[청년의사 신문 이혜선] 환자의 진료내역이 담긴 개인정보를 무단으로 수집하고 제공해 개인정보보호법 위반 혐의로 기소된 약학정보원, 지누스, IMS 헬스코리아(이하 IMS)와 검찰이 ‘개인정보’의 범위를 두고 팽팽히 맞섰다.

서울중앙지법 제22형사부(재판장 장준현)는 지난 15일 약학정보원, 지누스, IMS 법인 3곳과 그 관계자들에 대해 사건 병합 후 두 번째 공판을 진행했다.

약학정보원과 IMS는 지난 2013년과 2015년 검찰 수사에 따른 개인정보보호법 위반혐의로 기소됐으며, 지누스 역시 환자진료정보를 불법수집하고 IMS 판매해 개인정보보호법을 위반한 혐의로 기소됐다.

이날 공판에서는 검찰 측과 피고인 측이 2시간 30분에 걸쳐 각각 이번 사건에 대한 입장을 담은 PPT를 발표하며 서로의 주장을 확인했다.

가장 첨예하게 대립한 지점은 피고인들이 수집하고 판매한 정보가 과연 개인정보보호법 상 ‘개인정보’가 맞느냐는 것이었다.

검찰 측은 피고인들이 개인정보보호법 제23조 민감정보 처리제한, 의료법 제19조, 약사법제87조 비밀누설금지 조항, 개인정보보호법 관련 업무위탁고시 제26조 등을 모두 위반했다고 주장했다.

검찰은 “개인정보보호법 제2조에 따르면, 개인정보란 살아있는 개인에 관한 정보를 뜻한다. 로 성명, 주민등록번호 등 개인을 알아볼 수 있는 정보를 의미한다” 면서 “대법원 및 하급심 판례를 보면, 휴대전화번호 뒷자리, 휴대폰 IMEI, 휴대폰 유심값 및 일련번호, 이메일주소는 개인정보라고 인정한 판례가 있다”고 했다.

개인의 건강, 성생활 등 민감한 정보는 처리에 제한을 두고 있고, 환자 정보는 별도의 동의가 없는 한 제3자가 열람할 수 없다는 점, 피고인들의 주장대로 병의원 및 약국의 업무를 수탁받았다 할지라도 준용 규정이나 별도의 동의가 필요한데 그러지 않았다는 점을 들어 개인정보보호법 위반이라는 점을 피력했다.

특히 “약학정보원 등이 IMS가 제공한 암호화방식으로 개인정보를 암호화했으나 이는 암호화라고 볼 수 없는 수준”이라고 지적하면서 “암호화했더라도 개인정보는 개인정보에 해당한다”고 주장했다.

이같은 검찰의 주장에 피고인 측 공동 변호인들은 “수집된 환자진료 및 처방정보는 각기 다른 개인을 구분할 정도는 되지만 개개인을 식별할 수 있는 민감정보는 아니다”라고 반박했다.

약학정보원 변호를 맡고 있는 태평양 측은 “서울대 법과대 고학수 교수의 법리적 의견에 따르면, 주민번호를 일방향 암호화 방식으로 암호화한 경우나 양방향으로 암호화해 복호화가 불가능하도록 수행하는 경우, 암호화된 식별정보는 그 자체로서 고유식별정보로서 가치를 상실한다”는 의견을 내놨다.

또한 이미 건강보험심사평가원에서 환자의 이름, 피보험자, 성명, 주민등록번호 등의 정보가 전송되고 있으며, PM2000에는 이를 암호화한 정보를 IMS측에 제공한 것이라고 반박했다.

지누스의 변호를 맡고 있는 화우 측 역시 “IMS에 전달한 통계정보는 개인 식별이 불가능항 비식별 정보이다”라고 주장하면서 “검찰은 개인정보보호법이 시행되기 이전에 적법하게 처리된 개인정보까지 소급해 적용하고 있다”고 지적했다.

식별이 불가능하게 암호화된 개인정보도 개인정보라는 게 검찰 측 입장이고 식별이 불가능한 정보는 개인정보가 아니라는 게 피고인 측 주장인 것이다.

결국, 개인정보에 관해 암호화된 주민등록번호의 ‘개인정보성’이 인정될 수 있느냐가 핵심 쟁점으로 떠오른 셈이다.

검찰은 “피고인들의 개인정보 암호화 방식은 암호화라고 할 수도 없는 수준”이라면서 재차 피고인들의 개인정보보호법 위반 혐의를 강조했다.

재판부는 다음 공판 기일에 ‘개인정보’에 대해 서로 다르게 인식하고 있는 부분에 대한 사실관계 확인과 향후 효율적인 증인심문에 관한 심리계획서를 제출해줄 것을 요구했다.

다음 공판 기일은 11월 19일 오전 11시다.