17개 종합병원서 18만 5천271명 환자정보 유출...병원 직원과 제약사 직원 경찰 조사 중

개인정보위, 17개 종합병원 개인정보 처리실태에 대한 개선 권고 및 과태료 처분 내려

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 7월 26일 전체회의에서 개인정보보호 법규를 위반한 17개 종합병원 중 16개 병원에 대해 과태료를 부과하고, 17개 전체 종합병원의 개인정보 처리실태에 대한 개선을 권고하기로 의결하였다.

이번 조사는 경찰의 의약품 판매질서 위반 관련 수사를 위한 제약사 압수수색 과정에서 환자정보의 유출이 확인된 17개 종합병원의 유출 신고에 따라 이루어졌다.

조사 결과 2018년4월~2020년 1월 기간 동안 각 병원에서는 병원 직원 또는 제약사 직원이 병원 시스템에서 해당 제약사 제품을 처방받은 환자정보를 촬영·다운로드한 후 전자우편, 보조저장매체(USB) 등을 통해 외부로 반출하거나, 제약사 직원이 불법적으로 시스템에 직접 접근해 환자정보를 입수하는 등의 방법으로 민감정보가 포함된 총 18만 5천271명의 환자정보가 유출된 것으로 드러났다.

개인정보위는 환자정보 유출에 가담한 병원 직원과 제약사 직원에게는 개인정보보호법상 형사벌(벌칙)이 적용되어 경찰 등의 수사가 진행중인 점을 감안하여, 개인정보처리자로서 각 병원의 개인정보처리시스템상 안전성 확보조치 의무 위반을 중심으로 조사하였다.

조사 결과, 환자의 민감정보를 처리하는 개인정보처리시스템 운영과정에서 안전조치의무를 소홀히 하는 등 법 위반 사실을 확인하였다.

구체적으로 대부분의 조사 대상 병원(16개 병원, 강북삼성병원 제외)에서 개인정보취급자가 개인정보처리시스템에 접속한 기록을 2년 이상 보관하지 않거나, 개인정보 다운로드 사유 등의 확인과 접속기록의 월 1회 이상 점검을 하지 않았으며,

4개 병원(성심·동탄성심·강남성심·한강성심병원)에서는 인사이동으로 개인정보취급자가 변경되었음에도 개인정보처리시스템에 대한 접근권한의 부여·변경·말소 내역을 3년 이상 보관하지 않은 사실이, 6개 병원(순천향대 부속 서울병원, 건국대 충주병원, 성심·동탄성심·강남성심·한강성심병원)에서는 USB 등 보조저장매체 반출과 반입 통제를 위한 보안대책을 마련하지 않은 사실이 확인되었다.

또한 2개 병원(강북삼성병원, 고려대 구로병원)에서는 개인정보처리시스템 접속이 가능한 기기에 권한 없는 자의 물리적 접근이 가능한 취약점을 확인하였다.

이번 조사·처분을 통해 의료데이터로서 사생활 침해 위험이 큰 민감정보를 대량으로 처리하는 종합병원의 개인정보 보호에 대한 인식이 전반적으로 제고되는 한편,

개인정보처리자의 유출 사고 예방을 위해 개인정보처리시스템에 대한 상시적 점검·확인과 함께 내부 구성원을 대상으로 주기적인 개인정보 보호 교육을 실시하고 지속적으로 관리하는 것이 중요하다는 점을 인식하는 계기가 될 것이다.

병원별 유출 내용 및 행정처분 결과는 다음과 같다.

◆서울성모병원

-내부직원이 환자정보를 제약사 직원에게 송부(이메일, USB)

-16,463명 유출

-과태료 360만 원

-개선권고/결과공표

◆여의도성모병원

-내부직원이 환자정보를 제약사 직원에게 송부(이메일)

-17,115명 유출

-과태료 360만 원

-개선권고/결과공표

◆은평성모병원

-제약사 직원이 환자정보를 촬영·다운로드하도록 묵인

-3,633명 유출

-과태료 360만 원

-개선권고/결과공표

◆의정부성모병원

-내부직원이 환자정보를 제약사 직원에게 송부(이메일)

-20,027명 유출

-과태료 360만 원

-개선권고/결과공표

◆부천성모병원

-내부직원이 환자정보를 제약사 직원에게 송부(이메일)

-9,673명 유출

-과태료 360만 원

-개선권고/결과공표

◆성빈센트병원

-내부직원이 환자정보를 제약사 직원에게 송부(이메일)

-38명 유출

-과태료 360만 원

-개선권고/결과공표

◆건국대충주병원

-내부직원이 환자정보를 제약사 직원에게 송부(USB)

-485명 유출

-과태료 420만 원

-개선권고/결과공표

◆고려대안암병원

-제약사 직원이 환자정보를 다운로드하도록 묵인

-1,399명 유출

-과태료 360만 원

-개선권고/결과공표

◆고려대구로병원

-제약사 직원이 로그인 되어있던 시스템의 환자정보를 외부로 반출

-14,385명 유출

-과태료 360만 원

-개선권고/결과공표

◆고려대안산병원

-내부직원이 환자정보를 제약사 직원에게 송부(이메일)

-14,038명 유출

-과태료 360만 원

-개선권고/결과공표

◆순천향대서울병원

-내부직원이 환자정보를 제약사 직원에게 송부(이메일)

-8,693명 유출

-과태료 420만 원

-개선권고/결과공표

◆세브란스병원

-내부직원이 환자정보를 제약사 직원에게 송부(이메일)

-57,912명 유출

-과태료 720만 원

-개선권고/결과공표

◆성심병원

-제약사 직원이 환자정보를 다운로드하도록 묵인

-8,613명 유출

-과태료 420만 원

-개선권고/결과공표

◆동탄성심병원

-제약사 직원이 환자정보를 다운로드하도록 묵인

-3,095명 유출

-과태료 420만 원

-개선권고/결과공표

◆강남성심병원

-제약사 직원이 ID·PW를 도용하여 시스템 환자정보를 외부로 반출

-5,831명 유출

-과태료 420만 원

-개선권고/결과공표

◆한강성심병원

-제약사 직원이 ID·PW를 도용하여 시스템 환자정보를 외부로 반출

-1,487명 유출

-과태료 420만 원

-개선권고/결과공표

◆강북삼성병원

-제약사 직원이 로그인 되어있던 시스템의 환자정보를 외부로 반출

-2,366명 유출

-개선권고

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

길민권 기자 다른기사 보기