가톨릭 재단 서울성모병원·여의도성모병원·의정부성모병원서 환자 정보 대규모 유출 ... 최혜영 의원 지적

 

개인정보보호위원회는 지난 7월 26일 개인정보보호 법규를 위반한 가톨릭학원 산하 서울성모·여의도성모·은평성모·의정부성모·부천성모·성빈센트병원 등 17개 종합병원 중 16개 병원에 대해 과태료를 부과하고, 17개 전체 종합병원의 개인정보 처리 실태에 대한 개선을 권고하기로 했다. (자료=개인정보위)

 

​

​

가톨릭 재단 서울성모·여의도성모·의정부성모병원서 환자 정보 대규모 유출

​

가톨릭학원 산하 6개 병원서 환자 66,949명 정보 유츌

​

개인정보위, 18만여 명 환자정보 유출한 17개 종합병원에 개선권고·과태료

​

복지부, 개인정보위로부터 통보 못 받아, 의료법 위반 여부 검토도 못해

​

최혜영 의원 “의료법 위반에 따른 조치 서둘러야”

​

[현대건강신문=박현진 기자] 가톨릭학원 산하 6개 병원에서 환자 6만6천여명의 정보가 제약사 직원에게 유출된 것으로 드러났다.

​

환자 정보 유출은 의료법상 불법으로 주무부처인 보건복지부가 조취를 취해야 함에도, 관련 자료도 확보하지 못한 것으로 드러나 11일부터 열린 국회 국정감사에서 쟁점이 될 전망이다.

​

의료법 19조는 ‘의료인이나 의료기관 종사자는 △진단서 △검안서 △증명서 작성·교부 업무, 처방전 작성·교부 업무, 진료기록 열람·사본 교부 업무를 하면서 알게 된 다른 사람의 정보를 누설하거나 발표하지 못한다’고 명시했다.

​

의료법 21조는 ‘의료인, 의료기관의 장 및 의료기관 종사자는 환자가 아닌 다른 사람에게 환자에 관한 기록을 열람하게 하거나 그 사본을 내주는 등 내용을 확인할 수 있게 하여서는 아니 된다’고 의료기관 종사자 외에 환자 정보를 열람하는 것을 금지하고 있다.

​

개인정보보호위원회(이하 개인정보위)는 지난 7월 26일 개인정보보호 법규를 위반한 가톨릭학원 산하 서울성모·여의도성모·은평성모·의정부성모·부천성모·성빈센트병원 등 17개 종합병원 중 16개 병원에 대해 과태료를 부과하고, 17개 전체 종합병원의 개인정보 처리 실태에 대한 개선을 권고하기로 했다.

​

17개 종합병원 중 과태료가 부과된 병원은 △가톨릭학원 산하 6개 병원 2,16만원 △건국대충주병원 420만원 △고려대 안암·구로·안산병원 1,080만원 △순천향대부속서울병원 420만원 △세브란스병원 720만원 △일송학원 성심·동탄성심·강남성심·한강성심병원 1,680만원 등이다.

​

이번 환자 정보 유출은 경찰의 의약품 판매질서 위반 관련 수사를 위한 제약사 압수 수색 과정에서 환자 정보의 유출이 확인된 17개 종합병원의 유출 신고에 따라 이뤄졌다.

​

개인정보위의 조사 결과, 2018년 4월부터 2020년 1월까지 각 병원에서는 병원 직원 또는 제약사 직원이 병원 시스템에서 해당 제약사 제품을 처방받은 환자 정보를 촬영 또는 다운로드한 후 전자우편, 보조저장매체인 USB 등을 통해 외부로 반출하거나 제약사 직원이 불법적으로 시스템에 직접 접근해 환자 정보를 입수하는 방법으로 총 185,271명의 환자 정보가 유출된 것으로 드러났다.

​

개인정보위가 환자 정보 유출에 가담한 병원 직원들을 조사한 결과, 환자의 민감 정보를 처리하는 개인정보처리시스템 운영과정에서 안전조치 의무를 소홀히 하는 등 법 위반 사실을 확인했다.

​

대부분의 조사 대상 병원에서 개인정보 취급자가 개인정보처리시스템에 접속한 기록을 2년 이상 보관하지 않거나, 개인정보 다운로드 사유 등의 확인과 접속기록을 월 1회 이상 점검하지 않았다.

​

△성심·동탄성심·강남성심·한강성심병원 등 4개 병원은 인사인동으로 개인정보 취급자가 변경되었음에도 개인정보처리시스템에 대한 접근권한의 부여 내역을 3년 이상 보관하지 않았고 △순천향대부속서울병원·건국대충주병원·성심병원·동탄성심병원·강남성심병원·한강성심병원 등은 USB 등 보조저장매체 반출과 반입 통제를 위한 보안대책을 마련하지 않았다.

​

또한, 강북삼성병원·고려대구로병원 등 2개 병원은 개인정보처리시스템 접속이 가능한 기기에 권한 없는 자의 물리적 접근이 가능했다.

​

대형병원의 환자 정보 관리가 부실한 상황임에도 의료기관과 의료법을 담당하는 보건복지부는 이런 사실 조차 알지 못하는 것으로 드러났다.

​

국회 보건복지위원회 소속 최혜영 의원(더불어민주당)실이 개인정보위로부터 과태료 등을 처분 받은 17개 병원에 대한 보건복지부의 처분 계획을 질의한 결과, 보건복지부는 ‘개인정보위로부터 처분 대상 의료기관에 대한 자료를 별도로 통보받지 못한 상태로, 과태료 부과 처분 상세 내용을 요청하여 확보한 후, 의료법 위반에 따른 의료기관·의료인 처분 사항을 검토하여 조치하겠다’고 답했다.

​

17개 대형병원에서 18만5천여 명의 환자 정보가 유출돼 개인정보위로부터 과태료까지 부과되었지만 의료기관과 의료법 위반에 따른 처분을 담당하는 보건복지부는 이에 대한 통보를 받지 못해, 의료법 위반여부를 검토할 생각조차 못하고 있었던 셈이다.

​

최혜영 의원은 “가벼운 문제도 아니고 18만 명이 넘는 환자 정보 유출과 개인정보위의 과태료 부과 사실을 보건복지부가 모르고 있었던 것은 윤석열 정부의 불통이 얼마나 심각한지 보여주는 단적인 사례”라며 “환자 정보 1인당 100원 수준에 불과한 과태료로는 환자정보 유출을 예방할 수 없으며, 앞으로는 환자 정보뿐 아니라 수술실 CCTV 영상과 같은 더 심각한 정보 유출 문제가 발생할 수 있는 만큼 의료법 위반에 따른 엄중한 조치가 취해져야 한다”고 말했다.