개인정보위 '환자정보 배포소동' 건보공단에 개선권고

책자에 성명·생년월일·주민번호 노출…과징금은 면해

강원 원주시 국민건강보험공단 본부 전경./사진=뉴스1

환자의 개인정보가 노출된 설명서 1만여부를 전국 건강검진기관에 배포한 뒤 회수하는 소동을 빚은 국민건강보험공단에게 개인정보보호위원회가 개선권고를 부과했다.

10일 정보보호업계에 따르면 개인정보위 2소위원회는 건보공단에 대한 개인정보보호 법규위반행위 시정조치로 최근 △재발방지를 위한 절차·수단 마련 △개인정보 책임자·취급자 정기교육 실시 △60일 이내 이행결과 보고를 의결했다.

건보공단은 지난해 10월20일 건강관리포털 설명서(매뉴얼) 1만1178부를 전국 건강증진센터에 1부씩 일반우편으로 발송했다. 설명서는 포털에서 검진비용을 청구하는 방법 등이 담겼는데, 건보공단은 화면을 갈무리(캡처)해 설명서에 수록하면서 예시로 입력한 환자 9명의 개인정보를 가림(마스킹) 처리하지 않은 것으로 드러났다.

설명서로 유출된 개인정보는 성명·생년월일·주민등록번호(3건) 등이다. 건보공단은 업무를 재검토하다 우편발송 4일 뒤 개인정보 유출사고를 인지했고, 우체국에 배송중지를 요청하는 한편 전국 건강증진센터에 연락해 '도착한 우편물은 개봉하지 말라'고 지시했다. 개인정보가 유출된 환자들에 대해선 이튿날 통지를 마쳤다.

건보공단은 사고를 인지한 당일부터 직원 1만여명을 우체국과 건강증진센터를 찾아가 설명서를 수거하는 데 동원했다. 설명서 수거는 11일만에 완료했다.

건보공단은 또 같은 해 11월 직원 1400여명에게 특별교육을 실시하는 한편 개인정보 유출·침해 사고대응 설명서를 제작했다. 올해 3~5월에는 개인정보 담당자와 팀장 등 255명을 대상으로 개인정보 전문가 양성교육을 진행하는 한편, 7월 개인정보 검출 자가진단 시스템을 개발하기도 했다.

개인정보위는 건보공단이 개인정보보호법 준수에 소홀했다고 지적하면서도 과징금 부과는 면제하기로 했다. 건보공단이 유출사고 이후 설명서 회수와 신고·통지·재발방지에 나선 점을 감안한 조처다.

건보공단은 "심려를 끼쳐드린 점 깊이 사과드린다"며 "유사사례가 발생하지 않도록 국민의 소중한 개인정보를 철저히 관리하겠다"고 밝혔다.

개인정보보호법은 공공기관이 주민등록번호뿐만 아니라 전체 개인정보에 대해 안전조치 의무를 위반한 경우 과징금을 부과받을 수 있도록 지난해 9월 개정됐다. 개정 전 법령에 따르면 공공기관은 주민등록번호 유출에 대해서만 과징금을 부과받을 수 있었다.

성시호 기자 shsung@mt.co.kr