대형병원 52.4% 개인정보 안전조치 미흡…PC 관리 허술
중병협 학술세미나 '정보화' 주제…정보유출 예방대책 집중점검
지난해 9월 안전행정부와 한국정보화진흥원이 실시한 '개인정보 현장점검 결과'에 따르면 21곳 대형병원 가운데 52.4%(11곳)가 개인정보보호에 관한 법률을 위반한 것으로 파악됐다.
병원을 비롯한 기업체의 개인정보 보안업무를 맡고 있는 디에스엔텍의 김봉석 마케팅영업팀 과장은 13일 '정보화'를 주제로 열린 대한중소병원협회 학술세미나에서 "대형병원의 위반 비율은 금융(89.2%)·학원(80.0%)·협회 및 연맹(68.0%)·공공(66.2%)·운송업(63.0%)과 비교하면 낮은 수준이지만 병원이 보유하고 있는 정보는 환자들의 민감한 진료정보를 포함하고 있는 만큼 다른 산업분야에 비해 유출로 인한 피해가 더 클 수 있다"고 우려했다.
안행부의 점검 결과, 의료분야에서 주로 위반한 개인정보 보호법 관련 내용은 ▲동의시 필수 고지사항 누락 ▲고유식별정보 별도 동의 위반 ▲개인정보보호 책임자 미지정 ▲접근권한 관리의무 위반 등으로 파악됐다.
김 과장은 "비교적 규모가 커 개인정보 보호 인력과 예산을 투입하고 있는 대형병원이 이 정도라면 예산도 적고, 전문인력도 거의 없는 중소병원이나 의원급 의료기관들은 개인정보 보호의 사각지대일 가능성이 높다"고 지적했다.
"개인정보의 대량유출 사고가 빈번하게 발생하고 있지만 여전히 관리적·기술적 보호조치가 미흡하다"고 밝힌 김 과장은 "개인정보의 중요성에 대한 인식이 부족한 것도 큰 원인"이라고 지적했다.
통계청에 따르면 개인정보 침해신고 상담건수가 2009년 3만 5167건에서 2013년 17만 7736건으로 약 5배 가량 늘어났다. 그만큼 사업이나 마케팅 목적으로 개인정보에 대한 수요가 증가하고 있음을 의미한다.
하지만 의료기관의 개인정보 보안수준은 낮은 실정이다.
한국보건사회연구원이 지난해 조사한 병원급 의료기관의 개인정보 관리 현황에 따르면 보안프로그램 설치 및 업데이트는 92.%가 제대로 관리하고 있는 것으로 파악됐지만 ▲비밀번호 작성 규칙 수립 및 준수 여부(57.1%) ▲고유식별정보 암호화(59.0%) ▲바이오정보(13.3%) ▲비밀번호 암호화(69.5%) 등 암호화 수준은 낮은 것으로 조사됐다.
하호일 ㈜아이젝스 팀장은 "병원의 78%가 해킹이 쉬운 불법복제 소프트웨어를 사용한다는 조사결과가 있다"며 "불법 소프트웨어 사용으로 인해 악성코드가 유포될 경우 개인정보 유출을 막을 수 없다"고 지적했다.
실제 지난 5월 서울의료원 직원 및 환자 1249명의 주민등록번호 유출을 비롯해 지난해 8월 과 10월 불거진 병원의 진료정보 유출 사건은 해킹에 의한 것으로 드러났다.
하 팀장은 "업종별 데이터 침해 사고는 의료부분이 1위"라며 "PC에 저장된 개인정보가 유출되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치를 취함으로써 환자와 가족들에게 안전하고 신뢰할 수 있는 의료서비스를 제공해야 한다"고 강조했다.
하지만 중소병원과 의원급 의료기관의 경우 대형병원처럼 많은 예산과 인력을 투입할 여력이 없는 것이 한계점으로 지적되고 있다.
이에 대해 중병협 관계자는 "개인정보 보호와 관련한 지침이나 자료는 개인정보보호 종합지원 포털(http://www.privacy.go.kr/)에서 내려받아 구비할 수 있다"며 "정보관리를 맡고 있는 직원이나 원장들이 더 부지런히 자가점검을 할 수밖에 없지 않겠냐"고 조언했다.
개인정보 보호 10원칙 |
1. 무분별한 개인정보 수집 자제 2. 개인정보 수집 시 서비스 제공에 꼭 필요한 필수정보와 선택정보 구분 3. 주민등록번호 등 고유식별정보와 종교, 건강정보 등 민감정보는 원칙적 처리금지 4.홍보·판매 목적으로 개인정보 위탁 시 고객에게 고지하고 철저히 관리 5. 개인정보파일은 DB보안프로그램, 암호화소프트웨어 등 안전한 방법을 사용하여 보관 6. 보관이 필요한 증빙서류는 법령에서 정한 보유기간 숙지하여 준수 7. 개인정보파일을 수집 당시 사용목적에 따라 이용한 후에는 알아볼 수 없도록 파기 8. CCTV에는 반드시 안내판 설치 9.개인정보보호에 관한 지침·문서 등을 반드시 구비 10.개인정보유출통지, 집단분쟁조정, 단체소송에 대비 |