• 소식
  • 의원활동
  • 국감자료

의원활동

국민의 생각과 행복이 최우선인 국가정책, 국민의힘이 만들겠습니다.

[복지위 유일호] 허술한 개인정보 관리 : 가입자정보 수백만 건 보안장치 없이 외부제공
작성일 2008-10-20
(Untitle)

1. 허술한 개인정보 관리 : 가입자정보 수백만 건 보안장치 없이 외부제공
- 적법한 심의과정, 결재절차, 전달방식, 폐기요구문서 등 모두 무시
: 심의절차無視, 내부결재無視, 암호화처리無視, 폐기·반납요구문서無視

(1) ‘연구목적’이라면 가입자 개인정보를 허술하게 관리해도 되나?
- 개인 식별이 가능한 가입자 정보 수백만 건을 내부 심의와 결재 없이 손쉽게 유출이 가능한
상태로 외부 리서치회사 등에 제공

□ 국민건강보험공단(건강보험연구원)은 2006.1월부터 2007.12월까지 2년 동안 ‘건강보험환자
의 본인부담 진료비실태조사’, ‘건강보험제도 국민만족도조사’ 등 외부용역 연구를 수행하면
서 연구용역 조사업체인 현대리서치 등에게 가입자의 성명·전화번호·주소 등 개인을 식별할
수 있는 개인정보 자료를 최대 150만 건 가량 제공한 사실이 자체감사에서 밝혀짐

- 공공기관의 개인정보보호에 관한 법률에 따르면 통계작성 및 학술연구 등의 목적을 위해 개
인정보를 제공하는 경우라 하더라도 특정개인을 식별할 수 없는 형태로 제공하도록 규정(제10
조제3항제4호)하고 있으며

- 여기서 규정하는 개인정보라 함은 성명·주민등록번호 및 화상 등의 사항에 의하여 당해 개
인을 식별할 수 있는 정보를 말하며, 당해 정보만으로는 특정개인을 식별할 수 없더라도 다른
정보와 용이하게 종합하여 식별할 수 있는 것을 포함하고 있음

□ 국정감사를 위해 자체감사결과 보고서 사본을 요구해도 “자료가 방대하고 감사내용에 성명
등 개인을 식별할 수 있는 자료가 포함되어 있기 때문에 제출하지 못한다”고 주장하는 공단에
서 그 동안 이렇게 허술하게 개인정보를 관리해 왔다는 것은 심각한 도덕적 해이가 아닐 수 없


- 특히, 그 동안 건강보험공단에서 개인정보 열람 및 유출 사건이 빈번하게 발생해 온 이유가
바로 이러한 ‘허술한 개인정보 관리 시스템’에 기인한 측면이 있는 것으로 보임
(2) 개인정보를 제공하면서 내부 심의절차, 결재도 없이 제공

□ 연구(조사) 목적에 따라 대량의 개인정보를 외부에 제공할 때에는 공단개인정보제공심의위
원회 운영규칙 제2조 규정에 의하여 사전에 동위원회의 심의를 거쳐야 하지만 2년간 총 20회
에 걸쳐 개인정보를 제공하면서 심의를 거치지 않았으며

- 외부자료 제공시에는 보안관련 제 규정에 따라 제공처·제공자료의 종류·내용·제공방법 등에
대한 결재를 하여 제공한 근거를 남겨야 하지만 총 20회중 16회의 경우 내부결재도 받지 않고
협력서(협약서, 양해각서) 등을 근거로 자료를 제공하여 제공 자료의 내용, 크기 및 제공방법
을 알 수 없도록 하였음


(3) 손쉽게 유출이 가능한 방식으로 제공(이동식저장장치, 외부E-mail 등)

□ 외부자료 제공시에는 우연히 발생할 수 있는 유출에 대한 보안수단으로 제공 자료는 암호
화 배포 툴(tool)을 이용하여 비밀번호 설정, 사용횟수, 사용기간을 정하여 제공하여야 함에도
불구하고 2년간 제공한 20건 전체에 대해서 파일에 대한 암호화처리를 하지 않고 외부에 전달

- 특히, 20건 중 14건은 이동식 저장장치에 저장하여 보안이 어려운 인편으로 제공하거나 외
부E-mail을 통해 전달한 것으로 밝혀짐

- 사용목적이 완료된 개인정보에 대해서 폐기확인서를 징구하고는 있으나, 문서를 시행하지
않고 단순히 구두 또는 유선으로 요구하는 등 사후관리까지 허술하게 진행됨

(4) 건강보험공단은 사실과 다른 설명 자료를 배포하여 손바닥으로 하늘을 가리려 하지 말고
허술한 개인정보 제공과정에서 가입자 정보에 대한 자료유출이 있었는지 여부에 대한 철저히
검증부터 실시하라!

□ 건보공단은 설명 자료를 통해 외부로 제공된 개인정보는 성명과 전화번호뿐이라고 내용을
축소하려고 시도함

- 그러나 자체 감사에서도 “내부결재 없이 협력서 등을 근거로 자료를 제공하여 제공 자료의
내용, 크기 및 제공방법을 정확하게 알 수 없고, 또한 자료를 제공하면서 암호화 처리를 하지
않고 제공”하였다고 문제의 심각성을 지적한 바 있고

- 건보공단에서 작성한 자료에 따르면 외부로 제공된 정보는 ‘건강보험료 부과관련 자격, 부
과, 급여자료’, ‘건강보험료 부과자료, 체납 세대자료’ 등 다양한 가입자정보가 포함된 개인정
보 자료임이 확인됨

 

보도자료(20081020)-국정감사 국민건강보험공단(유일호의원실).hwp
TOP