보험업계, “고객 개인 민감정보 편법 수집”
[하비엔뉴스 = 홍세기 기자] DB손해보험이 ‘고객 개인의 민감한 정보를 부당하게 수집하고 있다’는 논란에 휩싸였다.
22일 ‘뉴스포트’ 보도에 따르면, DB손해보험은 고객이 오해할 만한 방식으로 정보제공 동의를 유도하고 제3기관에 집적된 민감정보를 수집한 정황이 드러났다.
이에 대해 DB손보 측은 “고객에게 충분히 안내했다”고 해명하고 있지만, 안내 내용이 ‘책임 회피를 위한 요식행위로 보인다’는 것이 보험업계 관계자들의 지적이다.
 |
| DB손해보험. |
보도에 따르면, A씨는 DB손보로부터 카카오톡 메시지를 받았고, 이 메시지는 신속한 보상처리를 위해 건강보험심사평가원(심평원)의 진료내역 등 개인정보를 열람할 수 있도록 동의해 달라는 내용이었다. 특히 카카오톡 첫 화면에는 동의 절차 이외 다른 언급은 없었다.
DB손보 측의 이같은 절차 요구는 보상 절차에 대해 정확히 모르는 가입자로서는 필수 사항으로 인식할 수 있다. 이에 A씨는 큰 의심 없이 동의 버튼을 눌렀고, 인증절차는 DB손보로부터 정보수집을 위탁받은 업체(그린리본)가 심평원에 집적된 정보를 수집할 수 있도록 A씨 본인이 수신한 인증번호를 입력하는 방식으로 진행됐다.
이처럼 간단한 절차를 통해 DB손보는 A씨에 대한 심평원 정보를 확인할 수 있었다. 하지만 업계 관계자는 DB손보 측의 이같은 동의 및 인증 과정에 문제가 있다는 지적이다.
현행 개인정보보호법에서는 개인정보처리자가 정보주체의 동의를 받은 경우 개인정보를 수집, 이용할 수 있도록 허용하고 있다. 다만, 개인정보처리자는 ▲개인정보의 수집·이용목적 ▲수집하려는 개인정보 항목 ▲개인정보 보유·이용기간 ▲동의를 거부할 권리가 있다는 사실 ▲미동의 시 겪게 될 불이익 등을 정보주체에 반드시 알려야 한다.
이는 정보주체가 정보제공 동의에 대한 충분한 설명을 듣고 합리적 선택을 할 수 있도록 하기 위한 취지다.
아울러 개인정보처리자는 목적에 필요한 범위에서 최소한의 개인정보만을 적법·정당하게 수집해야 하고, 수집한 개인 정보를 목적 외의 용도로 활용해서도 안 된다.
A씨가 거친 동의 및 인증 절차를 보면, 보험사 입장만 반영했을 뿐 고객의 알권리와 선택권은 사실상 무시됐다는 것이다. 보험에 대해 잘 알지 못하는 A씨와 같은 경우 본인이 동의한 개인정보가 어떻게 활용될 것인지 짐작하기가 쉽지 않기 때문이다.
정보처리자는 정보제공 동의 요청 시 수집한 개인정보가 어떤 목적으로 이용될지 정보주체에게 알려야 한다. A씨의 인증절차에도 이러한 설명이 제공됐지만, A씨가 확인한 정보수집 이용의 목적은 ▲본인 인증 및 확인 ▲위탁사인 DB손보에 정보 제공뿐이었다.
즉, A씨는 1차 정보처리자인 그린리본의 이용목적을 안내받았을 뿐 최종 정보처리자인 DB손보의 목적을 안내받은 게 아니라는 얘기다. 1차 정보처리자가 이용목적을 안내한 만큼 법에 저촉되는 것은 아니지만, 보험사가 자신의 정보를 어디에 쓸지 알고 싶은 고객으로서는 이를 확인할 수 없다.
또 정보제공에 동의하지 않는 고객이 받게 될 불이익에 대한 안내도 문제가 있다는 주장이다.
안내문에는 정보제공에 미동의한 고객은 ‘서비스’를 이용할 수 없다고 명시돼 있다. 여기서 말하는 ‘서비스’는 ‘심평원을 통해 진료정보를 제공받는 서비스’라는 게 DB손보의 설명이다. 따라서 정보제공 동의를 거부한 고객은 심평원의 진료 정보를 제공받을 수 없게 된다.
고객 입장에서는 ‘서비스 이용이 불가능하다’는 설명이 가입자에게 보험금 청구권에 문제가 생길 것이란 오해를 심어줄 수 있다. 실제로 DB손보 가입자가 정보제공 동의 요청을 수락하면 심평원이 수집한 5년치 진료정보가 고스란히 해당 보험사로 넘어갈 수 있다.
심평원은 정보주체 본인이 과거의 진료정보를 열람할 수 있도록 ‘내 진료정보 열람’ 서비스를 운영 중이고, 정보주체 본인이라면 홈페이지나 심평원이 운영 중인 애플리케이션(건강e음)을 통해 손쉽게 조회가 가능해 이를 보험사가 확인 할 수 있게 된다.
만약 고객이 이를 동의하지 않는다면, 통상 보험사 등 대리인의 경우 정보 제공 동의를 받았더라도 정보주체(고객)의 진료정보를 열람하기 위해서는 구비서류를 지참해 건보공단 또는 심평원을 직접 방문해야 한다.
보험사 등 대리인이 심평원 정보를 열람하기 위해 구비해야 할 서류는 ▲방문 신청서 ▲신분증 ▲위임장 ▲인감증명서(본인서명사실확인서) ▲개인정보 수집·이용 동의서 등이 있고, 신청서를 제외한 모든 서류는 정보주체가 작성하고 정보주체 기준으로 발급된 서류이어야 한다.
따라서 DB손보의 이같은 정보제공 동의 요청 행위는 까다로운 절차를 건너뛰고 민감정보인 진료기록을 손쉽게 확보하기 위한 편법이라는 지적이다.
이와 관련 DB손보 관계자는 “업계 최초로 진행하는 서비스이고, 서비스 시작 전 법률 검토를 끝낸 상황이다”라며 문제가 없다는 입장이다.
[ⓒ 하비엔뉴스. 무단전재-재배포 금지]
