개인정보보호위원회가 환자 정보를 유출한 17개 병원에 대해 과태료를 부과했지만 담당 부처인 보건복지부는 이를 몰랐던 것으로 드러났다.
개인정보위는 지난 7월 보도자료를 통해 개인정보보호 법규를 위반한 17개 병원 중 16개 병원에 대해 6,840만원의 과태료를 부과하고, 17개 전체 종합병원의 개인정보 처리실태에 대한 개선을 권고했다고 밝혔다.
개인정보위에 따르면 2018년 4월부터 2020년 1월까지 17개 병원에서 총 18만 5,271명의 환자정보가 유출됐다. 유출 경로는 ▲병원 직원 또는 제약사 직원이 병원 시스템에서 해당 제약사 제품을 처방받은 환자정보를 촬영·다운로드한 후 전자우편, 보조저장매체(USB) 등을 통해 외부 반출 ▲제약사 직원이 불법적으로 시스템에 직접 접근해 환자정보를 입수하는 등이었다.
환자 정보 유출이 가장 많은 세브란스의 경우 내부 직원인 5만 7,912명의 환자 정보를 제약사 직원에게 이메일로 보냈으며, 과태로 72만원이 부과됐다. 유출 환자정보 1명 당 124원꼴이다.
하지만 이러한 사건은 보건복지부에 통보되지 못한 것으로 나타났다. 최 의원이 보건복지부로부터 제출받은 자료에 따르면 보건복지부는 개인정보보호위원회로부터 처분 대상 의료기관에 대한 자료를 별도로 통보받지는 못한 상태였다.
결과적으로 환자 정보 유출로 과태로까지 부과된 사건을 통보받지 못해 의료법 위반 여부 검토조차 못한 것이다.
이에 대해 최혜영 의원은 "18만 명이 넘는 환자 정보 유출과 개인정보위의 과태료 부과 사실을 보건복지부가 모르고 있었던 것은 윤석열 정부의 불통이 얼마나 심각한지 보여주는 단적인 사례"라고 지적했다.
최 의원은 또 "환자 정보 1인당 100원 수준에 불과한 과태료로는 환자정보 유출을 예방할 수 없으며, 앞으로는 환자 정보뿐 아니라 수술실 CCTV 영상과 같은 더 심각한 정보 유출 문제가 발생할 수 있는 만큼 의료법 위반에 따른 엄중한 조치가 취해져야 할 것"이라고 강조했다.