개인정보 처리 시 안전성 확보 조치를 다 하지 않거나 담당자 실수로 개인정보가 유출되는 등 개인정보보호법을 위반한 의료 분야 사업자에게 과징금, 과태료 등 처분이 내려졌다.
개인정보보호위원회는 27일 전체회의를 열고 이에 해당하는 12개 사업자에게 과징금 총 1억223만원, 과태료 총 8천410만원을 부과하는 등 시정조치를 의결했다.
개인정보위는 사업자의 유출 신고, 경찰 이첩, 이용자의 침해 신고를 계기로 한국인터넷진흥원의 지원을 받아 조사를 진행해 해당 사업자들의 개인정보보호법 위반 사실을 확인했다.
바노바기성형외과는 고객관리시스템이 랜섬웨어에 감염돼 고객 6천251명에게 협박 문자가 발송되는 유출 사고가 발생했다. 이 과정에서 개인정보 유출 사실을 이용자에게 한 달 이상 통지하지 않았고, 한 계정을 여러 명이 공유하는 등 보호법 4개 항목을 위반했다. 로그 기록 등 전체 자료가 삭제돼 세부 유출 항목 및 규모 등은 파악되지 않았다.
이날 브리핑에서 박영수 개인정보위 조사1과장은 "랜섬웨어 해커의 협박에 병원이 응하지 않자 해커가 탈취한 고객 개인정보를 이용해 직접 협박 문자를 보낸 사례"라며 "병원은 백업 데이터가 있었기 때문에 큰 손실을 입지 않았으나 이용자는 개인정보가 탈취되고 협박을 당하는 큰 피해를 입었고, 향후 이런 문제를 관심 갖고 살펴보려 한다"고 말했다.
리뉴미피부과 화곡점 등 7개 지점은 보안 시스템의 관리 부실로 해킹 공격을 받아 고객 21만4천590명의 이름, 휴대전화 번호 등 개인정보가 유출됐으며, 유출된 정보가 다크웹에 노출됐다. 이에 개인정보 처리 목적이 달성된 회원 정보 등을 파기하지 않았고, 불법적인 접근을 차단하지 않는 등 보호법 2개 항목을 위반한 것으로 파악됐다.
대한의학회는 누리집 관리자 인증 수단의 허점을 악용한 해킹을 당해 학회 활동자 등 약 9천221명의 이름, 휴대전화 번호 등이 유출됐다. 조사 과정에서 동의 없이 개인정보를 수집하고, 안전성 확보 조치를 다하지 않는 등 보호법 5개 항목을 위반한 사실이 적발됐다.
연세의료원은 급여 담당자가 연차수당 확인을 위해 해당 직원들에게 내부메일을 보내면서, 실수로 전 직원 급여 내역을 첨부했다. 조사 결과, 개인정보가 외부로 유출되지는 않았으나, 접속 기록 일부를 누락하는 등 시스템 안전조치를 미흡하게 관리한 사실이 확인됐다.
문원의료재단 서울병원의 경우 “병원 누리집 내 본인확인에 주민등록번호를 사용한다”는 신고에 따라 조사가 이뤄졌다. 조사 결과 이는 사실이 아닌 것으로 확인됐으나, 진료 시스템에서 접속 기록을 일부 누락하는 등 안전조치를 미흡하게 관리한 사실이 확인됐다.
약국을 운영했던 A씨는 처방전을 불특정 다수가 왕래하는 거주지 분리수거장에 버린 사실이 경찰에 신고됐다. 조사 결과, 고객의 처방전을 의무 보유기간인 3년이 지난 때까지도 파기하지 않고 보관하다가, 완전 파괴하지 않고 버리는 등 보호법 4개 항목을 위반한 사실이 확인됐다. 개인정보위는 A씨에게 1천813만원의 과징금을 부과했다.
관련기사
- 개인정보 학술 세미나 개최…보호·활용 이슈 총망라2021.09.29
- "아동 납치범도 보호?"...긴급 상황 개인정보 제공 방침 나왔다2021.09.29
- "개인정보 보호 사각지대"...공공기관 20곳 중 19곳 과태료 제재2021.09.08
- 개인정보위 통합 출범 1년…데이터 경제 기틀 닦았다2021.08.04
개인정보위는 관련 단체 등을 통해 의료기관이 '개인정보 보호 가이드라인'을 참고하여 개인정보 관리 실태를 재점검해줄 것을 요청했다. 박영수 과장은 "의료기관들이 경각심을 가질 수 있도록 협단체에 공문을 발송해 이번 처분 내용을 알렸다"며 "의료 외 다른 분야에서도 마찬가지로 자율 보호가 강화되도록 노력하겠다"고 덧붙였다.
송상훈 개인정보위 조사조정국장은 “의료기관은 환자의 건강상태 및 신체적 특징 등 민감한 정보와 주민등록번호, 신용카드번호 등 다양하고 중요한 개인정보를 다루고 있어 더욱 철저한 관리가 필요하다”며 “앞으로도 국민의 민감한 정보를 다루는 의료기관 등에 대해 자율규제단체 등을 통해 자율점검, 교육 등 개인정보 보호 관리‧감독을 강화해 나갈 것”이라고 말했다.