환자 정보 제약사에 넘겨…성모병원 등 과태료

제약사 직원이 불법 접근 등 18만명 유출

카페24 등 쇼핑몰 사업자에게도 제재

연세대 세브란스병원 전경. 사진 제공=세브란스병원

국내 대형병원들이 제약회사에 환자정보를 직접 넘긴 사실이 드러나 무더기 제재를 받게 됐다. 제약회사 직원이 USB 등 별도 저장장치에 환자정보를 다운로드받는 행위도 묵인하는 등 여러 점이 지적됐다.

개인정보보호위원회는 개인정보보호 법규를 위반한 17개 종합병원에 대해 개인정보 처리실태에 대한 개선을 권고하기로 의결하고 이 중 16개 병원에 대해서는 과태료를 부과하기로 했다고 27일 밝혔다.

대상 병원은 학교법인 가톨릭학원(서울·여의도·은평·의정부·부천성모병원·성빈센트병원 각 360만원), 학교법인 일송학원(성심·동탄성심·강남성심·한강성심병원 각 420만원), 고려중앙학원(안암·구로·안산병원 각 360만원), 연세대학교(세브란스병원) 720만원, 건국대학교(충주병원) 420만원, 동은학원(순천향대 부속 서울병원) 420만원 등이다. 삼성의료재단의 강북삼성병원은 개선 권고만 받았다.



개인정보위는 조사 결과 2018년 4월부터 2020년 1월까지 병원들에서 민감 정보가 포함된 총 18만 5271명의 환자 정보가 유출됐다고 설명했다.

병원 직원이나 제약사 직원이 병원 시스템에서 해당 제약사 제품을 처방받은 환자 정보를 촬영하거나 이메일, USB 등을 통해 외부로 반출한 것으로 드러났다. 또 제약사 직원이 불법적으로 시스템에 직접 접근해 환자 정보를 입수하기도 했다.

아울러 개인정보위는 쇼핑몰솔루션 제공 사업자 4곳에 대해서도 총 1200만 원의 과태료 부과와 시정조치 명령, 개선권고를 결정했다.

카페24, 커넥트웨이브(메이크샵·마이소호), 아임웹, NHN커머스(고도몰·샵바이)는 솔루션을 이용해 쇼핑몰을 운영하는 이용사업자와 리셀러의 개인정보를 처리하면서 개인정보 처리시스템에 대한 접근통제, 접속기록 관리, 전송정보 암호화 등 안전조치 의무를 일부 소홀히 한 것으로 확인됐다.