김영신 medicalkorea1@daum.net
대한적십자가 지난해 외부민간기관에 헌혈자 정보가 담긴 정보를 무단으로 전달했다는 주장이 제기됐다.
대한적십자사에서 국회 보건복지위원회 최혜영(더불어민주당)의원에게 제출한 자료에 따르면, 지난 2020년 9월 대한적십자사 혈액관리본부 소속 A직원은 민간기관과 다자 업무협약을 추진하던 중 헌혈자의 정보가 담긴 헌혈 정보 약 176만 건을 ‘MOU 체결의 당위성 설명을 위한 시연회’사용 목적으로 외부민간기관(카이스트)에 허가 없이 임의 제공한 것으로 나타났다.
(참고)헌혈자 정보 무단 제공 관련 징계의결서
◆헌혈증진방안 연구 목적 제공…총 9종의 정보 포함
이 자료는 SKT와 카이스트의 제안으로 헌혈자의 행동패턴을 분석, 헌혈증진방안을 연구할 목적으로 제공됐다.
이 자료에는 헌혈장소, 성별, 직업군, 헌혈종류, 나이, 헌혈구분, 혈액형, 헌혈종료시간, 기념품 수령 내역 등 총 9종의 정보가 포함되어 있는 것으로 확인됐다.
이번 사건과 관련한 법 위반여부 검토 결과에 따르면 “해당 외부유출자료는 개인정보보호법상 개인정보 중 가명정보에 해당할 가능성이 높다”는 답변과 함께 “가명정보 역시 ‘개인정보’에 해당한다”는 답변을 받은 것으로 드러났다.
또 통신사인 SKT가 자체적으로 보유, 수집, 처리 또는 접근할 수 있는 정보가 해당 유출자료와 결합해 개인을 식별할 수 있는 내용이라면 해당 자료는 개인정보에 해당할 가능성이 있다고 가능성을 열어두었다.
(참고) 외부유출 자료 개인정보 해당 여부 관련 법률자문답변서
◆추가 유출 발생에도 가담 직원 솜방망이 처분
외부민간기관에 자료를 제공할 당시는 협약이나 용역사업추진을 위한 내부결재도 선행되지도 않았던 시기인 것으로 확인됐는데 현재까지도 해당 기관과 실질적인 협약이나 용역계약은 체결되지 않고 있는 것으로 나타났다.
문제는 외부기관으로 무단 반출된 이후 제3의 기관으로 가공 자료가 전송되는 등 추가 유출이 발생했음에도 대한적십자사에서는 사건에 가담한 두 직원에 대해 절차상의 문제로 ‘감봉 3개월’, ‘견책’의 솜방망이 처분을 내렸다.
해당자는 ‘이름’, ‘주민번호’ 등 개인을 특정할 수 있는 정보가 없어 단순 자료라는점 때문에 반출된 사실에 큰 문제가 없다는 입장을 보이고 있는 것으로 나타났다는 지적이다.
◆대한적십자사 정보보안 평가 관리 미비점 확인
더 큰 문제는 해당 사건이 수면 위로 떠오른 것이 익명의 제보자가 대한적십자사 헬프라인을 통해 2차례에 걸쳐 신고접수를 하여 비로소 점검 절차를 밟게 된 것으로 확인됐다.
현재 대한적십자는 개인정보 보호법 및 대한적십자사 지침에 따라 매년 기관의 개인정보 관리실태 및 개인정보 보호활동 등을 점검하고 있다. 혈액관리본부는 지난 2020년 점검에서 5개 부문 중 3개 부문에서 100점을 받았던 것으로 드러났다.
이 중에는 제3자 제공 절차에 평가항목이 포함된 ‘보호대책 부문’에서도 ‘만점’을 받은 것으로 확인돼 대한적십자사 정보보안 평가 관리에 대한 미비점이 확인됐다는 것이다.
(표)2020년 대한적십자사 혈액관리본부 개인정보보호 실태점검 결과
이에 최혜영 의원은 “헌혈자의 혈액정보는 상당히 민감한 정보로써 지침에 따라 엄격히 관리되어야 함에도 176만 건이 아무런 근거나 형식적 절차 없이 제공된 것은 대한적십자의 안일한 개인정보 관리 인식을 보여주는 사례이다. 헌혈자 및 혈액정보관리에 허점이 생기지 않도록 직원 기강은 물론 실태점검을 통해 대책을 마련할 필요성이 있다”고 지적했다.
[메디컬월드뉴스 김영신 기자]
- TAG