“암호화 됐어도 각 개인을 구분할 수 있으면 개인정보에 해당한다. 이번 사건의 경우 암호화 방식이 너무 쉬울 뿐만 아니라 심지어 암호화 방식이 공유됐다.”
“식별이 불가능하도록 암호화된 정보가 개인정보보호법의 보호를 받는 개인정보에 해당한다고 할 수 없다. 검찰은 개인식별이 가능하다는 것을 전제로 하고 있다.”
의료정보유출로 기소된 한국IMS헬스와 지누스, 약학정보원에 대한 본 재판에 앞서 검찰과 피고 간의 신경전이 벌어지고 있다.
서울중앙지방법원 제22형사부(재판장 장준현)는 지난 15일 510호 법정에서 의료정보유출 사건과 관련해 개인정보보호법 위반 등의 혐의로 기소된 지누스와 약학정보원 한국IMS헬스 법인을 비롯해 김OO 지누스 대표, 김OO 약정원 전 원장, 허OO 한국IMS헬스 대표 등 13명에 대한 2차 준비공판을 진행했다.
이번 준비공판에서는 의료정보유출 사건의 개요와 양측의 주장요지에 대한 PT가 이뤄졌다.
검찰 측은 ▲개인정보보호법 제23조 민감정보의 처리 시 별도 동의 필요 ▲개인정보보호법 제26조 업무위탁에 따른 개인정보 처리제한 ▲의료법 제19조 및 제21조 환자 아닌 타인에 누출ㆍ변조 금지 등을 적용했다고 설명했다.
특히, 개인정보보호법 제2조1항 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 것도 개인정보’라는 부분을 강조했다.
검사는 “개인정보성은 개개인마다 달라지는 것이 아니라 합리적으로 결합이 가능할 경우 인정될 수 있다. 개인정보를 암호화한 것은 안전성조치의무의 일환일 뿐 개인정보성과 무관하다. 무엇보다 암호치환규칙 및 대응값을 공유함으로써 안전성조치의무도 어겼다.”라고 말했다.
이어 “프로그램을 구입해 사용에 동의한 것만으로 개인정보 처리업무까지 위탁했다고 할 수 없다. 의사와 약사들은 개인정보 처리업무 위탁할 의사가 없었다고 진술했다. 진료, 처방 등에 관한 정보는 의료법 및 약사법에 따라 처리위탁 자체가 불가능한 정보다.”라고 전했다.
반면, 피고인들은 개인정보가 아니며 이로 인해 발생한 피해가 없고 반사회적인 행위도 아니라는 입장이다.
IMS 측 소송대리인은 “처방 패턴 등을 분석하기 위해서는 다른 환자들과 구분은 돼야 한다. 암호화된 통계용 정보 외에 개인정보는 이용할 필요는 물론 관심조차 없다. 과거 1년에 딱 2번 수기로 작성한 데이터를 받은 것과 전산화된 것 말고는 다른 점이 없다. 개인정보보호법 제정으로 갑자기 범죄가 됐다. 적응과정에서 발생한 시행착오에 불과하다. 해악을 끼치려는 의도 없었다.”라고 주장했다.
지누스 측 소송대리인은 “개인정보처리자가 아니라 개인정보처리를 위탁 받은 재수탁자이므로 각 개인의 동의를 받는다는 것 자체가 불가능하다. 수탁자로서 개인정보보호법 제26조를 준수했다.”라며, “개인정보보호법 부칙 제4조에는 법이 제정된 2011년 3월 29일 이전 행위를 소급할 수 없다고 했으나 검찰 측은 행정안전부 고시 제2011-45호를 근거하고 있다.”라고 지적했다.
약학정보원 측 소송대리인은 “병합 전 사건 재판부에 서울대 법대 교수의 의견서를 제출한 바 있다. 이 의견서에는 암호화된 고유정보는 고유식별정보로서의 능력을 상실해 개인정보보호법상의 보호대상이 아니라고 명시돼 있다. 무엇보다 특정 개인 구분이 실생활에서의 구분이 아닌 통계 내에서의 구분이다. 제3자가 식별할 가능성도, 피해사례가 발생할 가능성도 없다.”라고 강조했다.
양측의 변론에 대해 재판부는 암호화된 정보가 개인정보성을 갖고 있는지가 쟁점이라며, 추가적인 의견개진이 필요하다고 주문했다.
재판부는 “이번 PT변론으로 새로운 쟁점이 부각되기도 했고, 불명확하다고 지적된 부분도 있다. 양측은 PT변론을 통해 주장한 요지 외에 추가로 개진할 의견이 있으면 서면으로 제출해주길 바란다.”라고 말했다.
또한 효율적으로 심리할 수 있는 방안 등 향후 재판진행에 대한 계획, 방식 등에 대한 의견도 요청했다.
다음 공판은 오는 11월 17일 오전 10시며, 이날 역시 준비공판기일로 진행될 예정이다.