1천명 이상의 개인정보를 보유한 사업자에 대해 개인정보 유출에 따른 손해배상 책임보험에 가입하거나 준비금을 적금하도록 한 계도기간이 이달 말 완료 예정이지만 상당수 의료기관들은 보험 가입 대상자인지 판단할 수 없어 혼란을 겪고 있다. 

개인정보 손해배상책임 보장제도 적용 대상
정보통신망법은 개인정보 유출로 인한 이용자의 피해를 구제하기 위해 관련 사업자가 손해배상 책임을 이행하도록 보험 또는 공제 가입, 준비금 적립 중 하나를 선택하도록 의무화했다.

방송통신위원회는 올해 6월부터 이 제도를 시행했지만 초기 혼란을 최소화하기 위해 올해 말까지 계도기간을 운영하고, 내년부터는 집중 점검을 통해 위반사업자에게 과태료 2천만원 부과 등의 조치를 취할 방침이다.

개인정보 손해배상책임 적용 대상은 전년도 매출액이 5천 만 원 이상이면서 전년도 말 기준 직전 3개월(10~12월) 일일 평균 1천명 이상의 이용자 개인정보를 저장ㆍ관리하고 있는 사업자다.

개인정보 손해배상책임 보장제도는 △온라인을 통해 영리 목적으로 서비스를 제공하는 사업자(정보통신 서비스 제공자) △정보통신서비스제공자로부터 개인정보를 제공받은 자 △ 방송법에 따른 방송사업자 등을 대상으로 한다.

그런데 방송통신위원회와 한국인터넷진흥원이 지난 6월 발간한 ‘개인정보 손해배상책임 보장제도 안내서’를 보면 병원도 책임보험 가입 의무 대상인 것처럼 소개해 혼란을 부추겼다.

안내서를 보면 '대학교 및 병원의 경우라도 전기통신역무(유선·무선·광선·그 밖에 전자적 방식으로 부호·문언·음향·영상을 송신·수신)를 이용해 이용자와 정보통신서비스 이용관계를 맺고 있고, 그 서비스가 영리를 목적으로 한다면 손해배상 책임보험(공제) 가입 또는 준비금 적립 의무 대상'이라고 나와 있다.  

의료&복지뉴스가 확인한 결과 요양병원을 포함한 모든 의료기관이 개인정보 손해배상 책임보험에 가입해야 하는 것은 아니다.
 
개인정보 손해배상 책임보험 가입 대상 의료기관은?

의료기관이 개인정보 손해배상 책임보험 의무 가입 대상자가 되기 위해서는 △정보통신서비스 제공자 △1천명 이상의 이용자 개인정보 저장 및 관리 △영리목적성 인정 △전년도 총매출액 5천만원 이상 등의 조건을 모두 충족해야 한다.

먼저 정보통신서비스를 제공하는 의료기관이란 △홈페이지, 블로그, 앱에 회원 가입하거나 이벤트 등으로 취득한 개인정보 △환자 또는 보호자 개인정보를 이용해 문자 메시지(SMS, MMS), 카카오톡, 이메일 등으로 정보를 제공하는 것을 의미한다.

홈페이지나 블로그를 운영하지 않거나, 운영한다고 하더라도 회원 가입을 받지 않거나, 고객 유치를 위한 인터넷 이벤트나 영리 목적으로 문자 메시지 전송 등을 하지 않는 의료기관이라면 굳이 책임보험에 가입하지 않아도 된다. 
 
정보통신서비스를 제공하는 의료기관이라고 하더라도 ‘저장·관리’하고 있는 이용자 개인정보가 1천명 미만이면 책임보험 가입 대상이 아니다.

'저장·관리'하고 있는 이용자 개인정보란 정보통신서비스(전화, 문자 메시지 전송, 이메일 발송 등)를 제공할 목적으로 보관하고 있는 개인정보를 의미하는 것이어서 종이 형태로 보관중인 환자차트 정보는 여기에 해당하지 않는다.

'이용자 수'는 회원 가입 등으로 개인정보를 '저장·보관'한 것을 기준으로 산정하며, 홈페이지 일일 방문자 수나 페이지뷰(page view), 순방문자 수와는 무관하다.

의료기관 홈페이지 '일일 방문자'나 '페이지뷰'가 1천명 이상이라고 하더라도 회원 가입 등의 방식으로 이용자 정보를 저장, 관리하지 않거나 저장, 관리하고 있는 환자나 환자 보호자, 회원 등의 이용자가 1천명 미만이면 책임보험에 가입할 필요가 없다.

특히 저장·관리하고 있는 이용자 개인정보를 영리 목적으로 사용하지 않으면 원칙적으로 손해배상 책임보험에 가입하지 않아도 된다는 게 방송통신위원회의 설명이다.

방통위는 민원 회신을 통해 "의료기관에서 부수·보조적으로 문자 발송 등의 전기통신역무를 이용해 이용자와 정보통신서비스 이용관계를 맺고 홍보 등에 이용한다면 영리 활동으로 볼 수 있지만 진료확인 등의 사실 확인이나 통지가 목적이라면 영리활동으로 보기 어려울 것으로 판단할 수 있다"고 밝혔다.

방통위 관계자는 "이용자와의 직접계약을 이행하기 위해 진료예약 안내 등의 서비스를 하는 것은 책임보험 가입 대상으로 볼 수 없다"면서 "반면 서비스 홍보나 수익활동 등으로 이용자에게 정보통신서비스를 제공하면 책임보험에 가입해야 한다"고 설명했다.

따라서 '전년도 총매출액이 5천만원 이상인 사업자가' '일일 평균 1천명 이상의 이용자에게' '영리를 목적으로' 정보통신서비스를 제공할 때에만 개인정보 손해배상 책임보험 또는 준비금 적립 대상이라고 볼 수 있다. 

영리를 목적으로 문자 등을 발송하더라도 이용자가 전년도 10~12월 3개월간 일일 평균 1천명 미만이라면 책임보험 가입 대상이 아니라는 것이다. 

방통위는 "저장·관리되고 있는 개인정보가 일일평균 1천명 미만인 사업자는 개인정보 유출 등의 사고가 발생하더라도 피해와 배상액 규모가 상대적으로 크지 않아 손해배상책임 이행을 보장하는 조치를 의무화할 필요성이 낮다"고 설명했다.

다만 '영리 목적성'의 정의가 명확하지 않기 때문에 책임보험 미가입으로 인한 과태료 처분을 피하기 위해서는 방통위나 한국인터넷진흥원에 질의해 문서 형식으로 답변을 받은 뒤 보험 가입 여부를 결정하는 게 안전하다.

민원을 신청하기 위해서는 국민신문고(https://www.epeople.go.kr)를 이용하면 된다.