개인정보보호법 제29조(안전조치)와 제26조(위탁관리)가 의료기관에서 가장 많이 위반하는 조항인 것으로 나타났다.

안전행정부는 최근 올해 상반기 개인정보보호법 위반에 따른 행정처분 사례를 발표했다.

그 결과 행정처분을 받은 의료기관 대다수는 ▲접근권한 관리 등 안전성 확보조치 미흡(제29조) ▲개인정보 처리업무 위탁 시 필수반영 사항 누락, 수탁자 미공개 및 관리감독 미흡(제26조) ▲탈퇴회원 정보 미파기 및 분리보관 위반(제21조) ▲개인정보 수집 동의 시 필수고지사항 누락(제15조) 등을 이유로 과태료 부과 및 시정조치 명령을 받았다.

안행부가 발표한 행정처분 사례를 살펴보면, 제26조와 제29조를 함께 위반하는 경우가 많았다.

A산부인과의 경우 개인정보 처리 수탁자 관리감독 위반(26조)와 개인정보처리시스템 접근권한 차등부여 위반 및 비밀번호 송수신시 암호화 미적용(제29조)로 과태료 및 시정명령 처분을 받았다.

제26조에 따르면 개인정보 처리 위탁은 문서로해야 하며 위탁사실을 홈페이지 등을 통해 정보주체에게 공개하고 수탁자에 대한 관리감독을 철저히 해야 한다.

재화나 서비스의 홍보나 판매권유를 위탁하는 경우에는 정보주체에게 전화나 팩스, 서면 등의 방법으로 알려야 행정처분을 면할 수 있다.

29조 진료정보 관리도 신경써야 할 부분이다. 진료정보의 안전한 보관을 위해서 접근 통제, 접근 권한 제한, 암호화, 접속기록 보관, 보안프로그램 설치 등 안전성 확보를 위한 조치를 취해야 한다.

이 밖에 의료기관 대다수가 공통적으로 CCTV설치·운영과 온라인개인정보관리에서 어려움을 겪어 시정조치 개선권고가 떨어졌다.

CCTV는 제25조에 따라 공개된 장소에 임의로 설치, 운영해야 하며 안내판 미설치시 과태료 시정조치를 받게 된다.

온라인개인정보는 제15조, 제22조, 제23조, 제24조, 제29조, 제30조, 제31조에 따라 주의를 기울여야 한다.