정부, 병원·약국 통지의무 면제
정보유출 사실 확인조차 못해
43억건, 4399만명 분에 해당하는 개인 의료정보가 해외로 유출됐지만, 피해자들은 이 사실에 대한 어떤 정보도 알 수 없어 분통을 터트리고 있다. 현행법상 정보유출 사실이 발생하면 개인정보를 수집, 관리했던 곳은 유출 사실을 즉각 피해자에게 알리고 2차 피해를 예방하도록 안내해야 하지만 이번 43억건 유출 사고에서는 그 누구도 '통지 의무'를 부여받지 않았다.
28일 법조계와 개인정보보호 전문가들에 따르면, 최근 발생한 역대 최대 규모의 의료정보 유출 사고에서 정작 정보가 유출된 피해자들은 어떤 보호조치도 받지 못하고 있는 것으로 나타났다.
이번에 유출된 의료정보는 환자의 병명이나 복약 및 수술 사실 기록 등 민감한 의료정보가 대부분이다. 이런 의료정보 43억건이 의료 프로그램업체와 외국계 통계업체에 의해 불법 거래됐지만 '피해자'인 4399만명은 자신의 정보가 유출됐는지 여부를 알아볼 방법조차 없는 상태다.
법조계 관계자는 "현행 정보보호 관련 법률(개인정보보호법, 정보통신망법, 신용정보법)은 정보유출 발생 사실을 인지하는 즉시, 정보 주체자에게 유출 사실을 통보하는 '유출 사실 통지 의무'가 있다"면서 "하지만 이번 의료정보 유출 사태에서는 환자의 의료정보를 수집한 당사자, 즉 정보처리자인 병원이나 약국 그 어느 곳에서도 환자 정보가 유출됐다는 사실을 피해자에게 알리는 '통지 의무'를 부여받지 않았다"고 지적했다.
실제 이번 의료정보 유출 소관 법률인 개인정보보호법 제 34조에는 개인정보가 유출 됐을 때 정보처리자(병원 및 약국)는 정보주체(환자)에게 유출된 개인정보의 항목과 유출 시점 및 경위, 유출 피해를 최소화 할 수 있는 방법 등을 지체 없이 통지하고 피해 구제절차를 안내하도록 규정하고 있다.
그러나 디지털타임스 취재 결과 의료정보 유출 관련 부처인 행정자치부와 보건복지부는 통지 의무가 있는 병원이나 약국에 대해 이를 면제한 것으로 확인됐다.
행자부 관계자는 "의료정보가 대단히 민감한 정보이긴 하나 2차 유출이 없다는 점이 확인됐고, 유출 사실 통지를 하기 위해 조회시스템 구축을 하는 부분까지 검토했으나 현실적으로 제약이 많아 전문가들과 깊이 논의한 끝에 통지 의무(면제)에 대한 유권 해석을 내렸다"고 설명했다.
하지만 2차 피해 유무를 떠나 피해자들은 자신의 의료정보가 어디로, 어떻게, 얼마나 유출됐는지 전혀 알 수 없다. 복지부 관계자는 "현재로선 피해자가 유출 사실을 확인할 방법은 없다"고 답했다. 개인정보 유출에 따라 법정 손해배상 및 징벌적 손해배상 등 다양한 민사상 피해 구제 제도도 마련됐지만, 피해사실 조차 확인할 수 없는 이번 의료정보 유출 사고에서는 이 제도도 무용지물이다.
법조계 관계자는 "지난해 전 국민을 패닉에 빠뜨렸던 신용카드 정보 유출 사건의 경우, 계좌번호나 카드번호는 바꾸면 그만이지만 의료 기록은 변경되거나 조작될 수 없으며 때에 따라 개인의 신상에 지대한 영향을 끼칠 수 있는 매우 민감한 정보"라면서 "정보보호법 제정 취지가 정보 주체자들의 '개인정보 자기결정권'을 보호하고 강화하기 위한 것인 만큼 자신의 의료정보가 얼마나, 어떻게 유출됐는지 알고자 하는 피해자가 있다면 마땅히 알 수 있도록 제도적으로 보호해야 한다"고 강조했다.
강은성기자 esther@dt.co.kr
정보유출 사실 확인조차 못해
43억건, 4399만명 분에 해당하는 개인 의료정보가 해외로 유출됐지만, 피해자들은 이 사실에 대한 어떤 정보도 알 수 없어 분통을 터트리고 있다. 현행법상 정보유출 사실이 발생하면 개인정보를 수집, 관리했던 곳은 유출 사실을 즉각 피해자에게 알리고 2차 피해를 예방하도록 안내해야 하지만 이번 43억건 유출 사고에서는 그 누구도 '통지 의무'를 부여받지 않았다.
28일 법조계와 개인정보보호 전문가들에 따르면, 최근 발생한 역대 최대 규모의 의료정보 유출 사고에서 정작 정보가 유출된 피해자들은 어떤 보호조치도 받지 못하고 있는 것으로 나타났다.
이번에 유출된 의료정보는 환자의 병명이나 복약 및 수술 사실 기록 등 민감한 의료정보가 대부분이다. 이런 의료정보 43억건이 의료 프로그램업체와 외국계 통계업체에 의해 불법 거래됐지만 '피해자'인 4399만명은 자신의 정보가 유출됐는지 여부를 알아볼 방법조차 없는 상태다.
법조계 관계자는 "현행 정보보호 관련 법률(개인정보보호법, 정보통신망법, 신용정보법)은 정보유출 발생 사실을 인지하는 즉시, 정보 주체자에게 유출 사실을 통보하는 '유출 사실 통지 의무'가 있다"면서 "하지만 이번 의료정보 유출 사태에서는 환자의 의료정보를 수집한 당사자, 즉 정보처리자인 병원이나 약국 그 어느 곳에서도 환자 정보가 유출됐다는 사실을 피해자에게 알리는 '통지 의무'를 부여받지 않았다"고 지적했다.
실제 이번 의료정보 유출 소관 법률인 개인정보보호법 제 34조에는 개인정보가 유출 됐을 때 정보처리자(병원 및 약국)는 정보주체(환자)에게 유출된 개인정보의 항목과 유출 시점 및 경위, 유출 피해를 최소화 할 수 있는 방법 등을 지체 없이 통지하고 피해 구제절차를 안내하도록 규정하고 있다.
그러나 디지털타임스 취재 결과 의료정보 유출 관련 부처인 행정자치부와 보건복지부는 통지 의무가 있는 병원이나 약국에 대해 이를 면제한 것으로 확인됐다.
행자부 관계자는 "의료정보가 대단히 민감한 정보이긴 하나 2차 유출이 없다는 점이 확인됐고, 유출 사실 통지를 하기 위해 조회시스템 구축을 하는 부분까지 검토했으나 현실적으로 제약이 많아 전문가들과 깊이 논의한 끝에 통지 의무(면제)에 대한 유권 해석을 내렸다"고 설명했다.
하지만 2차 피해 유무를 떠나 피해자들은 자신의 의료정보가 어디로, 어떻게, 얼마나 유출됐는지 전혀 알 수 없다. 복지부 관계자는 "현재로선 피해자가 유출 사실을 확인할 방법은 없다"고 답했다. 개인정보 유출에 따라 법정 손해배상 및 징벌적 손해배상 등 다양한 민사상 피해 구제 제도도 마련됐지만, 피해사실 조차 확인할 수 없는 이번 의료정보 유출 사고에서는 이 제도도 무용지물이다.
법조계 관계자는 "지난해 전 국민을 패닉에 빠뜨렸던 신용카드 정보 유출 사건의 경우, 계좌번호나 카드번호는 바꾸면 그만이지만 의료 기록은 변경되거나 조작될 수 없으며 때에 따라 개인의 신상에 지대한 영향을 끼칠 수 있는 매우 민감한 정보"라면서 "정보보호법 제정 취지가 정보 주체자들의 '개인정보 자기결정권'을 보호하고 강화하기 위한 것인 만큼 자신의 의료정보가 얼마나, 어떻게 유출됐는지 알고자 하는 피해자가 있다면 마땅히 알 수 있도록 제도적으로 보호해야 한다"고 강조했다.
강은성기자 esther@dt.co.kr
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
실시간 주요뉴스
![[디지털타임스 미래포럼] “AI시대 폭증하는 디지털리스크… ESG로 돌파해야”](https://wimg.dt.co.kr/news/cms/2025/11/18/news-p.v1.20251118.804fa53c13f947bc98cd750396b8ae26_R.jpg)
![[디지털타임스 미래포럼] "ESG와 디지털리스크 연계… 번뜩이는 주제, 신선하다"](https://wimg.dt.co.kr/news/cms/2025/11/18/news-p.v1.20251118.93c9133cbd1a47678d2690765a783878_R.jpg)
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0