DB손해보험이 건강보험심사평가원(심평원)에 집적된 개인민감정보를 편취한 정황이 드러났다. 개인의 민감정보인 진료기록을 관리하는 심평원은 해당 사실을 인지하지 못한 것으로 확인됐다.
DB손보는 보험금을 청구한 가입자에게 제대로 된 설명 없이 카카오톡 메시지로 민감정보 제공 동의를 유도하고 진료정보를 열람했다. 보험금 청구권자 대부분이 피해 사실 자체를 몰랐을 것이라는 점이 우려를 키운다.
22일 보험업계에 따르면 DB손보는 최근 보험금을 청구한 고객에게 카카오톡 메시지를 보내 심평원 진료정보 열람을 위한 정보제공에 동의해줄 것을 요청했다(관련기사: [단독] DB손보, 개인민감정보 부당 수집 논란...미동의시 보험금 지급 불가?). 현행법상 정보제공 동의 요청시 반드시 포함해야 하는 내용은 부실하게 기입하거나 생략돼 있었다.
DB손보 가입자가 정보제공 동의요청을 수락할 경우 심평원에 집적된 본인의 5년치 진료정보가 고스란히 해당 보험사로 넘어가게 된다. 개인의 진료정보는 민감정보로 구분된다.
현재 심평원은 정보주체 본인이 과거의 진료정보를 열람할 수 있도록 '내 진료정보 열람' 서비스를 운영 중이다. 정보주체 본인이라면 홈페이지나 심평원이 운영 중인 어플리케이션(건강e음)을 통해 쉽게 조회가 가능하다.
보험사 등 대리인의 경우엔 사정이 다르다. 정보제공 동의를 받았더라도 보험사가 정보주체(고객)의 진료정보를 열람하기 위해선 구비서류를 지참해 건보공단 또는 심평원에 직접 방문해야 한다.
보험사 등 대리인이 심평원 정보를 열람하기 위해 필요한 서류는 ▲방문 신청서 ▲신분증 ▲위임장 ▲인감증명서(본인서명사실확인서) ▲개인정보 수집·이용 동의서 등이다. 신청서를 제외한 모든 서류는 정보주체가 작성하고 정보주체 기준으로 발급된 서류여야 한다.
게다가 보험사가 구비서류를 지참하더라도 정보 열람을 거부하는 곳이 적지 않다는 게 업계 관계자의 설명이다. 한 보험사 보상담당자는 "보험사 제출 의무가 없다는 걸 이유로 정보 열람을 거부하는 건보공단 지역본부도 상당수"라고 말했다.
이는 진료정보가 민감정보로 분류되기 때문이다. 민감정보는 보호가 핵심이다. 일반정보에 비해 분쟁의 소지도 크다. 이에 건보공단에서도 보험사 등에 쉽게 공개하지 않는 것. 심평원 홈페이지에는 열람하는 진료정보가 보험사 제출 증빙자료로 활용될 수 없다고 명시하고 있다.
이런 까다로운 절차를 건너뛰고 민감정보인 진료기록을 손쉽게 확보하기 위해 DB손보가 편법을 동원했다는 게 업계 관계자들의 해석이다. 보험사고 조사시 소요되는 비용 절감도 주효했을 것으로 분석된다. 통상 보험사들이 보험사고 조사를 위해 손해사정업체에 외주를 맡길 때 드는 기본비용만 건당 30만~50만원으로 전해진다.
DB손보 관계자는 "신속한 보험금을 지급하기 위해 마련한 절차"라며 "제척기간 내 진료내역이 없으면 곧바로 보험금을 지급한다"고 설명했다. 이어 "당초 보험금 지급에 문제가 없는 고객이라면 정보제공 동의 요청을 흔쾌히 수락할 것"이라며 "정보제공 미동의 고객에게는 사고 조사인력을 따로 파견한다"고 밝혔다.
업계에서는 공분이 일고 있다. 정보제공 동의를 거부한 고객을 보험금 청구권에 문제가 있는 것처럼 간주하는 건 보험계약 저변에 깔린 핵심 원칙을 부정한 것과 같다는 지적이다.
한 보험업계 관계자는 "모든 보험계약은 계약당사자의 선의성에 기반한다"면서 "계약을 성립시키는 건 쌍방이 의무를 이행할 것이란 선의의 믿음이지 증빙이 아니다"고 강조했다. 이어 "보험료를 받아오다가 보험금이 청구되니 일괄적으로 진료정보를 확인하겠다는 것은 가입자를 더는 선의의 고객으로 보지 않겠단 의미로 해석될 수 있다"며 "가입 문은 넓히고 지급 문은 좁히겠다는 철저히 보험사 입장에서의 논리"라고 꼬집었다.
또 다른 업계 관계자도 "다른 보험사들은 보험사고 조사시 일일이 조사인력을 파견해 고객에게 설명하고 동의를 구한다"며 "이는 최소한의 조사 필요성을 설명하고 선택할 기회를 고객에게 보장하기 위한 것"이라고 밝혔다.
고객 동의를 받아 열람할 수 있는 심평원 진료정보는 최대 5년치에 달한다. 의료기관별 진료내역은 물론 진단코드명, 처방조제된 약품명·성분명, 투약량, 투약횟수까지 조회가 가능하다.
심평원은 그동안 민감정보에 대한 DB손보의 접근을 인지하지 못한 것으로 확인됐다.
심평원 관계자는 "진료정보 열람 서비스의 취지는 정보주체 본인이 진료내역을 확인할 수 있도록 하는 것"이라며 "보험사용 화면이 따로 구축된 게 아니므로 보험사는 정보주체와 동일한 방식으로 진료정보를 열람했을 것"이라고 말했다.
이어 "보험사가 고객으로부터 정보제공 동의를 받아 접속했다면 이를 심평원이 인지하고 선별할 수 있는 방법은 없다"면서 "설령 인지했더라도 보험사가 고객의 동의 아래 진행됐다고 주장하면 이를 제재할 권한이 없다"고 토로했다.
저작권자 ⓒ 뉴스포트, 무단 전재 및 재배포 금지