개인정보보호위원회가 환자의 개인정보 보호조치 강화에 나섰다. 국내 대다수 병·의원이 사용 중인 주요 전자의무기록(EMR) 시스템 사업자에 개인정보 보호기능 개선을 권고하는 한편 EMR 인증기준 등을 손본다.
개인정보위는 11일 서울 종로구 정부서울청사에서 전날 열린 전체회의 결과에 대해 발표했다.
앞서 개인정보위는 지난해 6월부터 4개월간 유비케어, 비트컴퓨터, 이지케어텍, 포인트임플란트, 이지스헬스케어 등 EMR 시스템을 제공하는 상위 5개 사업자를 조사했다. EMR 시스템은 병원 내 의료인을 위한 업무시스템으로, 환자 인적사항과 진단·처방 정보 등이 기록되며 건강보험청구시스템에도 연동된다.
조사 결과 일부 EMR 시스템이 환자 개인정보 보호에 필요한 기능을 부분적으로 미흡하게 제공하고 있는 것을 확인했다. 이에 개인정보위는 △개인정보취급자 계정에 대한 접근권한 관련 기록 △비밀번호 제한 해제 시 확인 △외부에서 접속 시 안전한 접속·인증수단 △안전한 암호화 알고리즘 △취급자 접속기록 중 처리한 정보주체 정보 기록 △개인정보 다운로드 사유 입력·확인 △삭제 기능 제공 등을 개선하도록 사업자에 권고했다.
개인정보위는 또 'EMR 인증기준'과 '청구소프트웨어 적정성 검사기준'을 강화해 EMR 시스템의 전반적 개인정보 보호 수준을 높인다는 계획이다. 보건복지부·한국보건의료정보원·건강보험심사평가원이 이를 구체화하는 작업을 맡는다. 권한 없는 자의 시스템 접근을 막고, 사고 발생 시 책임추적성을 강화하는 게 골자다.
전승재 개인정보위 조사3팀장은 “의료기관의 환자 개인정보 관리책임도 강화하기 위해서 구체적인 방안을 마련해서 현장에 안내할 예정”이라며 “의료기관의 개인정보 보호에 대한 국민적 신뢰가 향상돼 개인정보 유출 걱정 없이 의료서비스를 이용할 수 있는 환경이 조성될 것”이라고 말했다.
개인정보위는 이날 다크패턴(눈속임 설계), 국외이전, 아동·청소년 개인정보 보호 등 모바일 애플리케이션 3대 취약 분야에 대한 개인정보 실태점검 결과도 발표했다.
다크패턴은 이용자의 비합리적 지출과 착각 등을 유도할 목적으로 설계된 온라인 상의 화면 배치를 말한다. 가입·이용탈퇴까지 전단계에 걸쳐 다크패턴이 일어나고 있다. 개인정보 수집·이용에 대해 별도로 동의받지 않고 개인정보 처리방침·이용약관 전문으로 동의받는 등이 대표적이다.
개인정보를 국외로 이전하는 국내 앱 서비스도 늘고 있다.
2022년 696개에서 지난해 769개로한 해 동안 70여개가 증가했으며, 주로 미국(24.2%)·일본(12.2%)·싱가포르(7.5%) 등으로 이전됐다. 특히 클라우드 서비스 영향으로 아마존 웹서비스(AWS), 구글, 젠데스크(Zendesk) 등이 이전받았다. 개인정보 국외이전 목적으로 광고 고객 서비스(CS) 상담·민원 처리 등 처리위탁(66.6%→55.6%)은 줄어든 반면 광고(마케팅)·통계 분석 등을 위한 정보제공(11.5%→32.0%) 유형이 증가한 점도 눈에 띈다.
개인정보위는 이용률이 높은 상위 5000개 모바일 앱을 대상으로 진행한 개인정보 보호법 준수 점검 결과도 발표했다. 지난해 미준수 비율은 69.5%로, 전년(80.2%) 대비 약 10.7%포인트(P) 개선됐다. 미준수 비율은 개인정보보호법 기준 39개 항목 중 단 하나라도 지키지 않는 경우를 말한다.
개인정보위는 실태점검 결과 확인된 주요 의무 위반 사항은 추가 사실관계 확인을 거쳐 필요하면 조사에 착수한다는 방침이다. 한국인터넷진흥원(KISA)·개인정보보호협회(OPA) 등 유관기관과 협력 등을 통해 조기 개선을 유도할 예정이다.
조재학 기자 2jh@etnews.com