급속한 정보통신 기술의 발달과 이에 따른 디지털화로 이른바 ‘빅데이터’ 시대가 도래했다.
빅데이터를 잘 활용하면 무한한 가치를 창출해 낼 수 있다. 하지만 해킹, 개인정보 유출 등의 부작용 역시 간과해서는 안 된다.
보건의료계에서 최근 우려했던 일이 발생했다. 환자의 처방정보 등을 수집해 수익사업을 벌였다는 의혹이다.
서울중앙지검은 지난 11일 약학정보원과 IMS 헬스코리아에 대해 개인정보보호법 위반 혐의로 압수 수색을 단행했다.
검찰이 수사중인 서류에는 병원이나 약국 정보는 물론, 환자 이름, 진단명, 처방약물까지 고스란히 적혀 있으며, 2007년부터 2012년까지 이렇게 불법 수집된 의료정보가 확인된 것만 300만건이라고 한다.
약학정보원은 자신들이 배포한 약국관리 프로그램인 ‘PM2000’을 통해 개인 의료정보를 수집해 IMS 헬스코리아라는 다국적 정보회사에 넘겼고, IMS는 이 정보를 가공해 제약회사에 팔았다는 의혹을 받고 있다.
하지만 약학정보원은 자신들의 데이터에는 환자명이나 보호자명 등은 들어가지 않으며, 주민번호 역시 암호화 처리돼 식별할 수 없다고 주장했다.
대한약사회 모 임원도 협회지를 통해 “약학정보원의 데이터는 엑셀파일로 암호화돼 있다.”라면서, “환자 주민번호는 8번째 셀에, 의사 이름은 10번째 셀에, 환자 생년월일은 36번째 셀에 암호화돼 데이터화 돼 있다.”라고 해명(?)하기도 했다.
그러나 약학정보원과 약사회 임원의 이 같은 해명은 전혀 설득력이 없을 뿐더러, 오히려 자신들의 범죄 사실을 인정하고 있는 꼴이라 ‘엑스맨’이 아닌가 하는 생각까지 든다.
우선 암호화를 했기 때문에 상관 없다는 주장부터가 말이 안 된다. 민간이 개인정보를 수집하는 것 자체가 불법인데, 암호화 했으니 괜찮다는 것인가?
검찰이 약학정보원에 대한 압수수색을 단행한 것은 개인정보를 암호화 하지 않았기 때문이 아니라, 개인정보를 무단으로 수집했기 때문이다.
또한 ‘약국에 전산망을 설치해주면서 의료정보를 은밀하게 모을 수 있도록 시스템을 만들어 놓았다’는 지적에 대해 약학정보원이 “PM2000 사용 약관에 프로그램 사용 시 발생한 정보에 대해 약학정보원이 수집ㆍ이용하는 것에 동의하는 것으로 간주돼 있다.”라고 해명하는 것도 설득력이 없다.
약국이 PM2000을 사용하는 과정에서 발생한 정보는 환자의 개인정보이며, 이 정보의 주체는 환자들이기 때문이다.
환자들은 약학정보원이 개인정보를 수집하고, 제약사에 판매하는 등 정보를 활용해도 좋다고 동의한 적이 없다.
즉, 약학정보원이 환자들의 정보를 수집하고 이용하기 위해서는 약국의 동의만 얻었다고 가능한 것이 아니라, 환자 개개인에게 동의를 구해야 하는 것이다.
이번 논란은 빅데이터 시대의 어두운 단면을 보여주는 사건이라는 생각이 든다. 활용 가치가 무한한 만큼 더 조심히 다뤄야 할 개인정보를 이런 식으로 수집하고 활용한다면 고양이에게 생선을 맡기는 것과 무엇이 다른가.
또한 환자들의 정보가 제약사 뿐 아니라 보험회사 등에 넘어가 이용될 수도 있는 일이다. 이번 사건을 철저히 조사해 같은 일이 반복되지 않도록 안전장치를 마련해야 한다.