[성명] 환자단체는‘4399만 명 47억 건의 환자 개인정보 및 진료·처방 등의 질병정보 불법 수집 및 매매, 해외유출 사태’에 대해 심히 유감을 표하며 정부의 신속한 재발방지 대책 마련을 촉구한다.
개인정보범죄 정부합동수사단(이하, 합동수사반)은 23일 환자 개인정보 및 진료·처방 등 질병정보를
병원과 약국으로부터 불법 수집해 판매한 ‘지누스사’(병원 보험청구 심사 프로그램 회사), ‘약학정보원’(약국 경영관리 프로그램 지원 재단법인),
‘IMS헬스코리아’(다국적 의료통계회사), ‘SK텔레콤’(국내 이동통신사) 네 곳(이하, 네 곳의 외주 전산업체)의 관계자 24명을 기소했다고
발표했다.
검찰
발표에 따르면 네 곳의 외주 전산업체는 우리나라 국민 88%에 해당하는 약 4,400만 명의 약 47억 건에 달하는 환자 개인정보 및 질병정보를
병원과 약국으로부터 불법으로 수집해 판매함으로써 122억 3천만원의 이익을 챙겼다는 것이다.
‘지누스사’와 ‘약학정보원’이 병원과 약국에서 불법으로 수집한 환자 개인정보 및 질병정보를 19억 3천만 원에 구입한 다국적 정보통계회사 ‘IMS헬스코리아’는 우리나라 4399만 명의 환자 개인정보 및 질병정보를 미국 본사에 보냈다. 미국 본사에서는 이 정보를 병원별·지역별·연령별로 특정약의 사용현황 통계를 만들어 특정약을 판매하는 국내 제약회사에 70억 원을 받고 팔았고 해당 제약회사는 이 정보를 특정약의 마케팅에 활용했다. 또한 SK텔레콤은 전자처방전 사업을 통해 2만3천여개의 병원으로부터 전송받은 처방전 7천8백만 건을 가맹점 약국에 건당 50원을 받고 판매해 36억 원의 불법 수익을 올렸다.
네 곳의 외주 전산업체는 환자 개인정보 및 질병정보는 모두 암호화 되어 있어서 유출 염려는 없다고 변명하고 있으나 암호화 수준이 초보적이고 암호해독 프로그램까지 개발한 이상 언제든지 외부 유출이 가능하고 실제 국내 제약회사에 고액의 비용을 받고 판매까지 되었다.
검찰이 23일 “외주 전산업체의 의료기관·환자 개인정보 불법 처리사건” 관련 발표를 하자 보건복지부도 발 빠르게 재발방지 대책들을 내어 놓았다. 네 곳의 외주 전산업체에 대해 긴급 특별점검을 실시해 불법 수집된 환자 개인정보 및 질병정보의 파기여부를 확인하고 건강보험 청구 관련 소프트웨어 관리·감독 및 병원·약국의 개인정보 관리를 강화하겠다고 발표했다. 하지만 소 잃고 외양간 고치는 격이다. 병원·약국의 전산시스템을 개발하고 유지·보수하는 외주 전산업체들이 환자 개인정보 및 질병정보를 영리목적으로 유출할 가능성에 대해서는 오래전부터 문제제기가 되어 왔었다.
네 곳의 외주 전산업체는 환자 개인정보 및 질병정보를 수집하고 판매하는 과정에서 해당 환자나 병원 및 약국에게 일체의 설명이나 동의 절차가 없었다. 이번 ‘합동수사반’의 발표가 없었다면 피해자에 해당하는 환자, 병원, 약국 어느 누구도 네 곳의 외주 전산업체가 환자 개인정보 및 질병정보를 몰래 빼돌려 돈벌이용으로 매매하고 있다는 사실을 몰랐을 것이다.
이번에 불법 매매된 환자 개인정보 및 질병정보에는 환자의 이름, 주민등록번호 등의 개인정보뿐만 아니라 병명, 약품명, 투약 내역 등의 질병·처방 정보까지 포함되어 있다. 환자의 개인정보 및 진료·처방 등의 질병정보는 제약회사의 마케팅에 활용될 뿐 만 아니라 보험회사가 보험금 지급 거절사유를 찾는데도 유용하다. 건강식품 판매업체는 이전에 유출된 개인정보(이름, 주민등록번호, 휴대폰번호 등)와 이번에 네 곳의 외주 전산업체를 통해 유출된 개인정보 및 진료·처방 등의 질병정보를 결합시키면 해당 질환 환자를 대상으로 공격적인 판촉활동도 할 수 있고, 보이스피싱 피해로도 이어질 우려가 있다.
더 큰 문제는 다국적 정보통계회사 ‘IMS헬스코리아’를 통해
미국 본사에 보내진 우리나라 국민 4399만명의 개인정보 및 진료·처방 등의 질병정보다. 우리나라 국민 90% 개인정보와 질병정보가 국외로
빼돌려져 누구든지 돈만 주면 구입할 수 있는 상품이 되어 있는 것이다. 네 곳의 외주 전산업체는 환자의 개인정보 및 진료·처방 등의 질병정보는
모두 암호화되어 안전하게 보호되고 있다고 주장하고 있지만 ‘암호해독 프로그램’이 존재하는 이상 더 이상 안전하지 않은
정보이다.
국민들은 지난 2달 동안 ‘중동호흡기증후군 메르스 사태’로 우리나라 국가방역체계의 부끄러운 민낯을 목격했다. 이번 대규모 ‘환자 개인정보 및 질병정보 유출사태’는 우리나라 개인정보 보호체계의 허점을 적나라하게 드러낸 시청각적 사건으로 기록될 것이다.
정부는 네 곳의 외주 전산업체가 보유하고 있는 불법 수집 환자 개인정보 및 질병정보를 신속하고 확실하게 파기해야 하고 병원·약국의 개인정보 및 질병정보 관리를 강화해야 한다. ‘IMS헬스코리아’ 본사가 보유중인 우리나라 국민 4399만 명의 개인정보 및 질병정보도 정부가 외교력을 총 동원해 신속하게 삭제해야 한다.
특히 정부는 건강보험 청구 관련 소프트웨어(S/W) 개발·배포·유지보수 등을 하면서 병원·약국의 환자 개인정보 및 진료·처방 등의 질병정보를 관리하는 외주 전산업체에 대한 관리감독을 대폭 강화해야 한다. 이와 함께 검찰은 네 곳의 외주 전산업체를 일벌백계(一罰百戒)로 엄벌해 다른 외주 전산업체들이 환자 개인정보 및 질병정보를 불법 수집하거나 판매할 생각을 다시는 하지 못하도록 해야 할 것이다.
이를 위해 국회에서는 정부의 병원·약국 관련 외주 전산업체에 대한 관리감독을 강화하고 환자 개인정보 및 질병정보를 불법으로 수집하거나 판매하는 행위에 대해 징벌적 과징금을 부과할 수 있는 관련 법 제정이나 개정도 해야 한다.
우리 환자단체는 사상 초유의 4399만 명 47억 건의 환자 개인정보 및 진료·처방 등의 질병정보 불법 수집 및 매매 그리고 해외유출 사태가 발생한 것에 대해 심히 유감을 표하고 정부와 국회의 신속한 재발방지대책 마련을 촉구한다.
2015년 7월 24일
한국환자단체연합회
(한국백혈병환우회, 한국신장암환우회, 한국GIST환우회, 한국선천성심장병환우회,
(한국백혈병환우회, 한국신장암환우회, 한국GIST환우회, 한국선천성심장병환우회,
한국다발성골수종환우회, 암시민연대,
한국HIV/AIDS감염인연합회 KNP+)
