복지부 산하기관 개인정보 관리 부실 !
■ 건강보험심사평가원 사례
- 퇴직자에게도 개인정보 접근 권한 부여
- 정보화 사업 외주 업체 사무실에서 심평원 승인 없이 무단으로 진료내역 등에 총 95회 접속
하여 총 524건의 진료내역 조회
■ 국민건강보험공단 사례
- ’02~’08.5 1만2천여명 개인정보 불법 열람, 1855건 외부 유출 사례 적발
■ 국민연금공단 사례
- ’07.3~08.2 12개월 동안 자신 및 타인 ID사용하여 개인용도로 5,151건 조회․ 열람

○ 복지부 산하기관의 개인정보 관리가 부실했던 것으로 드러났다. 특히 연금공단직원의 경우
1년 동안 총 자신 및 타인의 ID를 사용하여 개인용도로 총 5,151건을 조회․열람하다 적발돼 해
임처분을 받았던 것으로 드러났다.
이 같은 사실은 국회 보건복지가족위원회 소속 민주당 최영희 의원이 건강보험심사평가원, 국
민건강보험공단 그리고 국민연금공단으로부터 각각 제출받은 ‘개인정보보호실태 특별감사보
고서’를 분석한 결과이다.

■ 건강보험심사평가원
사례1. 불합리한 개인정보 접근권한
동 자료에 따르면, 건강보험심사평가원(이하 심평원)의 경우 ’08년 2월29일 퇴사한 직원에게
감사 기간인 ’08년 4월18일까지 50일 동안 개인정보 접근권한을 부여했다. 또한 개인정보접근
권한(청구명세서)이 주어진 직원 43명을 대상으로 ’07년 한 해 동안 개인정보 접근횟수를 확인
한 결과 58%인 25명은 단 1차례도 접근 실적이 없었던 것으로 조사됐다. 즉 직원의 업무내용
에 따라 개인정보 접근 권한을 합리적으로 부여하고, 퇴직자는 바로 개인정보 접근권한을 박탈
했어야 하지만, 그러지 못했던 것이다.

사례2. 외부 용역업체 직원도 사용 가능한 무분별한 ID 공동사용
심평원은 ‘2006년 정보화 보강사업’을 추진하면서 외부용역직원에게도 심평원 직원 ID를 공동
으로 사용할 수 있도록 했다. 그 결과 외부 용역업체 직원이 프로그램 적정여부를 확인하기 위
해 종합전산망을 통해 총 1,066회의 수진자(국민) 진료정보에 접근한 결과를 초래했던 것으로
드러났다.(사용된 ID의 심사평가원 직원에 대해 용역사무실 출장기록 및 용역사무실에 비치된
외부인 방문대장에도 기록되지 않아 외부 용역직원이 사용한 것으로 추정)

사례3. 시스템 개발 외부업체에서 개인정보 조회 허용
또한 심평원은 시스템 개발 외부업체에서 개인정보 조회를 허용해왔다. 복지부가 ’07년1월부
터 ’08년 3월까지 외부에서 접속한 로그인 기록을 확인한 결과 정보화사업 외주업체 사무실의
컴퓨터에서 심사평가원의 승인 없이 무단으로 진료내역 등에 총 95회 접속하여 524건의 진료
내역이 조회되어 자료접근 권한관리가 미흡한 것으로 조사됐다.

실제 보건복지가족부의 개인정보보호실태 특별감사 이후 심평원이 자체 조사한 ‘개인정보 보
호실태 자체점검 결과보고서’에 따르면, 개인정보조회 로그기록 총 건수 347만7,538건 가운데
223건을 선별하여 조사한 결과, 7%인 16건(5명)이 업무목적 외로 조회됐고(본인조회 4명, 6
건, 가족조회 2명, 6건, 지인조회 1명, 4건), 4건은 확인불가(조회자 병가 1건, 분만1건, 퇴직자
1건)로 조사됐다. 또한 권한 외 조회의 경우도 총 15건이 발생된 것으로 조사됐다.

■ 국민연금공단
연금공단 직원 A씨는 2007년 3월부터 2008년 2월까지 1년 동안 자신 및 직장 동료 1명의 ID를
사용하여 자신이 알고 있는 지인의 회사 대리점 개설에 따른 안내장 발송과 관련하여 개인용도
로 5,151건을 조회․열람하다 적발, 해임된 것으로 드러났다.

민주당 최영희 의원은 “복지부 및 산하기관이 나름대로 개인정보 보호를 위해 노력하고 있다”
고 전제하고 “하지만, 질병 정보 등 개인정보는 국민의 사생활 및 인권침해인 만큼 복지부 산
하기관 직원은 높은 도덕성 및 윤리의식이 요구 된다”며 복지부 및 산하기관의 개인정보 보호
대책을 촉구했다.
.js><