개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 개인정보보호법 위반 등의 혐의로 약학정보원 원장 김모(51)씨와 병원 보험청구심사 프로그램 공급업체인 G사 대표 김모(48)씨 등 24명(법인 포함)을 불구속 또는 약식 기소했다고 23일 밝혔다. 합수단에 따르면 약학정보원은 2011년 1월부터 작년 11월까지 1만800여개 가맹 약국에 공급한 경영관리 프로그램을 활용해 환자 주민번호·병명·투약내역 등을 포함한 43억3천593만건의 진료정보를 빼냈다. 어떤 형태로든 환자 동의 없이 진료정보를 취급하는 행위는 개인정보보호법에 저촉된다. 또 G사는 2008년 3월부터 작년 12월 사이 건강보험심사평가원에 보험·요양급여를 청구할 수 있도록 진료 내용을 기록하는 소프트웨어를 전국 7천500여개 병원에 공급하고서 이를 활용해 7억2천만건의 진료·처방 정보를 불법 수집했다. 약학정보원과 G사는 프로그램을 고객 몰래 외부에 별도의 서버를 두고 해당 정보를 저장한 뒤 빼돌린 것으로 조사됐다. 양측은 이렇게 수집한 개인정보를 미국계 다국적 통계회사 I사에 팔아넘겨 각각 16억원, 3억3천만원 상당의 수익을 챙겼다고 검찰은 전했다.

I사는 해당 정보를 병원별·지역별·연령별로 분류하고 특정 약의 사용 현황 통계를 내는 등의 방식으로 재가공해 국내 제약사에 되팔아 70억여원의 이득을 얻은 것으로 조사됐다. I사가 사들인 개인정보 규모는 약 47억건, 명수로 따지면 4천399만명분이다. 전 국민 88%의 진료 정보가 국·내외 기업의 돈벌이 수단으로 전락한 셈이다. 합수단은 국내 1위 이동통신업체인 SK텔레콤이 전자처방전 사업을 하면서 2만3천60개 병원에서 7천802만건의 처방전 내역을 불법 수집한 뒤 가맹점 약국에 건당 50원에 팔아 36억원 상당의 불법 수익을 올린 사실도 확인했다고 밝혔다. 이 회사는 전자차트 제조사와 공모해 전자처방전 프로그램에 정보 유출 모듈을 심은 뒤 외부 서버로 처방전 내역을 실시간 전송받은 것으로 조사됐다. 유출된 정보는 환자 성명과 생년월일·병원명·약품명 등이다. SK텔레콤은 개인정보 유출에 대한 검찰 수사가 진행되던 지난 3월 전자처방전 사업을 중단했다. 합수단은 이번에 유출된 개인정보가 보이스피싱 등 범죄에 활용된 흔적은 확인하지 못했다고 밝혔다. 한편, SK텔레콤은 합수단 수사 결과에 대해 "처방전을 판매한 게 아니라 병·의원의 위탁을 받아 환자가 선택한 약국에 처방전을 전송한 것에 불과하며 약국으로부터 받은 대가는 서비스 제공에 대한 수수료"라고 반박했다.

복지부, 환자정보 불법처리 재발방지대책 발표

보건복지부(장관 문형표)는 검찰에서 발표한 “외주 전산업체의 의료기관·약국 환자 개인정보 불법 처리사건”의 재발방지대책을 발표하였다. 금번 사건은 검찰 수사에서 드러났듯이 의료기관·약국의 전산시스템 구축·유지보수 등의 업무를 하는 외주 전산업체가 환자 개인정보를 불법적으로 취득한 데에 주된 문제점이 있다고 보고, 이에 대한 대책을 집중적으로 추진할 계획이다.

① 외주 전산업체 긴급 특별점검 실시

개인정보보호법을 주관하는 행정자치부(장관 정종섭) 등 관계기관(한국인터넷진흥원·건강보험심사평가원)과 함께 금번 사건으로 기소된 외주 전산업체(4개사)에 대해 긴급 특별점검을 실시한다.
* A업체, D재단, 다국적 의료통계업체 E社, 통신사 F(검찰 발표 기준)

해당 업체가 불법으로 취득한 환자 개인정보 파기여부를 확인하는 등 환자 의료정보 관리실태를 집중적으로 점검할 계획이다. 한편 ‘14년말부터 행정자치부는 보건복지부 등과 함께 의료분야 외주 전산업체 27개사에 대한 계도·점검을 실시하여, 이들 전산업체가 수탁하는 의료기관·약국(약 7만 개소)의 환자 의료정보 관리 실태를 개선 중에 있다.

② 건강보험 청구 관련 소프트웨어(S/W) 관리·감독 강화

첫째, 건강보험 청구 관련 S/W 배포·유지보수 등을 하면서의료기관·약국의 환자 개인정보를 청구 이전에 불법 처리한 외주 전산업체(A社, D재단)의 청구 S/W를 사용하지 못 하도록 할 계획이다. 의료기관·약국의 환자 개인정보를 불법처리하여 기소된 업체에 대한 강력한 행정제재조치를 내려, 추가적인 환자 개인정보 불법 처리가능성을 사전에 차단하고자 한다. ‘행정절차법’에서 정한 제재처분 사전예고 및 소명 등의 절차를 거쳐 일정한 기간 이후에는 해당 전산업체에서 배포한 청구 S/W는 사용하지 못 하도록 할 계획이다. 둘째, 일선 의료기관에서 사용하는 ‘건강보험 청구 사전검토 S/W’의 기능과 운영방식의 범위와 한계를 명확하게 설정하고, 건강보험심사평가원(원장 손명세, ‘심평원’)에서 사전검토 S/W별로 검사 인증과 사후 관리를 실시하는 제도를 마련할 계획이다. 셋째, 심평원에서 실시하는 청구 S/W 사전인증(검사) 및 사후검사항목에 개인정보 보안항목(암호화, 불법처리 방지 등)을 추가하여 환자 개인정보가 불법적으로 처리되지 않도록 관리·감독을 강화할 계획이다. 마지막으로 건강보험 청구 S/W와 사전검토 S/W를 사용하여 환자 개인정보를 불법 처리할 경우, 해당 S/W 인증 취소 및 일정기간 동안 재인증을 금지할 계획이다. 청구 S/W 보안성 강화와 사전검토 S/W에 대한 관리강화대책은 건강보험법령 및 하위 고시를 조속한 시일 내에 개정하여 추진한다.

③ 의료기관·약국의 개인정보 관리 강화

현행 개인정보보호법에 따라 의료기관·약국에서 환자 개인정보를 보다 안전하게 관리할 수 있도록 자율점검 실시, 가이드라인 보완 및 정보보호 교육 강화 등을 추진한다. 각 의료인단체 등과 협의하여 일선 의료기관·약국이 환자개인정보 관리 실태를 자율적으로 점검·보완토록 하고(8월 중), 자율점검에 참여하지 않는 의료기관·약국은 관계기관과 합동으로 현장 점검을 실시하여 보완을 요청할 계획이다.

* ‘15.2∼3월, 병원급 의료기관(약 500여개)은 행정자치부 주관으로 합동점검 실시

환자 개인정보를 적정하게 처리하지 않은 의료기관·약국은 관련법에 따른 조치를 강구할 계획이다.

그리고 의료기관 등의 자율점검 결과를 제출받아 현장의 실태를 분석하여 필요한 개선방안을 마련하고자 한다. ‘개인정보 보호 가이드라인’을 보완하여 의료기관 등에서 손쉽게 개인정보보호법 등을 준수할 수 있도록 한다. 한편 의료인·약사 보수교육과정에 정보보호 교육을 강화하여 일선 의료인 등이 개인정보 보호의 중요성과 보호방법을 보다 잘 숙지하여 실천할 수 있도록 할 계획이다.

④ 외주 전산업체에 대한 관리감독 강화방안 마련

의료기관·약국의 전산시스템을 실질적으로 관리하는 외주 전산업체의 환자 개인정보 악용을 방지할 수 있는 제도를 새로이 마련하고자 한다. 먼저 의료기관·약국의 전산시스템을 취급하는 외주 전산업체 등록제를 도입하여 관리 기반을 구축한다, 둘째, 의료기관·약국용 정보시스템에 대하여 적격성 기준을 심사하여 인증을 부여하고, 인증을 받은 제품만 사용하도록 한다.
* 적격성 기준 : 기능성(제품이 갖춰야 할 기능과 정상 작동여부),상호 운영성(시스템간 상호 호환성), 보안성(기술적·관리적 보안성)

셋째, 외주 전산업체가 의료기관·약국 정보시스템에 접속한기록과 의료기관·약국에서 외부로 정보를 제공한 기록을 각각 작성·보관토록 의무화하여, 불법적인 정보 유출·제공을 쉽게 확인할 수 있도록 한다.

넷째, 등록업체와 인증제품에 대한 무작위 수시 점검체계(spot check)를 도입하고, 환자 개인정보를 불법 수집한 외주 전산업체 등에 대해서는징벌적 과징금 등 엄격한 제재방안을 마련하고자 한다.  향후 ‘전문가 TF’를 구성·운영하여 단계별로 외주 전산업체 관리 및 정보보호 강화를 위한 세부 실행방안을 구체화하고, 환자 의료정보 보호 및 (외주)전산업체 관리에 필요한 사항은‘(가칭) 건강정보보호법’을 제정하여 추진할 계획이다. 한편 환자 개인정보의 굳건한 보호기반 위에서 꼭 필요한 정보화 서비스는 제도화하여 국민의 편의를 높이면서, 의료-IT서비스의 발전이 이루어지도록 지원할 계획이다.