한국IMS헬스데이터ㆍ지누스ㆍ약학정보원의 개인정보보호법 위반 형사소송(2015고합665)이 검사 측 항소로 새 국면에 접어들게 됐다.

검찰은 21일 항소장을 제출하며 6년의 긴 싸움에 또 한 번 불을 붙였다.

약정원과 한국IMS헬스데이터는 지난 14일 서울중앙지방법원 1심 판결을 통해 각각 무죄를 선고받은 바 있다.

지누스는 한국IMS헬스데이터와 업무협약을 통해 수집한 20여 종의 환자 진료정보에 대해서는 무죄를 선고 받았으나 업무협약 외 수집한 60여 종의 정보에 발목을 잡히며, 지누스 주식회사에는 500만원의 벌금을, 김성림 대표에겐 징역 6개월 집행유예 1년의 형을 선고받았다.

이에 의약뉴스는 1심 판결문을 살펴보며, 각 피고들에 대한 사실들과 판결 근거를 다시 한 번 짚어 봤다.

◇지누스 – 한국IMS헬스데이터와의 협약 외 정보 수집에 덜미
한국IMS헬스데이터는 지누스 측에 병ㆍ의원으로부터 환자정보, 처방정보 등을 자동 수집할 수 있는 프로그램 개발을 요청했다.

이에 한국IMS헬스데이터는 ‘e-PM’프로그램을 개발하고, 병ㆍ의원 진료차트프로그램인 ‘비트U차트’와 ‘네오차트’에서 위 정보들을 수집하는 ‘Trans.exe’프로그램을 설치했다.

이후 지누스의 데이터베이스 서버에는 331개 병ㆍ의원에 대한 처방정보(요양기관 코드, 처방일자, 처방약코드, 처방내용, 약품명, 복용량, 진료일자) 및 진료내역 정보(이름, 주민등록번호, 연락처, 병ㆍ의원명, 처방일자 등) 등 80여개 정보를 정보주체인 환자 동의 없이 저장됐다.

재판부는 이 같은 사실에서 검찰측이 제시한 범죄일람표를 토대로 일부 정보가 마스킹 처리 돼 있으나, 여러 자료를 종합해보면 환자 특정에 무리가 없다는 판단을 내렸다.

특히 재판부는 당시 지누스가 수집한 정보가, 당초 한국IMS헬스데이터가 요청한 정보 범위를 넘어서며, 내용 역시 환자를 특정할 수 있는 민감 정보가 포함됐다는 것에 주목했다.

또한 이처럼 협약외 정보 수집ㆍ저장행위는 수탁자의 지위를 넘어서는 것으로 개인정보보호법 상 수탁자와 처리자의 지위를 동시에 보유할 수 없는 만큼, 처리자로 봐야 한다고 판단했다.

다만 재판부는 당시 시점이 개인정보보호법 시행 전ㆍ후의 혼란한 상황이었고, 특정한 정보만을 수집할 수 있는 기술적ㆍ시기적 한계가 존재했다는 점과 이로 인한 실질적 피해자가 발생하지 않았다는 사실은 인정했다.

이에 재판부는 지누스 김성림 대표에게 징역 6월과 집행유예 1년을, 지누스에는 벌금 500만원을 선고했다.

◇약학정보원 – 복호화 의도 및 필요성 확인할 수 없어
약정원은 한국IMS헬스데이터 허경화 대표이사로부터 약정원 산하 회원 약국에 보관된 처방전 정보 등을 제공해 달라는 제의를 받게 되고, 이에 PM2000에 처방전 정보를 수집해 한국IMS헬스에 판매하는 사업을 약정원 주력사업으로 추진키로 결정했다.

이후 약정원은 2010년 1월부터 2010년 12월 26일 경 까지 약국에 저장된 조제정보(환자 주민등록번호, 생년월일, 약국코드, 처방전번호, 처방기관번호, 처방일, 처방전 교부번호, 처방전구분, 환자번호, 의사면허, 약국 접수일, 상병기호, 청구액, 조제료 합계, 총 약가, 비보험 약가, 처방기관, 우편번호, 주소, 전화번호, 프로그램 버전, 입력 서버 이름)를 약정원 서버에 자동으로 전송하는 프로그램을 개발했다.

이때 약정원은 약사법상 타인의 비밀 누설 등의 문제를 회피하기 위해 약국 환자 주민등록번호 15자리는 알파벳으로 암호화 하는 기능도 자체적으로 탑재한 것처럼 포장했다.

그러나 실상은 이 같은 암호화 기능은 한국IMS헬스 측에서 개발, 약정원에 넘겨준 것으로 사실상 한국IMS헬스는 환자 인적사항을 언제든 해독 할 수 있는 상황이었다.

약정원은 이 사실을 은닉한 채 2011년 1월 28일 경 PM2000 업데이트 파일에 이를 내장, 전용서버에 업로드 했고 이를 잘 모르는 전국 9000여개 약국들로 하여금 단순히 프로그램 업데이트로 알게 했다.

당시 김대업 전 원장 후임으로 취임한 양덕숙 직전 원장은 해당 사업을 지속해 왔다.

2013년 12월 경, 중앙지법 수사를 받은 약정원은 2014년 7월 28일 약국으로부터 조제정보를 불법 수집했다는 이유로 공소제기를 당하게 됐다.

그러나 약정원은 ‘개인정보를 수집하거나 제공하는 과정에서 인적사항은 알파벳으로 치환했다’라는 이유로 개인정보가 아니라는 주장을 하며 자동전송사업을 2015년 1월까지 강행했다.

이 같은 사실을 토대로 한 재판부의 판단은 무죄였다.

먼저 재판부는 개인정보는 암호화 됐다 할지라도 복호화 가능성이 있다면 개인정보로 봐야하나, 식별가능한 개인정보에 해당하는 것과 행위자가 그 정보를 식별가능한 개인정보로 인식했는지 여부는 별개라고 설명했다.

약정원의 정보 수집에 고의가 있었는지 판단해야 한다는 것.

재판부는 약정원과 한국IMS헬스의 협약 체결 당시, 암호화 여부가 명시돼 있었고, 이에 따라 수집한 정보는 처음부터 암호화 돼 있던 만큼, 약정원에는 이를 복호화 하거나 식별화 할 의도나 동기가 없다고 판단했다.

또한 당시는 개인정보보호법 시행 이전으로, 암호화 의무가 없었음에도 불구, 암호화 했다는 것은 이들에 대한 고의를 가진 자가 취할 행동으로 보기는 어렵다는 판결을 내렸다.

◇한국IMS헬스 – 복호화ㆍ식별화 의지 없고, 데이터 가공 및 처리 하지 않았다
한국IMS헬스의 무죄 판결에는 약정원 무죄 판결과 유사한 근거가 적용됐다.

약정원과 지누스 양쪽에 연류된 한국IMS헬스데이터는 각 피고측에 대한 정보 수집과 미국IMS헬스데이터 본사에 데이터를 전송하는 과정에서 정보의 가공 여부와, 비식별 데이터의 복호화 의도 여부가 재판부 판결을 갈랐다.

우선 재판부는 한국IMS헬스데이터가 지누스와 약정원에 각 위탁한 환자정보에는 이름, 주민등록번호 등에 대한 암호화 요청이 포함돼 있다고 인정했다.

또한 한국IMS헬스가 미국IMS헬스 본사에 정보를 보낸 행위는 인정되나, 이 과정에서 정보의 가공, 처리가 없었기에 미국본사에 환자 진료정보를 위탁했다고 볼 수 있다고 봤다.

특히 한국IMS헬스는 미국IMS헬스에 데이터를 보내면서도 가공비용을 지급, 이는 통상적으로 개인정보를 이전받는 측에서 대가를 지급하는 행위와는 구별된다고 판단했다.

한편, 검찰의 항소에 따라 법원의 인용 여부에 관심이 쏠린다.