매년 실시되는 요양기관 개인정보보호 자율점검 시즌이 돌아온 가운데 병원, 약국들이 가장 궁금해하는 부분은 무엇이고 또 주의해야 할 사항에는 어떤 것이 있을까.

건강보험심사평가원(원장 김승택)은 18일 분당서울대병원 대강당에서 ‘2018년도 요양기관 개인정보보호 자율점검 서비스’에 관한 설명회를 실시했다.

이번 설명회에서는 ▲온라인 자율점검 지원서비스를 활용한 개인정보보호 자율점검 방법 ▲자율점검 관련 주요 상담사례 ▲고유식별정보 안전성 확보조치 실태조사 등 개인정보보호법 위반사례 등이 다뤄졌다.

심평원에 따르면 병원, 약국 등 요양기관을 포함한 관련 기관에 대한 행정안전부의 현장점검은 매년 확대되고 있고, 위반으로 처분을 받는 기관도 매년 증가하는 추세다.

이번 설명회에서 소개된 병원, 약국의 개인정보 자율점검 방법과 지난 3년간 실시한 현장점검 적발 건수와 사례 등을 정리해 봤다.

병원·약국 올해 개인정보 자율점검, 어떻게?

우선 올해 온라인 개인정보보호 자율점검은 6월 29일부터 10월 말까지 진행된다. 개별 요양기관의 소속 협회 사이트에 들어가 동의를 받고 심평원으로 연결받아 점검한 후 완료되면 각 협회는 11월 16일까지 행안부에 최종 통보하게 된다.

올해 총 검사항목은 49개로, 전년도보다 10개 항목이 줄었다. 온라인 자율점검 방법은 기존과 큰 차이가 없다는 게 심평원 측 설명이다.

요양기관은 해당 의약단체별 홈페이지에 먼저 접속, 규약 동의 후 연계된 심평원 온라인 자율점검 서비스로 들어가 신청, 각 항목에 대해 점검을 시작하면 된다. 약국의 경우 대한약사회를, 병원의 경우 대한의사협회 홈페이지를 거쳐 심평원 사이트에서 점검하는 구조다. 우선 자율점검 신청서 작성 과정에서 ‘고유식별정보 보유량 입력’의 경우 개인정보보호법에 따른 행정안전부의 조사 항목인 만큼 꼭 점검할 필요가 있다. 해당 항목에는 주민등록번호 보유량, 외국인등록번호 보유량, 여권번호 보유량, 운전면허번호 보유량이 포함된다.

이후 자율점검 메인화면으로 넘어가면 49개 항목에 대해 체크하며 점검을 한다. 요양기관에서 선택한 점검결과와 증빙자료 보유여부를 체크하고 각 항목별 페이지 바로가기를 눌러 세부 내용을 순서대로 체크하면 된다. 이후 완료버튼을 누르면 최종 점검 내용이 제출된다.

행안부 현장점검…과태료 최대 900만원 부과도

심평원에 따르면 행정안전부는 KISA와 고유식별정보 처리자 안전조치 실태조사를 할 예정이다.

행안부는 개인정보보호법 제24조, 개인정보보호법 시행령 제21조에 의거해 진행하는 해당 조사에서 고유식별정보의 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 암호화했는지 여부, 안전성 확보에 필요한 조치를 했는지 등을 정기조사하겠다는 방침이다. 조사는 2년에 1회 이상이다.

실제 개인정보보호 자율점검이 실시된 지난 3년간 행안부 현장조사 결과 2015년 총 94개 기관이 행정처분을, 이중 과태료는 총 33개 기관에서 1억9900만원이 발생했다.

2016년에는 150개 기관이 행정처분을, 과태료는 99개 기관에서 7억7700만원, 2017년에는 274개 처분 기관 중 217개 기관에서 15억17000만원의 과태료를 부과받았다.

의료기관에서 발생한 위반 사례 중에는 병원에서 고유식별 정보 처리 제한 위반(업무용 PC 내 주민등록번호 저장 시 암호화 미조치)으로 과태료 600만원이 부과된 경우가 있다. 또 개인정보 안전성 확보조치 위반(비밀번호 저장 시 암호화 미조치, 점속기관 관리 미이행)으로 과태료 600만원이 부과된 사례도 있다.

현장점검 과정에서 주요 점검 대상에는 안전조치, 문서 파기, 주민등록번호 암호화, 동의 고지, 고유식별정보 암호화, 위탁문서, 처리방침 공개 등이 있고, 이를 위반했을 경우 지난 3년간 적게는 200만원에서 많게는 900만원의 과태료가 부과된 것을 확인할 수 있다.

심평원 김병기 차장은 "행안부 개인정보 관리실태 점검의 경우 현장점검으로 약 1개월 동안 진행하고 있다"며 "한곳의 요양기관 당 짧게는 하루에서 길게는 3일까지 점검을 하고 있는 것으로 안다"고 말했다.

김 차장은 또 "해마다 처분 기관수와 과태료가 늘어나고 있다"면서 "그만큼 해가 갈수록 점검이 강화되고 있는 것을 확인할 수 있다"고 덧붙였다.

한편 이번 심평원 개인정보보호 자율점검 설명회는 오는 28일까지 전국 15개 지역에서 의료분야 자율규제단체에 소속된 요양기관을 대상으로 진행된다.