검찰 '개인정보 유출 사실 주목'-업체들 '민감정보 아니다'

IMS헬스코리아 개인정보사용에 관한 화두 제시도

검찰기소로 이뤄진 약정원·IMS헬스 등에 대한 첫 공판 쟁점은 '민감한 환자 개인정보가 유출됐는지에 대한 여부'였다.

검찰은 이들이 동의 없이 환자 개인정보 불법유출을 통해 부당이득을 취득했다고 본 반면, 해당 업체들은 식별이 가능한 민감정보가 유출된 것이 아니기 때문에 무죄라고 주장했다.

서울중앙지방법원 제22형사부(판사 장준현)는 8일 서울중앙지법 서관 510호에서 지누스(대표 김성림)·약학정보원(대표 조찬휘)·IMS헬스코리아(대표 허경화)의 개인정보보호법 위반 등에 관한 첫 공판을 진행했다.

검찰은 지누스사가 2008년 3월부터 2014년 12월 경 사이에 개인정보 보호법 시행 이전에 무단수집한 환자 정보를 계속해서 서버에 불법보유했으며 7500개 병원으로부터 약 7억 2000만건의 환자 진료·처방 정보를 병원측 설명과 환자 동의 없이 무단으로 보유했다고 공소사실을 설명했다.

또 2011년 10월부터 2014년 12월경까지 3억 3000만원을 받고 약 4억 3019만건의 환자진료 처방정보를 IMS헬스코리아에 임의제공했다고 부연했다.

약학정보원에 대해서는 2011년 1월부터 2014월 11월경 가맹 약국에 경영관리 프로그램(PM2000, 보험청구 프로그램 등 포함)을 배부한 것을 기화로 약 1만 800개 약국으로부터 환자 조제정보 약 43억 3593만건을 약국 측에 설명과 환자 동의 없이 수집·저장 보유했다고 밝혔다.

이러한 정보들을 2011년 1월부터 2014년 11월경 약 16억원을 받고 IMS헬스사에 위 환자 조제정보를 제공해 환자정보 불법처리했다는 설명이다.

검찰은 환자 인적사항이 암호화 돼 있다는 점에 대해서는 "IMS헬스사에서 환자 주민등록번호를 알파벳으로 암호화(치환방식)하는 방식을 개발해 지누스사 및 약정원재단에 제공했다"며 "그럼에도 불구하고, IMS헬스사 임원의 허위 진술 요구에 따라 약정원재단 팀장이 형사2부의 수사를 받으며 '약정원재단이 자체개발했다'는 취지로 허위 진술하고 약정원재단 형사사건에서 위증했다"고 지적했다.

지누스·약정원 '민감한 개인정보 포함 안 돼'

반면, 해당 업체들은 공통적으로 개인정보제공 사실은 인정하지만, 공소 요지로 나온 '개인정보 유출'에 대해서는 환자의 민감한 개인정보가 들어가지 않아 개인정보보호법 위반 사항에서는 무죄라는 입장을 강조했다.

우선 지누스 측은 "해당 사업이 병원·의사로부터 적법하게 위탁받아 업무처리했으며, 식별 가능한 정보를 제공한 바 없다"며 "이번 사건은 검찰이 개인정보보호법을 오해하고 잘못파악해 시작된 사건"이라고 반박했다,

이어 "식별가능 정보를 제공하지않은 점과 제공된 프로그램은 정부에서도 우수한 프로그램에서 인정받은 바 있는 만큼 이런 점 등을 고려해 재판부에 무죄 선고해줄 것을 요청한다"고 밝혔다.

약학정보원 측은 "IMS헬스코리아에 조제정보를 제공한 것은 인정하지만, 해당 정보들은 환자 개인정보 식별이 어려운 암호화한 상태로 제공했다"며 "민감한 정보는 개인정보성을 갖고 있는 정보인데, 제공된 정보는 민감정보가 아니며 개별약사 약관을 통해 이미 동의를 얻은 사항"이라고 성명했다.

정보제공의 주된 취지가 개인의 정보확인이 아닌 일반적 투약행태를 보기 위한 것으로, 그중에 문제가 되는 주민등록번호도 수집단계에서부터 암호화돼 특정 개인을 인식할 수 없다는 설명이다.

IMS헬스 '정보통계에 민감정보 필요없어'

IMS헬스코리아는 지누스·약학정보원의 개인정보 제공 합법성 주장에 동의하는 동시에 개인정보 사용이 통계를 목적으로 위함을 강조했다.

IMS헬스코리아 측은 "IMS는 전세계 100여국이 넘는 곳에서 보건분야 통계분석을 이미 제공하고 있다"며 "통계분석 서비스는 기본적으로 통계목적으로 하므로, 마치 법원에서 매년 사법연감을 내는 것과 같이 개인정보는 불필요하다"고 설명했다.

이어 "검찰측에서는 각각 4억, 43억건이 넘는 엄청난 정보를 유출한 사건이라고 규정하고 있지만 이는 우리나라에서 앞으로 차세대 동력사업으로 활용될 빅데이터와 연관돼있다"며 "IMS헬스는 환자 프라이버시를 존중한다는 점은 지속적으로 유념하고 있다"고 말했다.

아울러 "약학정보원에게 암호화 규칙을 알려주고 이를 IMS헬스코리아 한경화 대표가 알고 있기 때문에 식별이 가능해 문제삼은것으로 보인다"며 "해당 사건시점은 개인정보보호법이 시행되기 이전 시점에 적용한 것으로 개인정보보호를 위한 적극적 조치"라고 정리했다.

재판부는 오는 10월 15일 오후 2시에 재판을 속행하기로 결정했으며, 증거의견 확인 및 심리계획등을 확정하고 쟁점사항에 대한 PT 설명이 진행될 예정이다.

저작권자 © 의학신문 무단전재 및 재배포 금지