“17개 종합병원, 18만명 환자정보 유출···복지부는 통보도 못 받아”

개인정보보호위원회(위원장 고학수·이하 개인정보위)에서는 환자 개인정보를 유출한 17개 병원들에 대해 과태료 등을 부과했으나 의료기관과 ‘의료법’을 담당하고 있는 보건복지부는 이에 대해 전혀 통보를 받지 못했던 것으로 밝혀졌다.

개인정보위는 지난 7월 26일 가진 전체회의에서 개인정보보호 법규를 위반한 17개 병원 중 16개 병원에 대해 과태료를 부과하고, 17개 전체 종합병원의 개인정보 처리 실태에 대한 개선을 권고하기로 의결했다. 

개인정보위 조사 결과에 따르면 지난 2018년 4월부터 2020년 1월까지 각 병원에서는 병원 직원 또는 제약사 직원이 병원 시스템을 통해 △해당 제약사 제품 처방 환자정보를 촬영·다운로드 후 전자우편, 보조 저장매체(USB) 등으로 외부 반출하거나 △불법적으로 시스템에 직접 접근해 환자정보를 입수하는 등의 방법으로 민감정보가 포함된 총 18만5271명의 환자정보가 유출됐다.

개인정보위는 이에 따라 각 병원들에 개선 권고 등과 함께 과태료 총 6480만원(유출환자 1명당 350원)을 부과했다.

특히 유출된 환자정보 인원이 가장 많은 세브란스병원의 경우 내부 직원이 5만7912명의 환자정보를 제약사 직원에게 이메일로 송부한 것이 적발돼 개선권고 및 결과공표와 함께 과태료 720만원(유출환자 1명당 약 124원)을 부과했다. 

국회 보건복지위원회 최혜영 의원(더불어민주당)이 보건복지부로부터 제출받은 자료에 따르면 보건복지부는 해당 사건과 관련해 “개인정보보호위원회로부터 처분 대상 의료기관에 대한 자료를 별도로 통보받지는 못한 상태로, 개인정보위에 과태료 부과 처분 상세 내용을 요청해 ‘의료법’ 위반에 따른 의료기관·의료인 처분 사항을 검토하겠다”는 의견을 전했다.

이에 대해 최혜영 의원은 “17개 대형병원에서 18만5000여 명의 환자정보가 유출돼 개인정보위로부터 과태료까지 부과됐지만 의료기관 및 ‘의료법’ 제19조(정보누설금지), 제21조(기록열람) 위반에 따른 처분을 담당하는 보건복지부는 이에 대한 통보도 받지 못해 의료법 위반 여부를 검토하지 못했던 것”이라고 지적했다.

최 의원은 이어 “환자 정보 1인당 100원 수준에 불과한 과태료로는 환자정보 유출을 예방할 수 없디”면서 “앞으로 환자 정보뿐만 아니라 수술실 CCTV 영상과 같은 더 심각한 정보 유출 문제가 발생할 수 있는 만큼 의료법 위반에 따른 엄중한 조치가 취해져야 할 것”이라고 강조했다.