굿닥, 닥터나우, 메라키플레이스, 메라키플레이스, 블루앤트, 비브로스 등
플랫폼에 의료정보 저장, 진료정보 활용한 맞춤형 광고 없어...접근통제·암호화 등 안전조치 미흡
[보안뉴스 김영명 기자] 개인정보보보호위원회(위원장 고학수, 이하 개인정보위)가 비대면 진료 플랫폼에 대한 조사 결과를 발표했다. 이번 조사는 지난해 10월, 비대면 진료 플랫폼들에 대한 국회 지적 및 언론보도에 따라 이뤄진 것이며, 이달 10일 전체회의에서 심의·의결했다. 조사 대상은 비대면 진료 플랫폼 월간 사용자 수(Monthly Active Users, MAU) 상위 5개 제공사업자(이하 ‘사업자’)인 △굿닥(굿닥) △닥터나우(닥터나우) △메라키플레이스(나만의닥터) △블루앤트(올라케어) △비브로스(똑닥) 등이다.
[이미지=gettyimagesbank]
조사 결과, 이용자의 진료 내용 등 의료정보는 병원(의사)이 별도의 전자의무기록시스템(Electronic Medical Record, EMR)에 입력할 뿐, 비대면 진료 플랫폼에는 수집·저장되지 않고 있었으며, 진료 내용을 활용한 맞춤형 광고 등을 제공하는 사업자도 없었다.
다만, 이들은 이용자의 개인정보 처리에 대해 개인정보처리방침 전문으로 일괄 동의를 받거나, 개인정보처리시스템에 대한 접근통제, 접속기록 보관, 암호화 등의 안전조치를 미흡하게 적용하고 있었다. 또한, 일부 사업자는 의사 또는 약사의 면허증 등을 수집·저장하는 과정에서 주민등록번호에 대한 가림처리(마스킹) 소홀 등의 보호법 위반사항이 확인됐다.
구체적인 위반내용을 살펴보면, 일부 사업자들은 회원가입 시 이용자로부터 개인정보 수집·이용 또는 제공, 민감정보 및 고유식별정보 처리 등을 포괄적으로 기재한 개인정보처리방침에 대해 일괄 동의를 받았다. 이는 정보주체가 신중한 의사결정을 할 수 있도록 통상의 동의와 구분해 별도 동의를 받도록 규정한 개인정보 보호법(법률 제16930호, 이하 ‘보호법’) 제22조제1항 위반에 해당한다.
또한, 일부 사업자는 개인정보처리시스템에 대한 접근통제(접근권한 부여·변경·말소 내역 보관, 안전한 인증수단, 비밀번호 작성규칙, 최대 접속시간 제한 등)를 소홀히 했으며, 접속기록을 보관하지 않거나 주민등록번호 및 계좌번호 등을 암호화하지 않았다. 이는 개인정보의 안전성 확보를 위한 기술적·관리적 및 물리적 조치를 취하도록 규정한 보호법 제29조 위반에 해당한다.
▲사업자별 시정조치(안) 내용[자료=개인정보위]
한편, 일부 사업자는 의·약사의 자격 확인을 위해 면허증 등을 수집·저장하며 가림처리(마스킹) 등 없이 주민등록번호를 처리한 사실이 확인됐다. 이는 주민등록번호 처리 관련 보호법 제24조의2제1항을 위반한 것이다. 이에 따라, 개인정보위는 보호법 위반사항에 대해 사업자들에게 3,660만원의 과태료 부과와 함께 시정조치를 명하고 그 이행결과를 제출하도록 했다.
또한, 플랫폼이 처방전을 약국으로 전송한 후에는 주민등록번호를 가림처리(마스킹)하고, 유효기간이 경과한 처방전은 즉시 파기하는 등의 내용을 담은 개선권고를 함께 의결했다.
개인정보위 남석 조사조정국장은 “이번 조사와 처분을 통해 비대면 진료 플랫폼의 개인정보 처리 현황이 보다 투명하게 확인되고, 미흡사항에 대해서는 개선이 이루어져 국민들이 더욱 안심하고 비대면 진료 서비스를 이용할 수 있게 될 것을 기대한다”며, “개인정보위는 비대면 진료 플랫폼에서 이용자의 개인정보가 더욱 안전하게 보호될 수 있도록 업계·보건복지부와 함께 계속 노력해 나갈 계획이다”라고 밝혔다.
[김영명 기자(boan@boannews.com)]
플랫폼에 의료정보 저장, 진료정보 활용한 맞춤형 광고 없어...접근통제·암호화 등 안전조치 미흡
[보안뉴스 김영명 기자] 개인정보보보호위원회(위원장 고학수, 이하 개인정보위)가 비대면 진료 플랫폼에 대한 조사 결과를 발표했다. 이번 조사는 지난해 10월, 비대면 진료 플랫폼들에 대한 국회 지적 및 언론보도에 따라 이뤄진 것이며, 이달 10일 전체회의에서 심의·의결했다. 조사 대상은 비대면 진료 플랫폼 월간 사용자 수(Monthly Active Users, MAU) 상위 5개 제공사업자(이하 ‘사업자’)인 △굿닥(굿닥) △닥터나우(닥터나우) △메라키플레이스(나만의닥터) △블루앤트(올라케어) △비브로스(똑닥) 등이다.
[이미지=gettyimagesbank]
조사 결과, 이용자의 진료 내용 등 의료정보는 병원(의사)이 별도의 전자의무기록시스템(Electronic Medical Record, EMR)에 입력할 뿐, 비대면 진료 플랫폼에는 수집·저장되지 않고 있었으며, 진료 내용을 활용한 맞춤형 광고 등을 제공하는 사업자도 없었다.
다만, 이들은 이용자의 개인정보 처리에 대해 개인정보처리방침 전문으로 일괄 동의를 받거나, 개인정보처리시스템에 대한 접근통제, 접속기록 보관, 암호화 등의 안전조치를 미흡하게 적용하고 있었다. 또한, 일부 사업자는 의사 또는 약사의 면허증 등을 수집·저장하는 과정에서 주민등록번호에 대한 가림처리(마스킹) 소홀 등의 보호법 위반사항이 확인됐다.
구체적인 위반내용을 살펴보면, 일부 사업자들은 회원가입 시 이용자로부터 개인정보 수집·이용 또는 제공, 민감정보 및 고유식별정보 처리 등을 포괄적으로 기재한 개인정보처리방침에 대해 일괄 동의를 받았다. 이는 정보주체가 신중한 의사결정을 할 수 있도록 통상의 동의와 구분해 별도 동의를 받도록 규정한 개인정보 보호법(법률 제16930호, 이하 ‘보호법’) 제22조제1항 위반에 해당한다.
또한, 일부 사업자는 개인정보처리시스템에 대한 접근통제(접근권한 부여·변경·말소 내역 보관, 안전한 인증수단, 비밀번호 작성규칙, 최대 접속시간 제한 등)를 소홀히 했으며, 접속기록을 보관하지 않거나 주민등록번호 및 계좌번호 등을 암호화하지 않았다. 이는 개인정보의 안전성 확보를 위한 기술적·관리적 및 물리적 조치를 취하도록 규정한 보호법 제29조 위반에 해당한다.
▲사업자별 시정조치(안) 내용[자료=개인정보위]
한편, 일부 사업자는 의·약사의 자격 확인을 위해 면허증 등을 수집·저장하며 가림처리(마스킹) 등 없이 주민등록번호를 처리한 사실이 확인됐다. 이는 주민등록번호 처리 관련 보호법 제24조의2제1항을 위반한 것이다. 이에 따라, 개인정보위는 보호법 위반사항에 대해 사업자들에게 3,660만원의 과태료 부과와 함께 시정조치를 명하고 그 이행결과를 제출하도록 했다.
또한, 플랫폼이 처방전을 약국으로 전송한 후에는 주민등록번호를 가림처리(마스킹)하고, 유효기간이 경과한 처방전은 즉시 파기하는 등의 내용을 담은 개선권고를 함께 의결했다.
개인정보위 남석 조사조정국장은 “이번 조사와 처분을 통해 비대면 진료 플랫폼의 개인정보 처리 현황이 보다 투명하게 확인되고, 미흡사항에 대해서는 개선이 이루어져 국민들이 더욱 안심하고 비대면 진료 서비스를 이용할 수 있게 될 것을 기대한다”며, “개인정보위는 비대면 진료 플랫폼에서 이용자의 개인정보가 더욱 안전하게 보호될 수 있도록 업계·보건복지부와 함께 계속 노력해 나갈 계획이다”라고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
