개인정보보호법 위반업체 공개 확대 원칙의 첫 사례로 행정자치부가 미래의료재단에 대한 행정처분 결과를 18일 공표했다.

행정처분 결과 공표제도는 개인정보보호법 위반의 유사사례 발생을 막기 위해 지난 2011년 도입된 제도다.

도입 당시 기준이 너무 엄격하다는 지적에 따라 작년 초 발생한 카드사 개인정보 유출사고를 계기로 공표 대상기준이 대폭 완화돼 미래의료재단이 첫 적용 사례가 됐다.

미래의료재단은 건강검진을 전문으로 하는 의료기관으로 홈페이지에서 건강검진결과 등이 일부 노출돼 행자부의 점검을 받았다.

그 결과 안전성 확보 조치 등 4건의 개인정보보호법 위반에 따른 1600만원의 과태료를 부과 받아 이번에 공표됐다.

미래의료재단은 외부에서 관리자페이지 접속 시 가상사설망(VPN) 또는 전용선 등 안전한 접속수단을 적용하지 않았고 회원가입 시 안전하지 않는 비밀번호 생성규칙을 적용했다. 또한 접근권한 변경이력을 3년간 보관하지 않는 등 위반 사항이 확인됐다.

홈페이지 회원 가입 시 ‘동의 거부권 및 불이익 사항’을 누락 고지했고 개인정보의 처리업무를 위탁하는 경우 안전조치, 재위탁 제한, 관리감독 등 3개 항목을 위탁문서에서 누락하는 등 개인정보보호법 위반사항이 적발됐다.

행자부는 향후 적극적으로 공표제도를 활용할 계획이며 현재 행정처분 절차가 진행 중인 위반업체 중 최소 5개 업체가 올해 하반기에 추가로 공표될 예정이다.

김윤태 기자 다른기사 보기