안전행정부 개인정보보호과 문금주 과장은 데일리시큐가 주최한 ‘2014 의료기관 개인정보보호·정보보안 컨퍼런스 MPIS 2014’에서 “주민등록번호 수집관행, 마케팅을 위한 개인정보 수요 증가, 기술적 보호조치 미흡, 관리적 보호조치 미흡, 개인정보보호의 중요성 인식 부족 등이 복합돼 개인정보유출이 계속해서 발생하고 있다”며 “특히 주민번호 처리의 필요성과 처리 근거법령의 유무를 검토해 조치 방안을 마련해야 한다. 법령 근거가 없는 경우 수집된 주민등록번호에 대한 삭제 조치가 오는 2016년 8월 7까지 모두 이루어져야 한다”고 강조했다.

 
특히 지난해 실시한 개인정보 관리수준진단 결과를 언급하며 “개인정보 파일관리 등은 양호하지만 위탁업무에 따른 관리감독이 부족한 실정이며 개인정보처리시스템 정기점검 등은 중점 개선 사항으로 드러났다”며 “개인정보 처리업무를 위탁하는 경우는 처리에 관한 사항을 문서화해야 하고 수탁자 교육 및 관리 감독을 강화해야 한다”고 당부했다.
 
또 “개인정보처리시스템의 안정성 확보조치를 위해 접근권한 관리, 접속기록 정기점검 등 철저한 수행노력이 필요하다”며 “업무 목적에 따라 최소한 범위로 취급권한을 부여하고 전보, 퇴직 등 인사이동시 해당 계정을 변경 및 말소해야 한다. 그리고 접근권한 부여, 변경, 말소에 대한 내역 기록 및 보관이 3년간 이루어져야 한다”고 덧붙였다.

 
한편 지난해 총 332개소를 점검한 결과 위반율이 89.7%에 달한다고 전했다. 처분을 받은 기관이 297개나 된 것이다. 더욱이 올해 1월부터 4월까지 점검 결과 의료, 유통, 방송통신 등의 분야에서 287건의 처분이 이루어졌다고 전했다.
 
과태료 처분은 공공기관중 산하기관이 14개, 교육기관이 5개 순이었고 민간사업자중에는 금융기관이 28개, 의료기관이 19개, 학원 12개 등의 순으로 나타났다.
 
법 위반 행정처분 유형중 가장 많은 분야는 ‘안전조치 미흡’이었다. 행정처분의 44.2%를 차지해 여전히 기본적인 안전조치 이행도 안되고 있는 상황이란 것을 알 수 있다.
 
특히 의료기관 위반 사례를 살펴보면, 홈페이지에서 수집동의 방법 위반, 위탁계약시 필수사항 누락 및 관리감독 의무위반, 개인정보의 안전한 관리를 위한 조치 미이행 등으로 나타났다.
 
홈페이지에서 수집항목 동의 거부시 불이익을 준다거나 선택과 필수정보를 구분하지 않고 있는 점, 유지보수, 용역위탁 계약서에 목적, 안정성 확보조치에 관한 사항 누락도 문제로 지적됐다. 그리고 DB에 대한 접근권한은 차등부여하고 있지만 권한부여, 변경기록, 접속기록을 보관하지 않고 있으며 DMZ 구간에 보관중인 고유식별정보 및 비밀번호 암호화가 안된 점, 웹서버의 백신에 대한 보안업데이트 없이 방치되고 있는 부분 등이 주요 위반사례였다고 한다.
 
이외에도 내부관리계획을 수립하지 않은 곳도 많았고 통합의료정보시스템에 대한 취급자 권한부여, 변경기록, 접속기록을 보관하지 않은 곳, 외부에서 통합의료정보시스템에 접속할 때 접근통제시스템 등 안전조치를 마련하지 않은 곳 등이 주로 적발됐다는 것이다.
 
문 과장은 “의료기관 뿐만 아니라 모든 개인정보를 취급하는 공공, 민간 조직은 내부관리 계획을 수립하고 접근권한 관리 및 정기적인 관리감독 등의 조치가 필요하고 접근통제시스템 설치와 운영, 암호화, 접속기록 보관, 보안프로그램 설치 등은 필수”라며 “특히 주민번호 수집을 원칙적으로 금지시키고 개인정보 처리 위탁이 있을 경우 보다 철저한 관리가 필요하다”고 강조했다.
 
한편 이번 의료기관 개인정보보호·정보보안 컨퍼런스는 300여 명의 의료기관 실무자들이 참석해 큰 호응을 얻었으며, 안전행정부, 한국인터넷진흥원, 한국정보화진흥원, 대한병원정보협회, 대한의무기록협회 등의 후원으로 이루어졌다.   
 
또한 소만사, 지니네트웍스, 메디케어컨설팅, 마크애니, 지란지교소프트 등이 전시부스로 참여해 의료기관에 특화된 최신 개인정보보호 솔루션들도 선보여 큰 호응을 얻었다.
 
이번 컨퍼런스에 참여한 모 대형병원 실무자는 “이번 MPIS 2014처럼 체계적으로 도움이 되는 발표와 전시회가 열린 것은 이번이 처음”이라며 “업무에 많은 도움을 받았다. 매년 이런 실무자들에게 도움을 줄 수 있는 컨퍼런스가 개최되길 희망한다”고 말했다.
 
보다 자세한 발표내용은 데일리시큐 자료실에서 다운로드 가능하다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com