회원과 건강검진 대상자의 주민등록번호를 유출하는 등 개인정보보호법을 위반한 2개 사업자에 총 6천625만원의 과징금‧과태료 부과 등 시정조치가 내려졌다.
개인정보보호위원회는 10일 전체회의를 열고 대우세계경영연구회, 의료법인 하나로의료재단에 대한 이같이 제재 처분하는 안건을 의결했다고 밝혔다.
이번 조사는 해당 사업자의 개인정보 유출 신고로 시작됐다. 대우세계경영연구회는 한국인터넷진흥원(KISA)의 점검 과정에서 홈페이지(누리집)를 통해 회원의 개인정보를 내려받을 수 있게 돼 있다는 사실이 발견됐다. 하나로의료재단은 외부기관의 개인정보 탐지도구에서 주민등록번호가 검출됐다.
사업자들은 한국인터넷진흥원의 통보를 받고 유출 사실을 확인, 당국에 신고했다.
대우세계경영연구회는 연구 및 자문, 전문 인력 양성 지원, 평생교육시설 등의 사업을 운영하는 사단법인이다 누리집 내 회원의 개인정보를 조회하고 내려받기(다운로드) 할 수 있는 웹페이지를 접근통제 하지 않아, 권한없는 자가 해당 웹페이지에 접속해 회원정보를 내려받은 것으로 밝혀졌다. 누리집에 대한 접근권한 관리 부실, 주민등록번호 등에 대해 안전하지 않은 암호 알고리즘 사용 등으로 주민등록번호 4천182건을 포함한 회원 개인정보 5천669건이 유출되는 결과를 초래했다.
그 외 ▲법적 근거 없이 주민등록번호 처리 ▲개인정보 수집 동의 항목 누락 ▲보유 기간이 지난 개인정보 미파기 ▲유출 사실 통지 항목 누락 ▲업무 위탁 시 개인정보 처리 누락 등의 위반 사실도 확인했다.
하나로의료재단은 환자의 진료 및 건강검진을 하는 의료법인이다. KISA 점검 결과 엑셀자료(파일) 별도 영역에 개인정보가 담겨진 사실을 모르고 장기간 사용하다 해당 자료를 외부기관에 전송하는 과정에서 건강검진 대상자의 주민번호 1천139건을 포함한 개인정보 1천147건이 유출됐다. 운영 중인 검진관리시스템에서 접근권한 및 접속기록 관리 부실, 불안전한 암호 알고리즘 사용 등 안전성 확보 조치를 소홀히 하고 있던 사실도 확인했다.
개인정보위는 이들 사업자에 대해 과징금 및 과태료 부과, 개선권고 등의 처분을 했다.
대우세계경영연구회에 대해서는 주민등록번호 유출 및 안전성 확보 조치 위반으로 과징금 2천437만5천원을 부과했다. 그 밖에 법적 근거 없는 주민등록번호 처리 등 위반에 대해 과태료 1천600만원을 부과했다.
관련기사
- "개인정보 보호, 투자의 대상이지 회피 대상 아니다"2021.03.10
- 동서발전, 전력그룹사 최초 ISMS-P 통합인증 획득2021.03.03
- 아동학대 의심 시 어린이집 CCTV 원본 열람 가능2021.03.02
- "주차장 돌며 연락처 무단 수집" 4개 사업자에 과태료 1700만원2021.02.24
하나로의료재단에는 주민등록번호 유출 및 암호화 조치 위반으로 과징금 1천687만5천원, 검진관리시스템 안전성 확보 조치 위반에 대해 과태료 900만원을 부과했으며 임직원들이 정기적인 개인정보 보호 교육을 받도록 개선 권고했다.
송상훈 개인정보위 조사조정국장은 “주민등록번호는 개인의 신원을 명확히 구분할 수 있는 중요한 개인정보로 유출될 경우 범죄 등에 악용될 가능성이 많은 만큼 철저한 관리가 필요하다”며 “이번 사례와 같이 개인정보처리시스템은 물론 엑셀자료 등 개별자료에도 중요한 개인정보가 있을 수 있으므로 주요 자료의 암호화 등 안전성 확보 조치를 철저히 하고 임직원 교육 등을 통해 사소한 부주의도 없도록 해 달라”고 당부했다.
