개인정보보호. EndoTODAY 이준행

[개인정보보호]

2014년 11월 18일 대한내과학회에서 주최한 개인정보보호법 교육에 다녀왔습니다. "의료인이라면 반드시 알아야 할 최신 개인정보보호 법령 및 정책"이라는 제목으로 테크앤로 법률사무소 구태언 변호사께서 강의해 주셨습니다.

구태언 변호사는 인터넷과 사이버 법률문제를 주로 다루는 전문로펌을 경영하고 있으며, 소속변호사는 현재 11명입니다. 최근에는 정보보호, 개인정보보호 이슈를 포함한 기업들의 법률위험이 주된 업무분야라고 합니다. 한국경제에 여러명의 IT 전문 변호사가 소개되었는데 가장 앞에 등장하신 분입니다 (링크).

1. 서론

우리나라 개인정보보호 법제는 일반법(개인정보 보호법)과 특별법(정보통신망법, 신옹정보법)이 공존하는 상황이며, 개인정보보호와 관련된 법령은 지속적으로 강화되고 있습니다. 개인정보보호에 대한 CEO의 관심이 중요합니다. 개인정보가 유출된 카드 3사는 고액 소송이 진행되고 있습니다.

큰 병원이야 책임자가 따로 있고 대응이 되고 있겠지만, 개인병원의 개인정보보호가 원칙대로 진행되기는 쉽지 않아 보였습니다.

2. 개인정보 보호, 파기, 유출

보호조치를 취하지 않고 있다가 유출되면 크게 처벌받을 수 있음
1. 관리적 조치: 내부관리계획의 수립, 시행
2. 기술적 조치: 접근권한의 관리 (예를 들어 퇴직자가 즉시 삭제되었는지 등), 비밀번호 관리, 접근 통제 시스템 설치 및 운영, 개인정보 암호화, 접속 기록의 보관, 위변조 방지, 보안프로그램의 설치 및 운영
3. 물리적 조치: 잠금장치 설치 등 물리적 보관시설

개인정보파기의무 (정보통신망법 제29조) : 파기해야 할 정보를 가지고 있다는 것 자체가 매우 중요한 위법사항입니다. 법조항은 "지체없이 해당 개인정보를 복구, 재생할 수 없도록 파기해야 한다." 입니다.

제 26조 (개인정보의 유출) 개인정보의 유출이라 함은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것으로서, 다음 각 호의 어느 하나에 해당하는 경우를 말한다.
1. 개인 정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2.개인 정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이 문서, 기타 저장장치가 권한이 없는 자에게 잘못 전달된 경우
4. 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우

3. 주민등록번호 관련

2013년 8월 6일 개인정보보호법이 개정되면서 주인등록번호 처리가 원칙적으로 금지되었습니다 (시행일: 2014-8-7). 다음 사항의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없습니다.
1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우

현재 안행부의 공식 유권해석은 '예약단계에서 주민등록번호를 사용할 수 없다'입니다 (구태언 변호사는 허용해야 한다는 입장). 현재 허용하는 방향으로 긍정적으로 검토중이라고 합니다. 사실 병원이 주민등록번호를 가질 수 있다는 것은 일견 편리해 보이지만 큰 위험요인입니다.

4. 홈페이지 관련

병원이나 학회가 홈페이지를 운영하고 있다면 동시에 '개인정보보호법'과 '정보통신망법'의 적용을 받습니다.

홈페이지를 가지고 있는 경우에는
- 필수항목과 선택항목을 엄격히 구분
- 필수항목은 최소한으로 설정
- 선택항목은 개별 동의
- 필요한 시점에 수집, 이용 동의를 받아고, 사용 후 즉시 폐기