개인정보 손해배상책임 보장제도, 자칫하면 '과태료' 개인정보 손배제도 대비해야
- 방통위, 내년 개인정보 손배책임 보장제도 이행 여부 집중점검 예고
- 환자정보 다루는 병·의원 해당...연내 준비금 적립 또는 보험가입해야

*출처: 의협신문
http://www.doctorsnews.co.kr/news/articleView.html?idxno=132373

정부가 내년 '개인정보 손해배상책임 보장제도' 이행여부에 대한 집중 점검을 예고하고 나서, 병·의원의 주의가 요망된다.
개인정보 손해배상책임 보장제도는 정보통신서비스 제공자로 하여금 개인정보 유출에 따른 상황에 대비해, 그 피해구제에 사용할 비용을 일정금액 이상 사전에 비축해 두도록 하는 제도.
환자 개인정보를 다루는 의료기관도 대부분 제도 의무이행 대상에 해당돼, 계도기간이 끝나는 연말까지 반드시 손해보상 보험이나 공제에 가입하거나 준비금 적립 등의 조치를 이행해야 한다.

- 개인정보 유출 대비, 사업자에 준비금 적립 의무화
방송통신위원회는 지난 6월 13일을 기해 '개인정보보호 손해배상 보장제도'의 시행을 알린 바 있다.
정보통신서비스 제공자 등으로 하여금 개인정보 유출에 따른 손해배상책임 이행을 위한 보험·공제의 가입 또는 준비금 적립 등의 조치를 의무화하고, 이를 위반한 경우 2000만원 이하의 과태료를 부과할 수 있게 한다는 것이 골자.
개인정보 손해배상책임 보장제도를 적용받는 사업자는 ▲온라인을 통해 영리목적으로 서비스를 제공하는 사업자 ▲정보통신서비스제공자로부터 개인정보를 제공받은 자 ▲방송법에 따른 방송사업자 등이다.

- 환자 개인정보 다루는 병·의원도 의무이행 대상
언뜻 개인정보를 활용해 이익을 얻는 영리목적 사업장이 그 대상으로 보이나, 병원 등 비영리법인과 의료기관도 의무가입 대상에 해당한다.
방통위는 "정보통신법상 영리목적 여부는 법인의 종류와 관계없이 이익발생 활동 여부로 판단한다"며 "병원 등 비영리법인이라도 부수·보조적으로 수익사업을 하고 있다면 영리활동을 영위하는 것으로 보아, 의무가입 대상에 해당한다"고 밝혔다.
결국 어디까지를 영리활동으로 보아야 하는지가 관건인데, 방통위는 개인정보를 활용해 병원 홍보 메일을 발송하거나 문자 서비스를 보내는 것도 이익 발생 활동의 일환으로 볼 수 있다고 해석하고 있다.
환자 개인정보를 일정 수준이상 보관하면서, 이를 활용해 병원 홍보 문자나 질병 정보를 안내하는 문자를 보내는 등의 활동을 한다면 해당 의료기관도 준비금 적립 대상이 된다는 의미다.

- 환자 개인정보 보유량(DB) 1000건 이상이면 해당
방통위는 해당 사업자 중 직전 사업연도 매출액이 5000만원 미만이거나, 전년도 10월∼12월 3개월 동안 저장·관리되고 있는 일일평균 이용자의 개인정보가 1천명 미만인 경우에 적용대상에서 제외토록 했다.
바꿔 말하면 전 사업연도 매출액이 5000만원 이상이거나, 전년도 말 기준 직전 3개월간 개인정보가 저장· 관리되고 있는 '일일평균 이용자수'가 1000명 이상인 병·의원은 의무적으로 새 제도를 적용받는다는 의미다.
이 때 말하는 일일 평균 이용자가 일반적인 '방문자', 의료기관으로 따지면 '내원 환자'와는 다른 개념이라는 점에 유의해야 한다.
방통위가 밝힌 개인정보가 저장·관리되고 있는 이용자 수는 데이터베이스화 된 '개인정보 보유량'을 의미한다.
실제 일일 내원 환자 수는 100명 수준이라도, 해당 의원이 보유·관리하고 있는 환자의 개인정보의 양이 최근 3개월간 1000명 이상이라면 개인정보 손배책임 보장제도를 준수해야 하는 대상이라는 의미다.

- 보험 가입 또는 적립금 준비, 의원 편의에 따라 선택
적립금 수준은 보유하고 있는 개인정보의 양과 매출액에 따라 달라진다.
최소 적립금액이 가장 작은 구간은 ▲개인정보의 양이 1000명 이상 10만명 미만이면서 ▲직전 연도 매출액이 5000만원 이상 50억원 이하인 경우다. 대부분의 의원이 이에 해당할 것으로 보인다.
이들이 준비해야 할 최소 적립금은 5000만원. 이를 준수하는 방법으로는 ▲보험사들이 판매하는 관련 보험상품에 가입하거나 ▲소프트웨어 공제조합이 판매하는 관련 공제상품에 들거나 ▲자체적으로 준비금을 적립하는 방법이 있다.

- 3가지 방법 가운데 사업자가 선호하는 방식을 선택해 이행하면 된다.
가장 쉬운 것은 자체 준비금 적립이다. 각 의원에서 개인정보 손해배상 명목으로 5000만원 가량의 자금을 따로 떼어두면 된다.

편의에 따라 보험이나 공제에 가입해도 된다. 최근 일각에서 보험이나 공제가입을 반드시 해야 하는 것처럼 홍보하는 사례도 있으나, 자체적으로 준비금을 적립했다면 추가로 보험에 들 필요는 없다. 방통위는 5000만원 보장 보험 가입시 월 5만원 가량의 보험료 부담을 하면 될 것으로 예상했다.

- 방통위, 내년 집중 점검 예고...미이행시 2000만원 과태료
의무가입 대상자에 해당하면서도 책임보험에 가입하지 않았거나 준비금 적립 등의 조치를 취하지 않은 사업장은 법률에 따라 회당 2000만원의 과태료를 부과받을 수 있다.
과태료 부과에 따른 횟수 제한도 없다.
제도 미이행으로 한번 적발돼 과태료를 냈다하더라도, 계속해서 보험가입이나 준비금 적립 등의 조치를 취하지 않을 경우 재적발되어 다시 2000만원의 과태료를 추가로 무는 경우도 생길 수 있다는 얘기다.
방통위는 내년 사업 이행 여부의 집중 점검을 예고하고 나섰다.
방통위는 "제도의 안착을 위해 올해 말까지는 계도기간을 운영하고 있으나, 내년부터는 보험 가입 또는 준비금 적립 이행 여부를 집중 점검할 예정"이라며 "위반사업자들에게 과태료 부과 등 제재도 진행할 계획"이라고 밝혔다.

[의원협회]대부분의 의료기관은 개인정보손해배상책임보험 가입 의무 없음을 확인(Q&A)
 
대한의원협회(회장 송한승, 이하 ‘의원협회’)는 방송통신위원회에 대한 지속적인 민원을 통해 홈페이지를 운영하지 않으며 환자들에게 진료안내 문자 외의 홍보 목적 메시지를 발송하지 않는 경우 의료기관은 개인정보손해배상책임보험(이하 ‘책임보험’) 가입 의무가 없음을 확인하였다.
 
정보통신망법 개정 이후 의료기관이 개인정보손해배상책임보험(이하 ‘책임보험’) 가입 의무가 있는지에 대해 의문이 있어왔다. 개정 정보통신망법에 따르면 “직전 사업연도의 매출액이 5천만원 이상이고 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 일일평균 이용자수가 1천명 이상인 정보통신서비스 제공자등”은 책임보험 가입 의무 대상자가 되고, 책임보험에 가입하지 아니한 경우 2천만원 이하의 과태료에 처해 지도록 하였다.
문제는 대부분의 의료기관이 매출액이 5천만원 이상이고 개인정보를 보관하고 있는 환자 수가 1천명 이상이라는 점이다. 만약 의료기관도 ‘정보통신서비스 제공자’에 포함된다고 하면 거의 대부분(개원 초기 환자수가 1천명이 안되는 의료기관을 제외한)의 의료기관이 책임보험 가입 의무자라는 것이다. 최근 의료기관을 상대로 책임보험 상품을 개발 준비 내지 소개되고 있는 이유가 여기에 있다.
송한승 회장은 “의원협회는 자체적인 정보통신망법 등 법률 검토를 통해 의료기관이 개인정보손해배상책임보험에 가입할 의무가 없다는 결론을 내렸다. 다만, 혹시라도 가입 의무가 있다고 판단될 경우 과태료 등 불이익을 받을 우려가 있어서 회원들 상대로 가입 의무가 없다는 안내를 하기는 어려웠다. 그래서 방송통신위원회에 대해 의원협회 임원 한 사람이 개인 자격으로 지속적인 민원을 제기하여 확실한 답변을 얻어냈다.”고 말했다.
 
의원협회의 질의에 대한 답변들의 핵심 내용은 아래와 같다.
Q1.
- 저희 의원에서 운영하는 홈페이지에는 가입자가 200명이라서 200명의 개인정보를 저장·관리하고 있습니다.
- 저희 의원의 환자가 약 3,000명이라 그 환자들에 대한 전화번호와 주소가 병원 컴퓨터 내에 저장되어 있습니다. 또한 해당 개인정보는 병원 내원시 진료 목적으로 수집하는 것이기 때문에 정보통신망을 통해 수집된 것이 아닙니다.
- 홈페이지 서버는 병원 내에 있지 아니하고 호스팅 업체를 통해 홈페이지 서비스를 제공하고 있어 병원과 전혀 연결되어 있지 않습니다.
* 정보통신망법 시행령 「정보통신망법 시행령」 제18조의2 제1항 제2호에서 정한 ‘이용자수’가 몇 명입니까?? (객관식)
① 200명 (보험·공제 가입 or 준비금 적립 불필요)
② 3,200명 (보험·공제 가입 or 준비금 적립 필요)
A1.
- 홈페이지 서버가 병원에 있지 않다 하더라도 해당 홈페이지에 대한 정보통신서비스 제공자는 귀 원이고, 호스팅 업체에 홈페이지 운영 등에 대한 업무를 처리위탁하였다고 볼 수 있습니다.
- 동 제도의 이용자수는 정보통신서비스 이용자수로, 내원환자의 정보가 3,000명이고 이를 내부 시스템에서 저장·관리하고, 영리목적의 정보통신서비스 제공을 하지 않는다면 동 제도의 이용자수에 산정하지 않아도 될 것으로 보이므로 홈페이지 이용자 200명이 정보통신서비스 이용자라고 볼 수 있을 것으로 이해됩니다.
 
Q2.
- 저희 의원의 경우 네이버 블로그 운영하는데, 블로그 방문자의 개인정보를 전혀 저장·관리하지 않습니다. 대신 병원 컴퓨터에는 3,000명의 환자 데이터가 저장되어 있습니다(의료법상 진료기록 보관은 당연한 의무입니다).
* 정보통신망법 시행령 「정보통신망법 시행령」 제18조의2 제1항 제2호에서 정한 ‘이용자수’가 몇 명입니까? (객관식)
① 0명 (보험·공제 가입 or 준비금 적립 불필요)
② 3,000명 (보험·공제 가입 or 준비금 적립 필요)
A2.
귀원이 정보통신서비스를 제공하고 있으나, 이용자와 정보통신서비스 이용관계를 맺고 있지 않거나 저장·관리하는 개인정보가 없다면 정보통신망법 시행령 제18조의2에 따른 이용자수 조건을 충족하지 않으므로 동 제도의 가입 대상자라고 보기 어려울 것으로 이해됩니다.
 
Q3.
- 「정보통신망법」 제2조 제1항 제3호에 ‘정보통신서비스 제공자’에 대한 정의를 하고 있습니다. 이에 따르면 “영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자”는 정보통신서비스 제공자에 해당합니다.
* 여기서 ‘영리를 목적으로’라 함의 의미는 무엇입니까? (객관식)
① 정보 제공 또는 정보 제공 매개를 통해 영리를 취득할 것을 목적 사업으로 하는 경우
② 정보 제공 등과 무관한 분야를 목적사업으로 하면서 해당 목적사업 수행에 있어 부수적으로 정보통신망을 이용하여 고객에게 정보를 전달하는 경우
(사견)
- 만일 ②이 맞는 경우라면 전화, 문자메시지, 카톡을 이용하는 모든 사업자들은 정보통신서비스 제공자에 해당할 것으로 보입니다.
- 우리 아파트 단지 내에 「세탁소」를 예로 들면, 목적사업은 세탁업입니다. 세탁소 박사장님은 거의 컴맹이고 홈페이지가 뭔지도 모르시는 분입니다. 하지만 단골이 1,200명 정도 되고 단골 손님 전화번호는 저장되어 있습니다. 박사장님은 손님이 해 놓은 빨래를 찾아가지 않으면 빨리 찾아가라고 문자메시지를 보냅니다(안그러면 보관할 곳이 없으니까).
- 이 경우 박사장님은 전기통신역무인 문자메시지를 통해 고객에게 정보(빨래 완료 정보)를 전달한 것만은 사실입니다. 그리고 이러한 정보제공은 목적사업인 세탁업을 통한 영리 달성의 부수적인 수단이 됩니다.
- 즉 ②와 같이 해석할 경우 세탁소 박사장님을 비롯한 수많은 사업자들이 ‘보험·공제 가입 or 준비금 적립’을 하여야 할 의무가 발생하여 영세 상인들에게 지나친 부담을 지우게 될 것으로 보입니다.
A3.
- 정보통신서비스 제공자란 정보통신망법 제2조제1항제3호와 같이 전기통신사업법 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말하고 있으며,
- 정보통신망법에서 “영리를 목적으로”라 함은 재산상 이익을 취득하거나 이윤을 추구하려는 목적이 있음을 의미합니다. 따라서 전기통신사업자와 전기통신역무를 이용하여 영리를 목적으로 정보를 제공하거나 정보의 제공을 매개하는 자를 비롯하여 비영리법인이라도 부수·보조적으로 수익사업을 하고 있다면 영리 활동을 영위하는 것으로 볼 수 있어 정보통신서비스 제공자에 해당한다고 판단할 수 있을 것입니다.
- 다만, 말씀하신 것과 같이 세탁소등의 사업자께서 단순히 세탁물 완성 등 사실의 통지가 아닌 부수·보조적으로 문자 등 전기통신역무를 이용하여 이용자와 정보통신서비스 이용관계를 맺고 홍보 등으로 이용한다면 영리 활동을 영위한다고 볼 수 있으나, 진료 확인 등 사실의 확인이나 통지의 경우에는 영리활동으로 보기 어려울 것으로 판단할 수 있습니다.

본인의 명의로 민원을 제기하였던 담당 임원은 “방송통신위원회의 답변 내용을 요약하면 두 가지로 정리된다. 첫째로 의료기관이 보관하고 있는 내원환자의 개인정보는 이를 따로 영리목적의 정보통신서비스 제공을 하지 않으면 책임보험 가입 의무 판단시에 이용자수에 산입되지 않는다는 것이고, 둘째로, 보유 중인 내원환자의 전화번호로 진료 확인 등 사실의 확인이나 통지만 하는 경우에는 정보통신망법상 영리 목적 행위로 볼 수 없어서 의료기관을 ‘정보통신서비스 제공자’로 볼 수 없어서 책임보험 가입 의무가 없다는 것이다.”라고 하면서, “반대로 설명하면 다음과 같다. 의료기관이 따로 홈페이지를 운영한다면 당연히 ‘정보통신서비스 제공자’에 해당한다. 다만 보유 개인정보 수가 1천개 이상이냐가 문제가 될 뿐이다. 문제는 의료기관에서 보유한 전화번호에 홍보/광고 내용의 문자메시지 등을 보내는 경우라면 의료기관이 보유한 모든 개인정보의 개수가 보유 개인정보로 포함된다는 것이다.”라고 설명했다.
 
송한승 회장은 “고사되어 가고 있는 1차 의료기관들이 이러한 책임 보험 가입 의무까지 지게 되어 점점 더 어려워져야 하는가에 대해 고민했다. 많은 회원들로부터 ‘보험회사에서 의료기관은 의무 가입 대상자이고 가입하지 않으면 2천만원의 과태료가 나온다고 하면서 가입하라고 하는데 사실인가요?’라는 문의를 받았고 지금도 받고 있다. 방송통신위원회에서 명확한 답변을 내린 이상 우리 회원들을 비롯하여 어려움을 겪고 있는 의원급 의료기관들은 부디 보험회사들의 상술에 속지 않기를 빈다.”라고 마무리했다.
 
2019년 12월 6일
바른 의료 국민과 함께
대 한 의 원 협 회

[의협]개인정보 손해배상책임 보장제도 관련 안내 (FAQ)
http://www.laserpro.or.kr/bbs/?t=5xi

[의원협회]대부분의 의료기관은 개인정보손해배상책임보험 가입 의무 없음을 확인(Q&A)
http://www.laserpro.or.kr/bbs/?t=5tN

[의협]개인정보 손해배상책임 보장제도 관련 의협 법률 검토 결과
http://www.laserpro.or.kr/bbs/?t=5s9

개인정보 손해배상책임 보장제도 시행에 따른 ‘개인정보보호 손해배상책임보험 의무가입’ 관련 안내
http://www.laserpro.or.kr/bbs/?t=5nK