주민번호•건강정보는 제외, 유출 시 5일이내 통보

온라인 중앙일보

입력

▲ 박형욱 교수
개인정보보호가 주요 이슈로 떠오르면서 의학회의 고민도 깊어지고 있다. 회원들의 개인정보를 보호하는데 어려움을 겪는다. 대학의학회 e-뉴스레터에서 '개인정보보호법과 학회 회원관리'를 주제로 다룬 단국의대 인문사회의학 박형욱 교수의 도움말로 학회운영과 개인정보 관리를 짚어본다.

지난 2월 26일 인천경찰청 사이버수사대는 인터넷 사이트 225개를 해킹해 1700만건의 개인정보를 취득해 판매한 혐의로 2명을 구속하고 구매업자와 해킹 의뢰자 7명을 불구속 입건했다.

이들이 해킹한 사이트에는 대한의사협회, 대한치과의사협회, 대한한의사협회 등의 홈페이지가 포함돼 있었다. 불법유출된 개인정보 규모는 의사협회 8만명, 치과의사협회 5만6000명, 한의사 2만명에 달했다.

경찰 관계자에 따르면 ‘해킹당한 협회 대부분이 개인정보 책임자를 형식적으로 지정하고 보안관리를 외주업체에 맡긴 뒤 관리를 소홀히 했으며 경찰 통보 전까지 사이트가 해킹당한 사실 조차 인지하지 못한 곳도 있었다’고 했다.

박형욱 교수는 "의료분야에서 개인정보호보법이 문제되는 영역은 크게 세 분야"라고 짚었다. 첫째, 의료기관에서 환자진료와 관련된 개인정보보호, 둘째, 의학연구에서의 개인정보보호, 셋째, 협회·학회 운영에서의 개인정보보호다. 그러나 개인정보보호법은 복잡하고 어떻게 실무에 적용해야 하는지 알기 어렵다.

2012년 9월 안전행정부는 보건복지부와 함께 ‘의료기관 개인정보보호 가이드라인’을 내 놓았다. 그러나 이 가이드라인은 환자진료와 관련된 것으로서 학회 운영과는 거리가 있다. 박 교수는 "이런 문건보다는 2012년 7월 안전행정부가 한국인터넷진흥원과 함께 만든 ‘개인정보 보호조치 구현 가이드(소상공인이 이용하는 고객관리 프로그램)’가 학회 운영에 직접적인 참고가 될 수 있다"고 말했다.

우선 이 가이드에서 고객관리 프로그램은 PC 설치용 프로그램 또는 웹 서비스로 구분된다. 고객관리 프로그램이 갖추고 있어야 할 보호조치는 기술적 보호조치와 관리적 보호조치로 구분된다.

기술적 보호조치는 개인정보보호법 제29조에 규정된 안전조치의무에 관련된 것이다. 위반 시 3천만원 이하의 과태료와 의무위반으로 개인정보를 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손당한 경우 2년 이하의 징역 또는 1천만원 이하의 벌금이 문제될 수 있다. 기술적 보호조치에는 -접근권한 관리, -비밀번호 관리,-접근통제 시스템 설치 및 운영, -암호화, -접속기록 보관 및 관리, -보안프로그램 설치 및 운영이 포함된다. 이를 구체적으로 설명하면 다음과 같다.

1) 접근권한 관리 : 개인정보처리시스템에 대한 접근권한을 업무담당자에 따라 차등 부여하고 권한 부여, 변경, 말소 내역을 최소한 3년간 보관할 수 있어야 한다.
2) 비밀번호 관리 : 비밀번호는 최소 8-10자리 이상이어야 하며 6개월 경과시 비밀번호를 변경할 수 있는 기능 등 안전한 비밀번호 작성규칙을 구현해야 한다.
3) 접근통제 시스템 설치 및 운영 : 방화벽 또는 침입방지시스템을 설치·운영해야 한다.
4) 암호화 : 고유식별정보, 비밀번호, 바이오정보 저장 및 전송시 암호화를 해야 한다.
5) 접속기록 보관 및 관리 : 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관해야 한다.
6) 보안프로그램 설치 및 운영 : 백신 등 보안프로그램 설치·운영하고 주기적으로 업데이트해야 한다.

관리적 보호조치에는 -수집·이용 동의 획득, -개인정보처리방침 작성 및 공개, -파기, -프로그램 유지보수가 포함된다. 위반시 사안에 따라 각각 5천만원, 3천만원, 1천만원 이하의 과태료가 문제될 수 있다. 이를 구체적으로 설명하면 다음과 같다.

1) 수집·이용 동의 획득 : 개인정보 수집시 동의를 획득해야 하며 동의 획득시, 목적, 수집항목, 보유기간, 동의 거부 관리 및 거부시 불이익 등을 고지해야 한다.
2) 개인정보처리방침작성 및 공개 : 개인정보처리방침을 작성하여 홈페이지 또는 사업장에 공개해야 한다.
3) 파기 : 보유기간 경과, 처리목적 달성 등 불필요하게 되었을 때 지체없이 복구·재생되지 않도록 파기해야 한다.
4) 프로그램 유지 보수 : 개인정보처리 업무 위탁시 문서화하고 유출사고 발생시 책임소재를 분명히 해야 한다.

이마저도 복잡하다면 다음 7가지를 기억하자. 첫째, 개인정보는 필수정보만 최소한으로 수집(추가수집시 반드시 동의 필요)한다. 둘째, 주민등록번호와 건강정보 등 민간정보 수집은 금지하다. 셋째, 수집한 목적과 다르게 사용하거나 제3자 제공 금지한다. 넷째, 개인정보를 처리할 경우 개인정보 처리방침 공개한다. 다섯째, 내부관리계획, 방화벽·백신·접근통제 등 안전성 확보 조치를 한다. 여섯째, 개인정보의 이용이 끝난 후에는 반드시 파기한다. 일곱째, 개인정보가 유출되었을 경우 즉지 정보주체에게 통보(유출된 것을 인지하면 5일 이내에 서면·전화·이메일 등의 방법으로 통보)한다.