#병원 내부직원이 환자 개인정보를 제약회사 직원에게 이메일과 보조저장매체(USB)를 이용해 넘겼다. 또 다른 병원도 내부직원이 환자 정보를 제약사 직원에게 이메일로 송부했다. 특히 제약사 직원들이 환자정보를 다운로드할 수 있도록 허용, 묵인했다.
국내 대형병원들이 제약회사에 환자정보를 유출하고, 제약사 직원이 환자정보를 무단으로 수집하는데도 이를 묵인하다가 제재를 받게 됐다.
개인정보보호위원회는 지난 26일 전체회의를 통해 개인정보보호 법규를 위반한 17개 종합병원 중 16개 병원에 대해 과태료를 부과하고 개인정보 처리실태 개선을 권고하기로 의결했다.
이번 조사는 경찰 의약품 판매질서 위반 관련 수사를 위한 제약사 압수수색 과정에서 17개 종합병원의 환자정보 유출이 확인됐다.
조사 결과, 2018년 4월부터 2020년 1월까지 총 18만5271명의 환자정보가 유출된 것으로 드러났다.
이들은 병원은 제약사 직원에게 환자정보를 전자우편, USB 등을 통해 제공하거나, 제약사 직원이 환자정보를 촬영·다운로드 등 불법으로 수집하는데 이를 묵인했다.
제재를 받은 병원은 ▲가톨릭학원(서울·여의도·은평·의정부·부천성모병원, 성빈센트병원) ▲건국대학교(충주병원)▲고려중앙학원(안암·구로·안산병원) ▲동은학원(순천향대서울병원) ▲연세대학교(세브란스병원)▲일송학원(성심·동탄성심·강남성심·한강성심병원) 등으로 총 6480만원의 과태료가 부과됐다.
개인정보위는 환자정보 유출에 가담한 병원 직원과 제약사 직원에게는 ‘개인정보 보호법’상 형사벌(벌칙)이 적용돼 경찰 등의 수사가 진행중인 점을 감안해, 개인정보처리자로서 각 병원 개인정보처리시스템상 안전성 확보 조치 의무 위반을 중심으로 조사했다.
조사 결과, 환자 민감정보를 처리하는 개인정보처리시스템 운영과정에서 안전조치의무를 소홀히 하는 등 법 위반 사실을 확인했다.
구체적으로 대부분 조사 대상 병원(16개 병원, 강북삼성병원 제외)에서 개인정보 취급자가 개인정보처리시스템에 접속한 기록을 2년 이상 보관하지 않았다.
더불어 개인정보 다운로드 사유 등의 확인과 월 1회 이상 접속기록을 점검하지 않았다.
4개 병원(성심·동탄성심·강남성심·한강성심병원)에서는 인사 이동으로 개인정보 취급자가 변경됐음에도 개인정보처리시스템에 대한 접근권한 부여·변경·말소 내역을 3년 이상 보관하지 않은 사실이 적발됐다.
또 6개 병원(순천향대서울병원, 건국대충주병원, 성심·동탄성심·강남성심·한강성심병원)에서는 USB 등 보조저장매체 반출과 반입 통제를 위한 보안 대책을 마련하지 않은 사실이 확인됐다.
2개 병원(강북삼성병원, 고려대구로병원)에서는 개인정보처리시스템 접속이 가능한 기기에 권한 없는 자의 물리적 접근이 가능한 취약점을 확인했다.
개인정보위 관계자는 "이번 조사·처분을 통해 의료데이터로서 사생활 침해 위험이 큰 민감정보를 대량으로 처리하는 종합병원의 개인정보 보호에 대한 인식이 전반적으로 제고될 것"이라며 "개인정보 보호 교육을 실시하고 지속적으로 관리하는 것이 중요하다"고 말했다.
구교윤 기자 (
