의료기관서 개인정보보호법 자주 위반하는 것은?
의료기관서 개인정보보호법 자주 위반하는 것은?
  • 이정환 기자 leejh91@doctorsnews.co.kr
  • 승인 2018.08.07 06:00
  • 댓글 0
이 기사를 공유합니다

자율점검 서비스 무상으로 실시…행정안전부 현장점검 제외 혜택
심평원 자율점검 시스템 활용 49 항목 점검 받으면 위반 시 과태료 경감

의료기관에서 개인정보보호법을 자주 위반하는 것으로 비빌번호 저장 시 암호화 미조치, 개인정보 접근통제 관리 미흡, 주민등록번호 저장 시 암호화 미조치 등으로 나타났다.

따라서 개인정보보호 자율점검을 통해 법을 위반할 수 있는 항목을 예방해 정부의 현장점검 후 내려지는 과태료 처분을 피하는 것이 요구되고 있다.

개인정보보호법이 강화되면서 의료기관에서의 개인정보보호와 관련된 업무가 중요해지고 있지만, 이를 잘 지키지 못해 과태료 처분을 받은 일도 지속해서 발생하고 있다.

이 때문에 개인정보보호법을 위반하는 것을 미리 방지하기 위해 '개인정보보호 자율점검'의 중요성이 커지고 있다.

자율규제 규약 준수 및 자율점검을 성실히 수행하면 행정안전부 개인정보보호 실태조사(현장점검)에서 제외되는 혜택을 받을 수 있어서다.

또 개인정보보호법을 위반했더라도 자율점검을 받았다면 과태료를 경감받을 수 있기 때문에 무상으로 받을 수 있는 개인정보보호 자율점검 서비스를 놓치는 일이 없도록 신경 써야 할 것으로 보인다.

행정안전부가 2015년∼2016년까지 분야별로 행정처분한 결과를 보면 전체 위반 건수(30개 기관)는 73건이었고, 이 가운데 의료분야 위반 건수는 22건(6개 기관)으로 나타났다.(2015년 1개 기관 4건, 2016년 5개 기관 18건)

의료분야 위반 건수를 보면 ▲개인정보 수집 시 고지사항 위반 2건(제15조 2항) ▲개인정보의 파기 위반 1건(제21조 1항) ▲동의를 받는 방법 위반 1건(제22조 3항) ▲고유식별정보의 처리 제한 위반 4건(제24조 3항) ▲개인정보 처리 위탁에 따른 조치사항 위반 3건(제26조 1항) ▲개인정보 처리 위탁에 따른 조치사항 위반 1건(제26조 2항) ▲영업양도 등에 따른 개인정보의 이전 제한 위반 1건(제27조 2항) ▲개인정보 안전성 확보조치 위반 6건(제29조) ▲개인정보 처리방침의 수립 위반 2건(제30조 1항) ▲개인정보 보호 책임자의 지정 위반 1건(제31조 1항)으로 파악됐다.

위반 사항 세부내역을 보면 개인정보 안전성 확보조치 위반이 6건으로 가장 많았다. 위반행위 내용을 보면 △접근통제 및 접근 권한 관리 미흡 △접속기록을 법령에서 정한 6개월 이상 보관 미이행 △비밀번호 저장 시 암호화 미조치 및 접속기록 관리 미이행 △접속기록 중 '수행업무' 항목 누락 △내부 관리 계획 미수립 △안전한 비밀번호 작성규칙 미적용 △안전한 비밀번호 작성규칙은 있으나 실제로는 미적용 및 접속기록 관리 미이행 등으로 각 건수마다 600만원의 과태료 처분을 받았다.

다음으로 고유식별정보의 처리 제한 위반이 4건으로 많았는데, △주민등록번호 저장 및 전송 시 암호화 미조치 △업무용 PC 내 주민등록번호 저장 시 암호화 미조치 등을 위반해 각 건수마다 600만원의 과태료 처분을 받았다.

개인정보 처리 위탁에 따른 조치사항 위반도 3건이나 됐다. 위반행위 내용을 보면 △위탁계약 문서상 필수사항 일부 누락으로 100만원과 200만원(1기관에서 2건 위반)의 과태료 처분을 받았다.

이밖에 개인정보 수집 시 고지사항 위반(동의거부권 및 불이익 고지사항 누락)으로 과태료 600만원, 개인정보 처리방침의 수립 위반(방침 내 '업무위탁에 관한 사항' 항목 누락)으로 과태료 100만원, 개인정보 처리방침의 수립 위반(방침 내 '업무위탁'·'안전조치'·'제3자 제공' 항목 누락)으로 과태료 200만원, 개인정보 처리방침의 수립 위반(방침 내 '처리목적'·'제3자 제공'·'업무위탁'·'파기항목' 누락)으로 과태료 200만원, 개인정보 처리 위탁에 따른 조치사항 위반(위탁계약 문서상 필수사항 일부 누락)으로 과태료 200만원, 개인정보 파기 위반(홈페이지 탈퇴회원의 개인정보 미파기)으로 과태료 300만원, 개인정보 보호책임자의 지정 위반(책임자 미지정)으로 과태료 250만원, 동의를 받는 방법 위반(마케팅 활용에 대한 구분 동의 미시행)으로 과태료 200만원, 영업양도 등에 따른 개인정보의 이전 제한 위반(개인정보 양수자가 정보 주체에게 이전 고지사항 일부 누락)으로 과태료 200만원을 처분받았다.

행정안전부는 주요 위반 사항에 대해 자세한 설명도 안내하고 있다.

먼저 요양기관에서 진료목적 이외에 개인정보를 수집하는 것에 대해서는 "홈페이지에서 게시판, 회원가입 등을 통해 개인정보를 수집하는 경우, 진료와 관련이 없는 홍보·마케팅 등 서비스 관련 SMS(문자메시지) 발송, 진료실에 CCTV를 설치해 영상을 촬영하는 경우가 많은데, 진료목적으로 개인정보(이름·주민등록번호·주소·연락처 등)를 수집하는 것은 환자로부터 동의를 받지 않아도 되지만, 진료목적 이외에 개인정보를 수집하는 경우에는 동의를 받아야 한다"고 설명했다.

또 개인정보 수집·이용 동의를 받는 방법에 대해서는 "개인정보 수집 동의서에는 개인정보의 수집·이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용을 명확하게 기재하며, 환자가 14세 미만 아동인 경우 법정대리인의 동의를 받을 수 있도록 작성해야 한다"고 덧붙였다.

다른 의원에서 양도를 받아 개업하게 된 경우에 대해서도 자세하게 안내했다.

행안부는 "환자의 개인정보를 이전받은 경우, 이전 당시의 본래 목적으로만 개인정보를 이용할 수 있고, 홍보용 SMS 발송에 활용할 수 없고, 양도 시에는 개인정보는 이전하는 의원 또는 이전받는 의원이 개인정보를 이전하려는 사실, 개인정보를 이전받는 자의 성명·주소·전화번호, 정보 주체가 개인정보의 이전을 원하지 않는 경우 조치할 방법 및 절차를 환자에게 알려야 한다"고 강조했다.

병원 홈페이지에 가입한 환자가 비밀번호를 알려달라고 요청하는 것에 대해서는 "비밀번호는 본인 확인이 이뤄진 이후에도 환자에게 알려줄 수 없다"고 밝히면서 "비밀번호는 일방향으로 암호화(해독할 수 없는 방법)해야 하며, 그에 따라 암호화된 비밀번호는 관리자조차도 알아낼 수 없기 때문에 본인 확인 후 임시 비밀번호를 부여하고 '비밀번호 작성규칙'에 따라 본인이 직접 새로운 비밀번호를 작성한 후 홈페이지를 이용토록 안내해야 한다"고 설명했다.

의료기관 내원하는 환자의 접수증 파기와 관련해서는 "접수증은 진료에 필요한 환자의 개인정보를 접수 프로그램에 입력하는 것을 목적으로 하는 임시자료라고 볼 수 있으므로, 접수 프로그램에 대한 정보 입력을 마쳤다면 그 목적이 달성된 것으로 즉시 파기(5일 이내)해야 한다"고 밝혔다.

그러면서 "업무 환경상 즉시 파기가 어려워 임시로 보관해야 하는 경우에는 외부인이 쉽게 접근하기 어려운 장소에 보관 및 잠금 처리해야 한다"고 덧붙였다.

개인정보가 포함된 임시파일과 출력자료 처리도 확실하게 파기할 것을 당부했다.

행안부는 "초진환자에게 받는 접수증, 진료·조제기록부 사본 등은 환자의 개인정보가 포함된 문서가 출력자료라고 볼 수 있고, 이 자료들은 사용 목적을 달성했거나 보관 기한이 지난 경우 파쇄기 등을 통해 분쇄하거나 소각해야 한다"고 밝혔다.

또 "연말정산, 학회자료, 직원 이력서 등은 목적 달성 시 즉시 삭제를 해야 하지만 업무상 꼭 필요한 경우 암호를 걸어 사용해야 한다"고 덧붙였다.

올해 개인정보보호 자율점검은 8월 1일∼10월 31일까지 진행되며, 의사 회원들은 자율규약 동의서를 접수한 후 총 49개 항목에 대해 자율점검을 받을 수 있다.

자율점검을 원하는 의사 회원은 대한의사협회(http://www.kma.org) 홈페이지에 자율점검 서비스 안내 팝업을 클릭 또는 자율점검서비스(http://privacy.kma.org)에 로그인해 자율규약 동의서를 신청한다.

또 동의서 신청 완료 후 하단의 '건강보험심사평가원 업무포털로 이동' 클릭해 자율점검을 진행하면 되고, 개인정보보호 자율점검 교육 확인 및 확인증을 출력하면 된다.

건강보험심사평가원은 '의료분야 개인정보보호 자율규제 전문기관'으로 지정(2017년 6월)됨에 따라, 의료분야 자율규제단체의 개인정보 보호활동 등 업무를 지원하고 있다.

또 행정안전부는 개인정보 당사자 및 관계자의 경각심 고취를 통한 경고적·예방적 효과를 달성하고, 유사사례 발생 방지를 통한 개인정보보호법 질서를 확립하기 위해 매년 개인정보보호법 위반 행정처분 결과를 공표하고 있다.

한편, 올해부터 새롭게 자율점검 항목에 포함된 내용도 꼼꼼하게 살펴야 할 것으로 보인다.

올해부터 '요양급여비용 심사청구소프트웨어 검사 등에 관한 기준'이 개정됨에 따라 ▲자체개발 SW(한방분야 포함)가 검사대상에 추가되고 ▲개인정보의 접근 권한, 암호화, 접속기록, 파기 등 보안 검사항목이 18개 항목 신설됐는데, 보안 기능에 대한 갱신검사(3년) 및 검사생략 기준 마련(보안검사 1년 유예)에 대해서도 자율점검 시 빼먹는 일이 없어야 한다.

이밖에 SW를 거짓·부정한 방법으로 사용하거나, 재검사 및 갱신검사를 했는지도 자율점검에 포함된다는 것을 명심해야 한다.

의협 관계자는 "자율점검은 매년 실시하고 있고 많은 회원이 진행하고 있지만, 새롭게 바뀐 점검 항목을 빠트리지는 않았는지 확인해야 한다"고 말했다.

또 "개인정보보호가 점점 강화되고 있으므로 법을 위반해 과태료 처분을 받는 일이 없도록 하는 것이 중요하다"고 강조했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.