한전, 4만9884건 실명확인 메일 오발송 사고 발생
개인정보위, 종합병원 개인정보보호법 위반 실태 공개
병원 직원이 제약사 직원과 공모…일부 도용 사례도

 개인정보보호위원회는 제약사에 환자 정보를 유출한 종합병원 17곳에 대한 제재 내용을 공개했다.

제약사에 환자 정보를 유출한 대학병원 17곳이 개인정보보호위원회 제재를 받았다.

개인정보위는 개인정보보호 법규를 위반한 대학병원 17곳에 개인정보 처리 실태 개선을 권고했다고 27일 밝혔다. 16곳에는 과태료도 부과했다.

이번 개인정보위 조사에 따르면 지난 2018년 4월부터 2020년 1월까지 대학병원 17곳에서 유출된 환자정보만 18만5,271명분이다. 병원별로는 세브란스병원이 5만7,912명으로 유출 규모가 가장 컸다.

병원 직원이 환자 정보를 제약사 직원에 건네거나(9곳) 제약사 직원이 환자 정보를 입수한 사실을 묵인(4곳)하기도 했다. 제약사 직원이 계정을 도용해 병원 시스템에 접근(2곳)한 사례도 있었다.

환자정보 유출에 가담한 병원 직원과 제약사 직원은 개인정보보호법 위반 혐의로 경찰 수사를 받고 있다.

개인정보위 조사에서 대학병원 16곳은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 2년 이상 보관하지 않거나 개인정보 다운로드 사유와 접속 기록 점검을 제대로 하지 않은 것으로 나타났다.

병원별 유출 유형과 행정 처분 내용(자료 제공: 개인정보보호위원회)

 

한림대성심·동탄성심·강남성심·한강성심병원은 개인정보취급자가 변경됐지만 개인정보처리시스템 접근권한 내역을 3년 이상 보관하지 않았다. USB 같은 보조저장매체에 대한 보안대책도 마련하지 않았다. 순천향대서울병원과 건국대충주병원도 보조저장매체 보안대책이 없었다.

강북삼성병원과 고려대구로병원은 개인정보처리시스템이 취약해 권한이 없어도 물리적 접근이 가능한 것으로 확인됐다.

개인정보위 관계자는 "민감정보를 대량으로 처리하는 종합병원이 개인정보보호 인식을 제고하고 개인정보처리시스템을 상시적으로 점검하고 내부 구성원 대상 개인정보보호 교육을 실시해야 한다는 점을 인식하는 계기가 되길 바란다"고 했다.

[ 청년의사 ] 고정민 기자원문보기