사회 > 사회일반

'당신의 개인정보 안전한가'…금연클리닉 개인정보 유출 '논란'

등록 2015-01-11 05:00:00 최종수정 2016-12-28 14:25:04

정부부처, 어떤 정보 파악조차도 안 돼 "동의해도 사전 고지 없이 위탁하면 위법"

【서울=뉴시스】이승주 기자 = 2015년 새해를 맞아 금연 희망 인구가 급증하고 있는 가운데 보건소 금연클리닉에 등록한 개인정보가 공공연히 외부로 넘겨진 것으로 확인돼 논란이 예상된다.

보건당국은 그러나 유출된 개인정보 중 어떤 것들이 사기업 등 외부로 넘어갔는지 정확한 실태파악조차 못하고 있어 피해 당사자들로부터 원성을 사고 있는 실정이다.

10년 째 담배를 피워온 직장인 최모(36)씨는 지난해 서울에 있는 한 보건소의 금연 클리닉에 신청했다가 최근 황당한 전화를 받았다. 전혀 모르는 사람으로부터 걸려온 수화기 너머에서는 자신의 개인정보와 흡연사실을 알고 있었고 좌담회에 참석해 줄 것을 요청했다. 내가 모르는 누군가 나에 대해 알고 있다는 찜찜한 기분을 지울 수가 없었다.

프리랜서 A(30·여)씨는 지난해 12월 한 리서치회사에서 좌담회에 참석하라는 연락을 받았다. A씨는 리서치회사에서 자신의 성별, 전화번호, 여자에게 민감한 흡연사실과 나이는 물론 심지어 보건소 금연클리닉에 다녔던 이력까지 꿰고 있어 깜짝 놀랐다. A씨는 그제야 2년 전 서울의 한 보건소 금연클리닉에 다녔던 사실을 기억해냈다. A씨는 곧바로 보건소에 기록한 질병과 같은 건강정보와 체중이나 신장 등의 신체정보가 유출되지는 않았는지 걱정이 되기 시작했다.

◇'개인정보 동의' 정보 넘겨도 괜찮나?

전국 보건소 금연클리닉에 접수된 개인정보는 보건복지부 금연클리닉 정보시스템에 저장된다. 원칙상 개인정보보호 동의서에 동의한 사람들에 한해 정보는 3년 동안 시스템에 보관된다.

이 시스템에 저장된 개인정보는 인증된 사람만이 열람할 수 있다. 보건소 금연클리닉 상담자와 한국건강증진개발원 선임연구원, 정보시스템 담당자만이 그 권한을 갖는다. 단 금연 상담과 금연 프로그램 운영관리 등을 위한 목적일 때만 가능하다.

현재 한국건강증진개발원(개발원)은 보건복지부의 금연클리닉 업무를 맡고 있다. 개발원은 보건복지부 산하 특수법인으로 그동안 금연클리닉 참가자를 대상으로 좌담회나 설문조사 및 통계 등을 실시했다.

그동안 개발원은 금연클리닉을 위해 리서치회사에 조사를 의뢰해왔다. 그 과정에서 클리닉 참가자의 소중한 개인정보가 보건소와 보건복지부에서 한국건강증진개발원으로, 다시 리서치회사로 흘러갔다.

보건복지부가 금연클리닉에서 받는 개인정보활용 동의서 양식에는 '금연클리닉 서비스의 효과 측정 및 서비스 개선의 만족도 조사를 위해 개인정보를 수집 이용할 수 있다'고 명시돼있다. 하지만 이를 사기업에 위탁할 수 있다는 구체적인 내용은 빠져있다.

그동안 개인정보활용에 동의한 클리닉 참가자의 정보가 포괄적인 정보 활용만을 담은 동의서에 동의했다는 명목으로 공공연히 사기업으로 이동한 셈이다.

◇"리서치회사 활용에는 동의한 것 아냐"

이에 금연클리닉에 다닌 적 있는 흡연자들은 황당하다는 반응이다. B(29·여)씨는 "결혼하는 데 지장이 있을까봐 흡연사실을 주변에 알리는 것을 꺼렸다"며 "사전에 개인정보가 사기업으로 넘어갈 수 있다고 고지 받았다면 금연클리닉에 등록하지 않았을 것"이라며 늦은 후회를 했다.

또 다른 금연클리닉 이용자 김모(28)씨는 "개인정보 활용에 동의하면 보건복지부에서만 활용되는 줄 알았다"며 "사기업으로 개인정보가 넘어갔다는 사실을 알고 나니 개인정보가 보이스피싱 등의 범죄에 악용될까 걱정이 앞섰다"며 우려를 표했다.

하지만 보건복지부는 전혀 문제되지 않는다는 반응이다.

보건복지부 관계자는 "리서치회사에 조사를 위탁할 때 개인정보활용에 동의한 사람들의 정보만 넘겨줬다"며 "이는 개인정보 유출이 아닌 동의에 따른 합법"이라 주장했다.

또 다른 관계자는 리서치회사에 넘어간 정보에는 이름이 빠져 개인정보가 아니라고 강조했다.

보건소 금연클리닉을 담당하는 공무원인 B씨는 "나이, 성별, 전화번호, 흡연유무, 금연클리닉에 다닌 기록만 넘겼을 뿐 이름은 넘기지 않았으니 이는 개인정보가 아니다"라며 "그렇기에 개인정보를 사기업에 넘기는 것에 대해 미리 고지할 필요가 없다"고 반박했다.

개인정보란 '개인에 관한 정보 가운데 직간접적으로 각 개인을 식별할 수 있는 정보'로, 성명이나 주민등록번호, 영상 등을 통해 개인을 알아 볼 수 있는 정보를 뜻한다.

즉, 보건복지부 관계자에 따르면 이름만 확인되지 않으면 다른 정보는 개인정보에 해당하지 않는다는 것이다.

◇위탁 시 "그 내용을 알려줘야 할 의무까지 있다"

보건복지부의 이런 안이한 태도에 전문가들은 우려를 나타내고 있다. 안전행정부 산하기관인 개인정보보호분쟁위원회(개인정보분쟁위)에서는 외부 기관에 사전 동의 없이 정보를 넘겨 위탁한 점과 이를 홈페이지 등에 고지하지 않은 것은 개인정보보호법 위법이라 강조한다.

법학박사인 최경환 개인정보분쟁위 안전정책팀 선임연구원은 "개인정보보호법 제26조에 따라 개인정보를 위탁하면 누구에게 위탁하며 처리하는 업무는 무엇인지 그 내용을 충분히 알려줘야 할 의무가 있다"며 "이를 위반하면 개인정보보호법 제26조 제2항에 따라 1000만원 이하의 과태료가 부과된다"고 말했다.

이어 "보건소가 진료목적으로 수집한 금연정보는 건강과 관련된 민감한 정보다. 특히 민감 정보의 경우 이것이 어디에 어떻게 이용되는지 명확히 알 수 있도록 개인정보처리방침에 담아 홈페이지 등에 공개해야 한다"며 "이를 지키지 않아도 위법"이라고 말했다. 확인 결과 홈페이지 어디에서도 위와 같은 공지를 찾을 수 없었다.

또한 최 선임연구원은 "이름을 넘겼든 넘기지 않았든, 금연클리닉에 다녔다는 사실과 전화번호, 성별, 나이만으로도 개인이 특정되기 때문에 이 또한 개인정보이자 민감 정보"라고 반박했다.

최근까지 대통령직속 개인정보보호위원회 위원으로 활동했던 임종인 고려대 정보보호대학원 원장도 보건복지부의 관리 허술함을 꼬집었다.

임 원장은 "이런 건강관련 민감 정보의 경우 사기업에 정보를 넘기기 전 참가자 전원에게 메일이나 문자를 보내 리서치회사에 정보를 넘기는 데 동의하는지 한 번 더 확인했어야 했다"고 말했다.

이어 "리서치회사에서 참가자에게 전화와 문자로 좌담회 참석 여부를 사전에 확인했으니 괜찮다"는 보건복지부의 해명에 대해 "이미 정보가 사기업으로 넘어간 뒤에, 사기업에서 정보 활용에 동의하냐고 물었으니 괜찮다는 게 말이 되느냐"고 반문했다.

[email protected]

맨위로

이메일 보내기
* 받는 사람
메세지

이메일 보내기

* 받는 사람

메세지

이메일 보내기
* 보내는 사람
보내는 내용	'당신의 개인정보 안전한가'…금연클리닉 개인정보 유출 '논란' 정부부처, 어떤 정보 파악조차도 안 돼 "동의해도 사전 고지 없이 위탁하면 위법" 【서울=뉴시스】이승주 기자 = 2015년 새해를 맞아 금연 희망 인구가 급증하고 있는 가운데 보건소 금연클리닉에 등록한 개인정보가 공공연히 외부로 넘겨진 것으로 확인돼 논란이 예상된다. 보건당국은 그러나 유출된 개인정보 중 어떤 것들이 사기업 등 외부로 넘어갔는지 정확한 실태파악조차 못하고 있어 피해 당사자들로부터 원성을 사고 있는 실정이다. 10년 째 담배를 피워온 직장인 최모(36)씨는 지난해 서울에 있는 한 보건소의 금연 클리닉에 신청했다가 최근 황당한 전화를 받았다. 전혀 모르는 사람으로부터 걸려온 수화기 너머에서는 자신의 개인정보와 흡연사실을 알고 있었고 좌담회에 참석해 줄 것을 요청했다. 내가 모르는 누군가 나에 대해 알고 있다는 찜찜한 기분을 지울 수가 없었다. 프리랜서 A(30·여)씨는 지난해 12월 한 리서치회사에서 좌담회에 참석하라는 연락을 받았다. A씨는 리서치회사에서 자신의 성별, 전화번호, 여자에게 민감한 흡연사실과 나이는 물론 심지어 보건소 금연클리닉에 다녔던 이력까지 꿰고 있어 깜짝 놀랐다. A씨는 그제야 2년 전 서울의 한 보건소 금연클리닉에 다녔던 사실을 기억해냈다. A씨는 곧바로 보건소에 기록한 질병과 같은 건강정보와 체중이나 신장 등의 신체정보가 유출되지는 않았는지 걱정이 되기 시작했다. ◇'개인정보 동의' 정보 넘겨도 괜찮나? 전국 보건소 금연클리닉에 접수된 개인정보는 보건복지부 금연클리닉 정보시스템에 저장된다. 원칙상 개인정보보호 동의서에 동의한 사람들에 한해 정보는 3년 동안 시스템에 보관된다. 이 시스템에 저장된 개인정보는 인증된 사람만이 열람할 수 있다. 보건소 금연클리닉 상담자와 한국건강증진개발원 선임연구원, 정보시스템 담당자만이 그 권한을 갖는다. 단 금연 상담과 금연 프로그램 운영관리 등을 위한 목적일 때만 가능하다. 현재 한국건강증진개발원(개발원)은 보건복지부의 금연클리닉 업무를 맡고 있다. 개발원은 보건복지부 산하 특수법인으로 그동안 금연클리닉 참가자를 대상으로 좌담회나 설문조사 및 통계 등을 실시했다. 그동안 개발원은 금연클리닉을 위해 리서치회사에 조사를 의뢰해왔다. 그 과정에서 클리닉 참가자의 소중한 개인정보가 보건소와 보건복지부에서 한국건강증진개발원으로, 다시 리서치회사로 흘러갔다. 보건복지부가 금연클리닉에서 받는 개인정보활용 동의서 양식에는 '금연클리닉 서비스의 효과 측정 및 서비스 개선의 만족도 조사를 위해 개인정보를 수집 이용할 수 있다'고 명시돼있다. 하지만 이를 사기업에 위탁할 수 있다는 구체적인 내용은 빠져있다. 그동안 개인정보활용에 동의한 클리닉 참가자의 정보가 포괄적인 정보 활용만을 담은 동의서에 동의했다는 명목으로 공공연히 사기업으로 이동한 셈이다. ◇"리서치회사 활용에는 동의한 것 아냐" 이에 금연클리닉에 다닌 적 있는 흡연자들은 황당하다는 반응이다. B(29·여)씨는 "결혼하는 데 지장이 있을까봐 흡연사실을 주변에 알리는 것을 꺼렸다"며 "사전에 개인정보가 사기업으로 넘어갈 수 있다고 고지 받았다면 금연클리닉에 등록하지 않았을 것"이라며 늦은 후회를 했다. 또 다른 금연클리닉 이용자 김모(28)씨는 "개인정보 활용에 동의하면 보건복지부에서만 활용되는 줄 알았다"며 "사기업으로 개인정보가 넘어갔다는 사실을 알고 나니 개인정보가 보이스피싱 등의 범죄에 악용될까 걱정이 앞섰다"며 우려를 표했다. 하지만 보건복지부는 전혀 문제되지 않는다는 반응이다. 보건복지부 관계자는 "리서치회사에 조사를 위탁할 때 개인정보활용에 동의한 사람들의 정보만 넘겨줬다"며 "이는 개인정보 유출이 아닌 동의에 따른 합법"이라 주장했다. 또 다른 관계자는 리서치회사에 넘어간 정보에는 이름이 빠져 개인정보가 아니라고 강조했다. 보건소 금연클리닉을 담당하는 공무원인 B씨는 "나이, 성별, 전화번호, 흡연유무, 금연클리닉에 다닌 기록만 넘겼을 뿐 이름은 넘기지 않았으니 이는 개인정보가 아니다"라며 "그렇기에 개인정보를 사기업에 넘기는 것에 대해 미리 고지할 필요가 없다"고 반박했다. 개인정보란 '개인에 관한 정보 가운데 직간접적으로 각 개인을 식별할 수 있는 정보'로, 성명이나 주민등록번호, 영상 등을 통해 개인을 알아 볼 수 있는 정보를 뜻한다. 즉, 보건복지부 관계자에 따르면 이름만 확인되지 않으면 다른 정보는 개인정보에 해당하지 않는다는 것이다. ◇위탁 시 "그 내용을 알려줘야 할 의무까지 있다" 보건복지부의 이런 안이한 태도에 전문가들은 우려를 나타내고 있다. 안전행정부 산하기관인 개인정보보호분쟁위원회(개인정보분쟁위)에서는 외부 기관에 사전 동의 없이 정보를 넘겨 위탁한 점과 이를 홈페이지 등에 고지하지 않은 것은 개인정보보호법 위법이라 강조한다. 법학박사인 최경환 개인정보분쟁위 안전정책팀 선임연구원은 "개인정보보호법 제26조에 따라 개인정보를 위탁하면 누구에게 위탁하며 처리하는 업무는 무엇인지 그 내용을 충분히 알려줘야 할 의무가 있다"며 "이를 위반하면 개인정보보호법 제26조 제2항에 따라 1000만원 이하의 과태료가 부과된다"고 말했다. 이어 "보건소가 진료목적으로 수집한 금연정보는 건강과 관련된 민감한 정보다. 특히 민감 정보의 경우 이것이 어디에 어떻게 이용되는지 명확히 알 수 있도록 개인정보처리방침에 담아 홈페이지 등에 공개해야 한다"며 "이를 지키지 않아도 위법"이라고 말했다. 확인 결과 홈페이지 어디에서도 위와 같은 공지를 찾을 수 없었다. 또한 최 선임연구원은 "이름을 넘겼든 넘기지 않았든, 금연클리닉에 다녔다는 사실과 전화번호, 성별, 나이만으로도 개인이 특정되기 때문에 이 또한 개인정보이자 민감 정보"라고 반박했다. 최근까지 대통령직속 개인정보보호위원회 위원으로 활동했던 임종인 고려대 정보보호대학원 원장도 보건복지부의 관리 허술함을 꼬집었다. 임 원장은 "이런 건강관련 민감 정보의 경우 사기업에 정보를 넘기기 전 참가자 전원에게 메일이나 문자를 보내 리서치회사에 정보를 넘기는 데 동의하는지 한 번 더 확인했어야 했다"고 말했다. 이어 "리서치회사에서 참가자에게 전화와 문자로 좌담회 참석 여부를 사전에 확인했으니 괜찮다"는 보건복지부의 해명에 대해 "이미 정보가 사기업으로 넘어간 뒤에, 사기업에서 정보 활용에 동의하냐고 물었으니 괜찮다는 게 말이 되느냐"고 반문했다. [email protected] https://weekly.newsis.com

이메일 보내기

* 보내는 사람

보내는 내용

'당신의 개인정보 안전한가'…금연클리닉 개인정보 유출 '논란' 정부부처, 어떤 정보 파악조차도 안 돼 "동의해도 사전 고지 없이 위탁하면 위법" 【서울=뉴시스】이승주 기자 = 2015년 새해를 맞아 금연 희망 인구가 급증하고 있는 가운데 보건소 금연클리닉에 등록한 개인정보가 공공연히 외부로 넘겨진 것으로 확인돼 논란이 예상된다. 보건당국은 그러나 유출된 개인정보 중 어떤 것들이 사기업 등 외부로 넘어갔는지 정확한 실태파악조차 못하고 있어 피해 당사자들로부터 원성을 사고 있는 실정이다. 10년 째 담배를 피워온 직장인 최모(36)씨는 지난해 서울에 있는 한 보건소의 금연 클리닉에 신청했다가 최근 황당한 전화를 받았다. 전혀 모르는 사람으로부터 걸려온 수화기 너머에서는 자신의 개인정보와 흡연사실을 알고 있었고 좌담회에 참석해 줄 것을 요청했다. 내가 모르는 누군가 나에 대해 알고 있다는 찜찜한 기분을 지울 수가 없었다. 프리랜서 A(30·여)씨는 지난해 12월 한 리서치회사에서 좌담회에 참석하라는 연락을 받았다. A씨는 리서치회사에서 자신의 성별, 전화번호, 여자에게 민감한 흡연사실과 나이는 물론 심지어 보건소 금연클리닉에 다녔던 이력까지 꿰고 있어 깜짝 놀랐다. A씨는 그제야 2년 전 서울의 한 보건소 금연클리닉에 다녔던 사실을 기억해냈다. A씨는 곧바로 보건소에 기록한 질병과 같은 건강정보와 체중이나 신장 등의 신체정보가 유출되지는 않았는지 걱정이 되기 시작했다. ◇'개인정보 동의' 정보 넘겨도 괜찮나? 전국 보건소 금연클리닉에 접수된 개인정보는 보건복지부 금연클리닉 정보시스템에 저장된다. 원칙상 개인정보보호 동의서에 동의한 사람들에 한해 정보는 3년 동안 시스템에 보관된다. 이 시스템에 저장된 개인정보는 인증된 사람만이 열람할 수 있다. 보건소 금연클리닉 상담자와 한국건강증진개발원 선임연구원, 정보시스템 담당자만이 그 권한을 갖는다. 단 금연 상담과 금연 프로그램 운영관리 등을 위한 목적일 때만 가능하다. 현재 한국건강증진개발원(개발원)은 보건복지부의 금연클리닉 업무를 맡고 있다. 개발원은 보건복지부 산하 특수법인으로 그동안 금연클리닉 참가자를 대상으로 좌담회나 설문조사 및 통계 등을 실시했다. 그동안 개발원은 금연클리닉을 위해 리서치회사에 조사를 의뢰해왔다. 그 과정에서 클리닉 참가자의 소중한 개인정보가 보건소와 보건복지부에서 한국건강증진개발원으로, 다시 리서치회사로 흘러갔다. 보건복지부가 금연클리닉에서 받는 개인정보활용 동의서 양식에는 '금연클리닉 서비스의 효과 측정 및 서비스 개선의 만족도 조사를 위해 개인정보를 수집 이용할 수 있다'고 명시돼있다. 하지만 이를 사기업에 위탁할 수 있다는 구체적인 내용은 빠져있다. 그동안 개인정보활용에 동의한 클리닉 참가자의 정보가 포괄적인 정보 활용만을 담은 동의서에 동의했다는 명목으로 공공연히 사기업으로 이동한 셈이다. ◇"리서치회사 활용에는 동의한 것 아냐" 이에 금연클리닉에 다닌 적 있는 흡연자들은 황당하다는 반응이다. B(29·여)씨는 "결혼하는 데 지장이 있을까봐 흡연사실을 주변에 알리는 것을 꺼렸다"며 "사전에 개인정보가 사기업으로 넘어갈 수 있다고 고지 받았다면 금연클리닉에 등록하지 않았을 것"이라며 늦은 후회를 했다. 또 다른 금연클리닉 이용자 김모(28)씨는 "개인정보 활용에 동의하면 보건복지부에서만 활용되는 줄 알았다"며 "사기업으로 개인정보가 넘어갔다는 사실을 알고 나니 개인정보가 보이스피싱 등의 범죄에 악용될까 걱정이 앞섰다"며 우려를 표했다. 하지만 보건복지부는 전혀 문제되지 않는다는 반응이다. 보건복지부 관계자는 "리서치회사에 조사를 위탁할 때 개인정보활용에 동의한 사람들의 정보만 넘겨줬다"며 "이는 개인정보 유출이 아닌 동의에 따른 합법"이라 주장했다. 또 다른 관계자는 리서치회사에 넘어간 정보에는 이름이 빠져 개인정보가 아니라고 강조했다. 보건소 금연클리닉을 담당하는 공무원인 B씨는 "나이, 성별, 전화번호, 흡연유무, 금연클리닉에 다닌 기록만 넘겼을 뿐 이름은 넘기지 않았으니 이는 개인정보가 아니다"라며 "그렇기에 개인정보를 사기업에 넘기는 것에 대해 미리 고지할 필요가 없다"고 반박했다. 개인정보란 '개인에 관한 정보 가운데 직간접적으로 각 개인을 식별할 수 있는 정보'로, 성명이나 주민등록번호, 영상 등을 통해 개인을 알아 볼 수 있는 정보를 뜻한다. 즉, 보건복지부 관계자에 따르면 이름만 확인되지 않으면 다른 정보는 개인정보에 해당하지 않는다는 것이다. ◇위탁 시 "그 내용을 알려줘야 할 의무까지 있다" 보건복지부의 이런 안이한 태도에 전문가들은 우려를 나타내고 있다. 안전행정부 산하기관인 개인정보보호분쟁위원회(개인정보분쟁위)에서는 외부 기관에 사전 동의 없이 정보를 넘겨 위탁한 점과 이를 홈페이지 등에 고지하지 않은 것은 개인정보보호법 위법이라 강조한다. 법학박사인 최경환 개인정보분쟁위 안전정책팀 선임연구원은 "개인정보보호법 제26조에 따라 개인정보를 위탁하면 누구에게 위탁하며 처리하는 업무는 무엇인지 그 내용을 충분히 알려줘야 할 의무가 있다"며 "이를 위반하면 개인정보보호법 제26조 제2항에 따라 1000만원 이하의 과태료가 부과된다"고 말했다. 이어 "보건소가 진료목적으로 수집한 금연정보는 건강과 관련된 민감한 정보다. 특히 민감 정보의 경우 이것이 어디에 어떻게 이용되는지 명확히 알 수 있도록 개인정보처리방침에 담아 홈페이지 등에 공개해야 한다"며 "이를 지키지 않아도 위법"이라고 말했다. 확인 결과 홈페이지 어디에서도 위와 같은 공지를 찾을 수 없었다. 또한 최 선임연구원은 "이름을 넘겼든 넘기지 않았든, 금연클리닉에 다녔다는 사실과 전화번호, 성별, 나이만으로도 개인이 특정되기 때문에 이 또한 개인정보이자 민감 정보"라고 반박했다. 최근까지 대통령직속 개인정보보호위원회 위원으로 활동했던 임종인 고려대 정보보호대학원 원장도 보건복지부의 관리 허술함을 꼬집었다. 임 원장은 "이런 건강관련 민감 정보의 경우 사기업에 정보를 넘기기 전 참가자 전원에게 메일이나 문자를 보내 리서치회사에 정보를 넘기는 데 동의하는지 한 번 더 확인했어야 했다"고 말했다. 이어 "리서치회사에서 참가자에게 전화와 문자로 좌담회 참석 여부를 사전에 확인했으니 괜찮다"는 보건복지부의 해명에 대해 "이미 정보가 사기업으로 넘어간 뒤에, 사기업에서 정보 활용에 동의하냐고 물었으니 괜찮다는 게 말이 되느냐"고 반문했다. [email protected]

https://weekly.newsis.com