개인정보를 유출했다며 의사와 환자 등 약 2,000명이 약학정보원과 대한약사회, IMS헬스코리아를 상대로 54억원 규모의 손해배상 소송을 냈지만 결국 패소했다.

서울중앙지법 민사합의26부는 지난 11일 약학정보원, IMS헬스코리아가 환자의 개인정보를 유출해 개인정보보호법을 위반한 사실은 인정하지만 이로 인한 손해발생 증거가 부족하고, 법적용 기간이 지났다며 약학정보원 손을 들어줬다.

약학정보원, IMS헬스코리아는 지난 2013년 12월에 서울중앙지검으로부터 개인정보보호법 위반 혐의로 압수수색을 받았다. 약학정보원이 개발해 약국에 보급한 약국 청구관리 프로그램인 PM2000을 통해 환자 및 의사의 개인정보가 수집됐고, 이 정보가 다국적 기업인 IMS헬스 코리아에 제공됐다는 혐의였다.

실제로 수집된 정보는 약학정보원을 통해 IMS헬스 코리아에 제공됐다. 또한 이 과정에서 개인정보 암호화 수준이 낮아 개인 식별이 가능했다는 점 등을 이유로 검찰은 약학정보원, IMS헬스코리아 등을 기소했다.

이에 대한의사협회 기획정책위원회 산하 ‘의료정보보호 특별위원회’는 2014년 이들을 대상으로 의사와 환자 약 2,000여명이 참여한 54억원 규모의 집단 손해배상 소송을 제기했다. 배상액은 의사 1인당 300만원, 환자 1인당 200만원이다.

개인정보를 직접적으로 유출한 혐의를 받은 약학정보원, IMS헬스 코리아 외에도 PM2000의 실제 관리운영주체인 대한약사회도 소송대상에 포함됐다.

그러나 재판부는 소송이 제기된 지 3년 만에 원고 패소 판결을 내렸다.

약학정보원과 IMS헬스코리아의 경우, 2011년부터 2014년 6월까지 PM2000을 통해 수집한 정보는 암호화 수준이 낮아 개인식별이 가능한 만큼 개인정보보호법을 위반했다고 봤다.

하지만 수집된 개인정보가 IMS헬스코리아 외에 외부에 유출되지 않았고, 범죄 등에 이용되지 않은 점을 들어 실제 손해가 발생했다고 판단할 근거가 부족하다고 했다.

또한 약사회가 PM2000의 저작권자라는 이유만으로 개인정보보호법을 위반했다고 보기 어렵다고 판단했다.

즉, 개인정보보호법 위반은 인정되지만 이로 인해 발생한 피해가 없기 때문에 손해배상을 할 이유가 없다는 판단이다.

한편, 민사소송에서 개인정보보호법 위반혐의가 인정된 만큼 현재 선고만 남겨둔 형사재판 선고에서도 약학정보원, IMS헬스코리아 등의 개인정보보호법 위반혐의가 인정될 가능성이 높아 보인다.

검찰은 2016년 11월에 환자 정보를 무단으로 제공·수집하고 판매해 개인정보보호법 및 정보통신망법 등을 위반한 IMS헬스코리아, 지누스, 약학정보원 등에 징역 및 벌금 최고형을 구형했다. 현재 형사재판은 선고만 남겨둔 상태로 아직 선고기일은 확정되지 않았다.