장기 이식자와 이식 대상자 등의 관련 정보 38만건이 적절한 검토 없이 민간보험사 등으로 흘러들어간 사실이 보건복지부 내부 감사에서 드러났다. 보험사가 장기 이식자의 정보를 토대로 보험료를 차별 적용하는 등 악용될 소지가 있다는 우려가 나온다.
보건복지부는 25일 산하기관인 국립장기조직혈액관리원에 대한 감사에서 장기이식 자료의 3자 제공 부적정 사례를 발견하고 기관 경고, 관계자 경고 및 주의 등의 처분을 내렸다고 밝혔다.
복지부의 관리원 종합감사 결과를 보면, 관리원은 2021부터 2024년 5월까지 심의 등 적절한 검토 없이 내부 결제만 거쳐 민간 보험사와 연구기관 등 제3자에 56차례 38만5355건의 장기기증 관련 가명 자료를 제공했다.
특히 2023년에 총 13회, 5만2974건이 적절한 검토 절차 없이 제3자에게 제공됐는데, 제공 유형 중 ‘보험상품 개발을 위한 민간보험사에 제공’ 6회가 포함돼 있다. 이외에도 신제품 개발을 위한 참고자료로 제약회사에 제공된 사례가 4회, 연구 목적을 위한 자료로 민간 연구소에 제공된 것이 3회였다.
구체적으로 보험료율 산출 시 기초자료로 활용하겠다며 A생명보험가 2만5339건, B생명보험은 2만338건의 자료를 받아갔다. C생명은 장기이식 수술 보험 상품 개발 기초자료로 쓰겠다며 2200건의 자료를 받았다. D생명보험은 신규 위험률 개발을 위한 기초 자료 목적으로 현황 통계를 받았다.
가명이더라도 개인식별을 막을 조치가 제대로 돼 있지 않으면 장기 이식자의 정보는 보험사가 보험료를 차별 적용하는 데 악용될 소지가 다분하다. 실제로 작년 일부 보험사가 장기 기증자에 대한 보험 계약에서 차별대우를하다가 금융당국에 적발되기도 했다.
복지부는 “관리원은 정보주체인 장기 등의 기증자와 이식자 등의 이익을 침해하지 않는지, 과학적 연구 기준에 부합하는지, 자료 제공 최소화의 원칙에 적합한지 등을 적절하게 검토하지 않고 민간 보험사, 연구기관, 개인 등에 제공했다”며 “가명정보의 처리 관련 기록을 작성·보관하지도 않았다”고 지적했다.
관리원은 장기 등 기증·적출·이식 등에 관한 자료를 수집·분석해 통계를 작성·관리하고, 필요 시 이를 외부기관에 제공하는 업무를 수행하고 있다. 단 △장기 등 기증자와 적출한 장기 등에 관한 사항을 알려주는 행위 △이식 대상자와 이식한 장기 등에 관한 사항을 알려주는 행위 △장기 등 기증 희망자 및 장기 등 이식 대기자에 관한 사항을 알려주는 행위는 하지 않도록 규정하고 있다. 이를 위반하면 3년 이하 징역 또는 3000만원 이하 벌금에 처해질 수 있다.
또 ‘개인정보보호법’에 따라 개인정보는 정보주체의 동의 없이 가명으로 제3자에 제공될 수 있지만, 통계 작성과 과학적 연구, 공익적 기록 보존 등이 목적이어야 하며, 특정 개인을 알아보기 위해 사용될 수 있는 정보를 포함하지 않아야 한다.
복지부는 “제공한 자료를 통계로 보기 어렵고, 제공 목적이 과학적 연구나 공익적 기록 보존에 부합된다고 보기 어렵다”며 “제3자 제공 정보에 해당하는지 꼼꼼히 따졌어야 했다”고 했다.
이어 “설령 해당 자료가 단순 통계이며 제공 가능한 경우라고 해도 관리원이 기증자와 이식자 권리를 현저하게 침해하는지 여부에 대해 별도 심의 등 면밀한 검토 절차를 거치지 않고 보험상품 개발을 목적으로 하는 민간보험사에 장기이식 자료를 제공한 것은 부적절하다”고 짚었다.
복지부는 관리원에 기관 경고에 이어 해당 자료 제공 업무를 부적정하게 수행한 관계자에 대해 경고와 주의 조치를 요구하고 자료 제공 절차를 개선하라고 주문했다.