현황 및 정책 방향' 주제발표를 통해 지난해 합동점검단이 331곳을 기획점검한 결과, 89.7%(297곳)가 관련 법령을 위반한 것으로 파악됐다고 밝혔다.
의료분야는 10곳 대형병원을 대상으로 기획점검한 결과, 과태료 19건, 시정명령 6건 등 25건이 개인정보보호 관계법령을 위반한 것으로 집계됐다.
의료·금융·협회·학원·방송통신·공공기관 등 전체 업소의 468건에 대한 위반유형을 분석한 결과, 안전조치 미흡이 44.2%로 가장 많았고, CCTV 설치운영 위반 17.0%, 위수탁 위반 12.3%, 고지의무 불이행 4.7% 등으로 파악됐다.
문 과장은 00병원의 위반 사례를 예로 들며, "홈페이지에 동의 고지시 일부 수집항목에 대한 동의를 거부할 때 아예 회원가입을 할 수 없도록 불이익을 주거나 선택 정보와 필수 정보를 구분하지 않은 경우를 비롯해 진료 목적 이외에 주민등록번호와 민감정보 수입에 대한 별도 동의를 위반한 사례가 발견돼 과태료 처분을 받았다"고 설명했다.
이와 함께 ▲홈페이지 및 정보시스템 유지보수 ▲용역위탁 계약서에 목적 및 안전성 확보 조치 사항 누락 ▲위탁 사실 미공개 ▲수탁사에 대한 관리감독 미실시 등 위탁계약시 필수사항을 누락하거나 관리감독을 의무를 위반한 사례도 적발됐다고 밝혔다.
개인정보의 안전한 관리를 위한 조치를 이행하지 않은 사례로는 ▲DB에 대한 접근권한 부여·변경기록·접속기록 미보관 ▲고유식별정보 및 비밀번호 암호화 미실시 ▲웹서버 백신에 대한 보안업데이트 미실시 ▲전산실 출입통제 절차 미흡 등을 지적했다.
문 과장은 "개인정보보호 실태조사 결과, 보건·의료 분야에서는 내부관리계획 수립 및 시행이 59.8%, 주민번호 암호화 64.1%, CCTV 안내판 82.3%로 파악됐다"며 "2011년 개인정보보호법 시행 이후 인식은 많이 개선되고 있지만 여전히 개인정보보호에 대한 현장에서의 실제적인 조치는 미흡한 실정"이라고 지적했다.
올해 기획점검은 중소병원이 주된 대상이 될 것이라는 예고도 했다.
문 과장은 "개인정보보호법 시행이후 지금까지 계도 위주로 시정이나 낮은 과태료를 부과했지만 개인정보 대량 유출 사건이 잇따라 터지면서 국민의 개인정보 보호에 대한 인식과 정서가 처벌을 강화할 것을 요구하고 있다"며 "올해 기획점검은 중소규모 병원이 개인정보를 얼마나 안전하게 관리하고 있는지를 주로 살펴보는 방향이 될 것"이라고 언급했다.
이와 관련해 김준태 보건복지부 사무관은 "의료기관 홈페이지를 이용해 주민등록번호를 수집하지 않도록 주의해야 한다"며 "상시근로자 수가 5명이상인 의료기관은 내부관리계획을 수립하고, 접근권한·비밀번호관리·암호화·방화벽 등 개인정보보호법이 규정하고 있는 안전조치를 다해야 한다"고 밝혔다.
최일훈 소만사 연구소장은 "의료법에 따라 진료정보는 수집 및 이용시 동의를 받지 않아도 되지만 진료 외 홍보를 비롯한 다른 목적으로 사용할 때는 동의를 필수적으로 받아야 한다"며 "접근통제, PC저장시 암호화 등 정보보완 시스템에 대한 안전성 확보조치에 대해서는 의료기관들도 개인정보보호법의 적용을 받는만큼 인력이나 소프트웨어에 대한 투자가 필요하다"고 지적했다.