세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
의료분야 개인정보보호 주요 위반사례 살펴보니
  |  입력 : 2017-09-10 22:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
의료분야에서 발생하는 주요 행정처분 위반 7가지 유형
진료목적 외 개인정보 수집, 처리 위탁에 따른 조치사항 위반 등 적발


[보안뉴스 김경애 기자] 대한치과의사협회(이하 치협) 정보통신위원회가 지난 6일부터 ‘2017년 개인정보보호 자율점검’에 들어간 가운데 치과를 비롯한 병·의원에서 발생하는 개인정보보호 위반 사례가 적지 않게 드러나고 있다.

[이미지=iclickart]


의료 분야에서 주로 발생하는 개인정보보호 위반사례는 진료목적 외 개인정보 수집를 비롯해서 위탁과 접근권한 조치 미흡, 암호화 미조치 등이 꼽힌다. 이러한 가운데 건강보험심사평가원 이영곤 부장은 ‘의료기관 사이버보안 워크숍’ 강연에서 의료분야에서 발생하는 주요 행정처분 위반 사례로 △진료목적 외 개인정보 수집 위반 △개인정보 처리 위탁에 따른 조치사항 위반 △접근권한 위반 △접속기록 위반 △개인정보 암호화조치 위반 △개인정보 파기 등을 꼽았다. 이에 본지는 의료분야에서 주로 발생하는 개인정보보호 위반 사례를 7가지 유형으로 구분해 소개한다.

사례 1. 진료목적 외 개인정보 수집 위반
A병원은 홈페이지를 운영하고 있으나 회원가입을 받지 않고 있다. 다만, 상담 및 문의 게시판을 이용할 경우 이름, 전화번호를 기재하도록 되어 있다.

이 경우 개인정보보호법(제15조제2항) 개인정보 수집 시 고지사항 위반으로 과태료 600만원이 부과된다. 회원가입 없이 게시판을 이용한 상담, 문의 시에도 이름, 전화번호 등 개인정보를 수집할 경우 정보주체에게 필수항목 ①수집·이용목적 ②수집항목 ③보유 및 이용기간 ④동의를 거부할 권리가 있다는 사실 및 불이익 내용 등 4가지를 고지하고 동의를 받아야 한다.

사례 2. 개인정보 처리 위탁에 따른 조치사항 위반
C병원은 혈액검사, 시스템 유지보수, 홈페이지 등 수탁업체가 다수 존재하지만, 홈페이지에 혈액검사 기관만 공개했다.

이는 개인정보 처리 위탁에 따른 조치사항 위반(제26조제2항)으로 과태료 200만원이 부과된다. 따라서 홈페이지 기관만 공개하는 게 아니라 모든 수탁기관을 공개해야 하고, 수탁기관명과 위탁 업무내용까지 모두 공개해야 한다.

사례 3. 접근권한 위반
B병원의 개인정보처리 시스템의 경우 각 ID별 권한을 부여할 수 있는 기능만 존재하고 그 이력 관리에 대해서는 별도로 기능을 추가하지 않았다. 하지만 이는 개인정보 안전성 확보조치 위반(제29조)으로 접근통제 및 접근권한 관리 미흡에 해당되며, 과태료 600만원이 부과된다.

따라서 접근권한을 부여할 수 있는 권한 외에 접근권한 이력관리도 동시에 해야 한다. 이를 위해서는 개인정보처리 시스템의 기능을 개선해 접근권한 이력관리가 이루어지도록 해야 한다.

사례 4. 개인정보 접속기록 위반
D병원은 개인정보처리 시스템의 접속자 ID, 접속자 IP주소, 시간을 2년간 보관하도록 하고 있다. 그러나 이는 개인정보 안전성 확보조치를 위한 접속기록 관리 위반(제29조)으로 과태료 600만원이 부과된다.

접속자가 개인정보처리 시스템을 통해 어떤 업무를 수행했는지 파악할 수 있는 정보(수행업무)를 접속기록에 추가해야 한다.

사례 5. 개인정보 암호화조치 위반
E병원은 홈페이지를 통해 회원 가입을 받고 있다. 회원 가입시 개인정보(비밀번호)를 수집하고 있지만, 개인정보를 암호화하지는 않은 상태다. 이는 암호화조치 위반으로 과태료 600만원이 부과된다.

홈페이지에서 비밀번호를 수집하는 기관의 경우 비밀번호가 유출, 변조되지 않도록 통신 암호화(SSL, TLS 등) 조치를 하고, DB를 저장할 때는 일방향 암호화를 적용해야 한다.

사례 6. 비밀번호 설정 및 관리 미흡
A병원은 자체적으로 비밀번호 작성 규칙을 내부관리계획으로 수립했으나, 실제 직원들은 개인정보처리 시스템 로그인 시 편의를 위해 비밀번호를 ‘A’, ‘1’로 설정해 사용하고 있었다. 이는 개인정보 안정성확보 미조치 위반으로 과태료 600만원이 부과되는 위반사항이다.

비밀번호 작성 규칙을 문서로 수립해 놓는 것보다 실제로 이행하는 것이 중요하다. 개인정보처리 시스템 사용 시 안전한 비밀번호 작성규칙을 유도하는 기능을 구현하거나 주기적 점검과 교육을 통해 안전한 비밀번호를 사용해야 한다.

사례 7. 개인정보 파기 준수 위반
A병원은 홈페이지 업체를 변경했다. 그러나 이전 홈페이지 업체의 DB정보에 대해 별도 관리를 하지 않았다.

A병원의 이전 홈페이지 개인정보 보유 및 수집기간에 맞춰 지체 없이 파기를 진행해야 한다. 외부에서 파기를 진행하는 경우 담당자 동행 혹은 사진 등 증빙자료를 제출 받아 파기를 했는지 확인해야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)