Question

수고 많으십니다.

ㅇㅇㅇㅇ라는 업체는 의료기관으로부터 위탁을 받아 예약 대행 등의 서비스를 제공하는 업체입니다.
그러나 이 업체의 사이트를 통해 예약을 하기 위해서는 반드시 주민등록번호를 입력하게 되어있습니다.

업체에 수집 이유를 문의 결과 동명이인이 있어 수집해야하고, 사용자의 반복적인 병원예약 시 편의성 제공을 위해 개인정보를 서버에 저장해야 한다는 답변을 들었으나, 분명히 법적으로 허용되지 않은 공공기관에서 조차 개인정보를 수집할 수 없게 되어있는데 동명이인을 방지 및 서비스 제공의 목적으로 주민등록번호를 수집 및 저장한다는 것은 이유가 될 수 없을 것입니다.

또한, 업체에서는 의료기관에서 환자 예약을 위탁 받았기 때문에 주민등록번호를 수집하는 것이 법적으로 문제가 없다고 하지만 명백히 의료기관으로 사업자등록이 되어있지 않는 업체에서 민감한 개인정보를 수집한다는 것이 합법적인지에 대한 의문이 있습니다.

금융기관에서조차 개인정보가 유출되고있는 마당에 업체의 개인정보취급방침에는 주민등록번호를 암호화하여 보관한다고 하지만 그 안정성이 신뢰할 만한 기관에서 입증을 받은 것인지조차 밝히지 않아 신뢰할 수가 없습니다.

따라서 아래와 같은 사항에 대한 민원을 처리해 주시면 감사하겠습니다.
1. 의료기관으로부터 환자 예약서비스를 의뢰받은 에버메디에서 환자의 주민등록번호를 수집하는 것이 합법인가?
2-1. 합법이라면 개인정보취급에 있어 그 안전성을 입증받고 사용자에게 공지해야할 의무는 없는가?
2-2. 불법이라면 주민등록번호를 대채할 수단을 사용하도록 개인정보보호위원회엣는 해당 업체에 지시 또는 권고를 할 수 있는가?

Answer 1

안녕하세요. 방송통신위원회입니다. 
방송통신의 건전한 발전을 위한 관심과 참여에 감사드립니다. 

현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)은 온라인 상에서 개인정보에 관한 사업자의 의무사항을 규정하고 있습니다. 
정보통신망법 제23조의2에 따라 정보통신서비스제공자는 이용자의 주민등록번호 수집 이용을 원칙적으로 제한하고 있습니다. 다만, 본인확인기관으로 지정받거나, 다른 법령에서 이용자의 주민등록번호 수집 이용을 허용하고 있는 경우 예외로 하고 있습니다. 

현재 의료기관의 경우 의료법에 근거하여 진단서, 처방전 등의 기재사항에 주민번호를 기재하도록 하고 있어 이용자의 동의를 받아 주민등록번호 수집 이용이 가능합니다. 
말씀하신 해당 사업자는 병원 예약과 관련하여 병원으로부터 예약 업무를 위탁받아 서비스를 제공하고 있는 사업자로 판단됩니다. 병원의 위탁을 받은 사업자를 정보통신망법 적용대상으로 한정하여 위반여부를 판단하기 어렵고, 의료기관에서 위탁받은 사업자의 주민번호 수집이용에 대한 사항은 의료법 및 개인정보보호법 소관부처로 위법여부를 문의가 필요할 것으로 판단됩니다.

참고로 정보통신서비스 제공자가 다른 법령에서 허용하고 있는 경우 외에 주민등록번호를 별도로 수집 이용하고 있는 사업자가 있다면 한국인터넷진흥원 개인정보침해신고센터(http://privacy.kisa.or.kr 또는 국번없이 118)로 신고하여 주시기 바랍니다. . 감사합니다.

담당부서 :

방송통신위원회 이용자정책국 개인정보보호윤리과 (☎ 02)

관련법령 :

정보통신망 이용촉진 및 정보보호 등에 관한 법률제23조의2(주민등록번호의 사용 제한)

출처: 국민신문고