| 내용 |
영국의 정보감독원은 최근 암호화되지 않은 형태로 외래환자들에 대한 음성녹음 자료를 이메일로 전달하는 헬스케어 관련 기업들에게 약 20만 파운드의 벌금을 부과한 것으로 나타났는데 그 주요 원인은 이러한 환자들의 음성자료들이 안전하지 못한 FTP 서버를 통해 온라인 상에서 검색이 가능했기 때문인 것으로 드러나 개인정보 보호 관련 연관 기업들의 위반사례를 상세히 조사해보고자 한다. 이번 위반사례의 대상은 HCA International社인 것으로 드러났는데, 정보감독원이 외래환자들의 처방전과 관련한 증명서를 손쉬운 검색을 통해 온라인 상에서 발견할 수 있다는 사실을 통해 그 위험성이 발견되었으며, 이러한 사실이 정보감독원의 조사결과 밝혀져 해당 기업이 제제를 받은 것으로 드러났다. 한 고객이 지난 2015년 4월 8일 최초로 이러한 사실을 인지하여 회사에 해당 사실을 통보하였고, 정보감독원이 본격 조사에 나서게 된 것이라고 한다. 음성녹음 관련 자료들은 HCA International社의 임직원들에게 보내지기 이전에 인도에 위치한 본사로 전달되어진 사실이 밝혀졌으며, 이러한 과정에 있어 안전성이 결여된 FTP를 활용해 데이터를 저장하고 전다한 사실이 드러나 온라인 상에서 어느 누구라도 손쉽게 해당 파일에 접근할 수 있었다고 한다. 정보감독원의 조사담당을 맡은 Steve Eckersley씨는 해당 기업이 데이터 보호 요구사항에 대한 내부적인 수준을 인지하고 있었지만, 데이터를 보호하기 위한 어떠한 조치도 이행하지 않았다는 사실을 밝혀냈으며, 정보를 안전하게 보관해야 할 의무가 있음에도 정보가 온라인 상에서 어느 누구에게나 쉽게 접근이 가능하다는 단점이 있었을 뿐 아니라 이미 갖은 질병으로 고충을 겪고 있는 환자들에게 보다 많은 고통을 주었을 것으로 예상된다고 밝혔다. 이번 사고가 보다 심각해질 수 있는 원인은 해당 기업이 이미 데이터보호의무를 인지하고 있었다는 사실이며 이미 자체적인 비즈니스를 위해 기타 분야에서 내부적으로 적절한 안전장치를 갖추고 있었다는 사실이라는 점이었다고 한다. 만일 해당 기업이 계약된 기업에 의해 사용되고 있는 데이터 방법론들은 점검할 시간을 가지고 있었다면 온전히 이번 제제를 피할 수도 있었을 것이라고 한다. 환자들의 개인정보와 관련된 기밀정보는 높은 수준의 보안성을 요구하고 있지만, 이번 경우처럼 정보감독원에서 제시하는 표준과 기준에 미치지 못하여 제제를 받게 된 것으로 나타났으며, 환자들의 정보를 안전하게 보장하기 위해 향후 보다 엄격한 조사가 이루어질 것으로 예상되고 있으며, 환자의 데이터를 관리하는 서비스업체나 기업들 또한 적절한 보안성 유지를 위해 보다 많은 노력을 기울여야 할 시기가 도래한 것으로 보인다. |
