이달 30일부터 시행되는 개인정보보호법을 위해 내부 관리가 강화돼야 한다는 지적이다.
의료기관에서 취급하는 개인정보는 이름, 주소, 전화번호, 주민등록번호, 계좌번호, 얼굴 이미지나 사진, 개인 특이사항 등 개인식별정보는 기본이다. 여기에 질병, 부상에 대한 에방, 진단, 치료, 재활과 출산, 사망, 건강증진에 관한 지식 등인 건강정보를 더한다.
의료관계인이 환자의 의학적 상태에 대해 기록한 일체 자료는 물론, 의사가 건강관리, 치료에 관해 간호사나 다른 사람들과 나누는 대화, 보험회사에서 컴퓨터 시스템에 입력시키는 개인의료정보, 병원에서 소지하는 청구서 관련 정보 등을 폭넓게 포괄한다.
개정되는 개인정보보호법 주요내용은 민간 공공부문의 모든 개인정보처리자를 대상으로 전자정보 외 수기문서까지 해당된다. 개인정보유출 통지제도가 도입하고 민감 정보의 별도 동의 절차 요구, 열람, 정정, 삭제, 처리중지 요구권 및 손해배상 등을 존중하게 된다.
또한 실태 모니터링과 관리감독을 강화해야 한다. 병원 내 개인정보보호위원회와 분쟁조정위원회를 설치하고 기관의 조사, 시정조치 권한을 강화해야 한다. 안전한 기술적, 관리적 보호조치를 의무화하고, 개인정보 책임자 업무를 명시해야 한다.
이에 대해 을지대 의료경영학과 최영진 교수는 지난 23일 열린 한국병원경영학회 주제발표를 통해 “개인정보보호법은 기술 외에도 업무절차, 관리문화 등 전반에 영향을 준다“며 ”승인이나 열람시 기술적으로 보안을 해야 하는 것은 물론, 문화적으로도 감사, 교육, 모니터링을 강화하게 만든다“고 설명했다.
대응책으로는 정책, 지침, 조직, 감사, 교육, 수기문서관리 등의 관리적 보안, 시설물, 장비보안, 재해대책 등의 물리적 보안, 암호화, 사용자 식별, 방화벽, 로그기록 등의 기술적 보안 등으로 세울 수 있다.
이를 위해 기술적으로 보안솔루션을 구입해야 하지만, 관리적 보안이 보다 우선이라는 설명이다. 최 교수는 “보안책임자를 선정해 관리 대상 정보를 파악해야 하며, 고객별 개인정보를 분류하고 개인정보흐름에 대한 가시성을 확보해야 한다”며 “위협은 외부에서가 아닌 내부에서 오는 만큼 위험을 최소화해야 한다“고 지적했다.
어길 경우, 금전 손실은 물론 신뢰 훼손까지
보안업계에서 바라보는 개인정보보호법의 파장은 엄청나다. 개인정보보호 침해로 인한 직접적인 금전 손실 뿐만 아니라 데이터 암호화 등의 업무처리속도 지연, 병원 전체의 신뢰 훼손으로까지 이어진다. 현대캐피탈, 옥션 등의 사례가 병원에도 얼마든지 일어날 수 있는 것이다.
에이쓰리시큐리티 문영순 이사는 강화되는 처벌 수위를 강조하며 주의를 촉구했다. 개인정보 수집은 온라인 개인정보 수집시 수집항목 및 내용에 따라 개별 동의를 받아야 하며, 법률에서 정한 사항을 고지해야 한다. 기존고지내용 변경시 재고지가 필요하며 이를 어길 경우 3000만원 이하의 과태료에 처한다.
고유 식별정보와 민감 정보는 정보 주체 동의를 획득한 경우만 처리 가능하며 암호화 등 안전성을 확보해야 한다. 동의를 실시하지 않으면 1000만원 이하의 과태료가 부과된다.
개인정보보호 책임자는 개인정보 처리에 관한 업무를 총괄 책임지는 임원 또는 그에 준하는 직원으로 지정, 개인정보보호 교육과정을 매년 이수해야 한다. 여기에도 1000만원 이하의 과태료가 부과돼 있다.
문 이사는 “개인정보보호 교육을 정기적으로 실시해 개인정보를 취급하는 모든 인력을 대상으로 계획 수립이 필요하다”며 “개인정보의 안전한 처리를 위한 내부관리계획을 수립, 시행하고 정기적으로 점검해야 한다”고 부연했다.
개인정보의 제3자 제공 등에도 암호화 전송돼야 한다. 검사의뢰, 협력병원 등에서 더욱 주의해야 할 부분이다. 개인정보를 송수신 시 개인정보 유출 및 안전조치 미실시 2년 이하 징역 및 1000만원 이하의 벌금이 부과된다.
특히, 개인정보 유출사고 발생시 피해를 최소화하기 위한 개인정보 유출사고 대응체계를 수립해야 한다. 유출된 개인정보 항목, 유출된 시점과 경위, 정보주체가 피해를 최소화하기 위해 할 일, 대응조치및 피해 구제절차, 신고할 수 있는 담당부서 및 연락처를 표기해야 한다.
동일한 개인정보 권리 침해를 받은 피해자 전체에 대해 개인정보 단체소송 효력이 발생할 수 있다. 문 이사는 “형사처벌은 행위자와 법인 모두에 양벌규정으로 적용된다”며 “법인의 상당한 주의 감독의무 준수시 양벌규정 적용을 하지 않기 때문에 평소의 노력이 필요하다”고 제언했다.
임솔 기자
slim@monews.co.kr