미래의료재단, 고지사항 위반… 행자부 홈피에 위법사실 공표

서울 강남구 삼성동 미래의료재단㈜은 환자 개인정보를 수집하면서 고지 사항을 위반했다. 동의 거부권 및 불이익 가능성을 알려야 하는데 지키지 않았다. 개인정보 안전성 확보라는 의무도 어겼다. 개인정보보호위원회로부터 접근 통제 및 접근권·접속기록 관리가 미흡하다는 판정을 받았다. 2건에 대해 600만원씩 과태료가 부과됐다. 이뿐만 아니라 개인정보 처리 위탁에 따른 필수 문서 일부를 누락하고 수탁자 일부를 공개하지 않았다는 게 드러나 200만원씩 과태료를 물어야 했다.

이런 위반 사항이 19일부터 행정자치부 홈페이지(www.mogaha.go.kr)에 공표돼 국민에게 알려진다. 행자부가 지난해 7월 발표한 개인정보보호 정상화 종합대책의 하나로 행정처분 결과 공표제도를 대폭 강화함에 따라 처음으로 위반 사실을 공개한다. 과태료 1600만원에다 처분 사실까지 공개해 보다 엄중한 소비자의 심판을 받도록 한다는 것이다.

행정처분 결과 공표제도는 이전에도 있었다. 하지만 공표 사례는 없었다. 기준 자체가 지나치게 엄격했기 때문이다. 행정처분을 내리고 외부에 공개도 하면 ‘이중 처벌’이라는 유권해석도 있어 당국이 공개를 꺼리기도 했다. 이 때문에 기업들은 보안 사고 때 수습하는 것보다 외부로 알려지는 것에 더 신경을 쓰기 일쑤였다. 보안 사고로 고객 정보가 유출되거나 시스템이 공격을 받는 일보다 사고가 발생했다는 사실 자체만으로 기업 이미지에 큰 타격을 입기 때문이다.

더구나 정보 유출이나 보안 사고에 대한 행정처분이 기업에 그다지 타격을 주지 못하는 ‘솜방망이’ 수준에 그치고 보안 투자를 늘리거나 정보보호를 강화하려는 해당 기업의 노력은 여전히 미약해 행정처분만으로 규제 효력을 발휘하지 못한다는 지적을 줄곧 받았다.

이에 따라 정부는 행정처분 결과 공표제도를 기존 제도에 비해 대폭 강화했다. 예전에는 처분 사실 3개 항목 중 2개 항목 이상 동시에 해당할 경우 공표했지만 기준 자체를 7개 항목으로 세분화하고 1개라도 해당하면 제재하도록 했다.

송한수 기자 onekor@seoul.co.kr