해당 조사는 경찰의 의약품 판매질서 위반 관련 수사를 위한 제약사 압수수색 과정에서 환자정보의 유출이 확인된 17개 종합병원의 유출 신고에 따라 이뤄졌다.
조사 결과, 2018년 4월부터 2020년 1월까지 병원 또는 제약사 직원이 병원 시스템에서 제약사 제품을 처방받은 환자정보를 촬영·다운로드한 후 전자우편, 보조저장매체(USB) 등을 통해 외부로 반출하거나, 제약사 직원이 불법적으로 시스템에 직접 접근해 환자정보를 입수하는 등의 방법으로 민감정보가 포함된 총 18만5271명의 환자정보가 유출된 것으로 드러났다.
환자의 민감정보를 처리하는 개인정보처리시스템 운영 과정에서 안전조치 의무를 소홀히 하는 등 법 위반 사실도 확인했다.
성심·동탄성심·강남성심·한강성심병원 4개 병원에서는 인사이동으로 개인정보취급자가 변경됐음에도 개인정보처리시스템에 대한 접근권한의 부여·변경·말소 내역을 3년 이상 보관하지 않았다.
순천향대 부속 서울병원, 건국대 충주병원, 성심·동탄성심·강남성심·한강성심병원 6개 병원에서는 USB 등 보조저장매체 반출과 반입 통제를 위한 보안대책을 마련하지 않은 사실이 확인됐다.
또한 강북삼성병원, 고려대 구로병원 2개 병원은 개인정보처리시스템 접속이 가능한 기기에 권한 없는 자의 물리적 접근이 가능한 취약점이 드러났다.
이번 적발로 종합병원 16곳에 총 6480만원의 과태료가 부과됐다. 성모병원 계열의 가톨릭학원 경우 2160만원으로 가장 많은 과태료를 부과 받았다. 충주병원과 순천향대 부속 서울병원이 각각 420만원으로 학교법인 중 가장 적은 과태료가 적용됐다.
개인정보위 관계자는 “이번 조사·처분을 통해 사생활 침해 위험이 큰 민감정보를 대량으로 처리하는 종합병원의 개인정보 보호에 대한 인식을 제고하는 한편, 개인정보처리시스템에 대한 상시적 점검·확인과 함께 내부 구성원을 대상으로 주기적인 교육을 실시하고 지속적으로 관리하는 것이 중요하다는 점을 인식하는 계기가 될 것”이라고 전했다.
박선혜 기자 betough@kukinews.com