서울중앙지방법원 제26민사부(재판장 윤강열 부장판사)는 지난 29일 동관 565호 민사법정에서 원고 2,102명이 약학정보원과 대한약사회, 한국IMS헬스를 상대로 제기한 의료정보유출 손해배상 청구소송의 11차 공판을 진행했다.
이날 공판에서는 원고들의 의료정보유출여부 등에 대한 원고 측 소송대리인인 법무법인 청파 장성환 변호사의 PT변론이 이뤄졌다.
장성환 변호사는 “의료기관, 환자ID, 처방일자, 상병정보 등의 처방정보와 조제약국, 환자ID, 조제일자, 조제번호, 약품정보 등의 조제정보가 정보주체인 환자와 의사의 동의 없이 불법으로 수집ㆍ저장됐다.”라고 설명했다.
이어 “검찰수사를 통해 한국IMS헬스가 처방정보 및 조제정보를 통합 관리하기 위해 정보를 단순치환된 정보를 제공 받은 사실이 드러났다.”라며, “치환규칙 역시 한국IMS헬스 한OO 이사가 약정원 임OO 이사에게 알려줬다.”라고 지적했다.
특히 “암호화는 해킹 등의 유출에 대비하기 위한 안전성 확보조치일 뿐이다. 암호화했다고 해서 개인정보의 성격이 달라지지 않는다.”라며, “단순방식으로 암호화된 정보를 다른 정보들과 결합하면 특정 개인을 식별할 수 있다.”라고 강조했다.
이에 대해 한국IMS헬스는 한OO 이사만 치환규칙을 알고 있었고 내부에 공유되지 않았다고 반박했다. 또한 수집한 정보가 암호화돼 있어 개인정보가 아니라고 주장했다.
한국IMS헬스 측 소송대리인은 “검찰수사결과, 규칙을 내부에 공유한 흔적이 발견되지 않았다. 또한 복호화 프로그램이나 시스템도 한국IMS헬스에는 존재하지 않는다.”라고 말했다.
아울러 “A가 누구인지 특정하는 것이 아니라, A가 B와는 다르다는 것만 구분 가능한 정보다. 이는 개언정보보호법상의 개인정보에 해당하지 않는다. 식별이라는 의미 자체가 누군지 특정할 수 있어야 한다는 의미 아닌가.”라고 피력했다.
재판부는 이 사건의 정보가 다른 정보들과 결합했을 때 개인을 특정할 수 있는지 입증하라고 요구했다.
윤강열 재판장은 “암호화된 정보만으로는 A가 누구인지는 확인하기 어렵다. 원고는 다른 정보와 결합하면 A가 누구인지 식별 가능하다고 했는데, 시뮬레이션을 통해 정말 특정되는지 입증해 달라. 원고가 의사와 환자로 나뉜 만큼 시뮬레이션도 의사와 환자로 나눠 진행해주길 바란다.”라고 주문했다.
다음 공판은 오는 7월 15일 오후 5시 20분 같은 법정에서 진행될 예정이다.
한편, 손해배상을 제기한 원고의 수가 줄어들 것으로 예상된다. 검찰이 회신한 ‘의료정보유출 피해자 확인목록 사실조회’에서 유출이 확인된 원고의 수가 1,799명이기 때문이다.
재판부는 “검찰로부터 사실조회 회신이 도착했다. 2,099명 중 1,799명의 의료정보 유출 피해가 확인됐다.”라며, “이를 통해 유출 사실은 입증됐다. 다만 유출 피해자 목록에 없는 원고에 대해서는 원고 측 소송대리인이 정리해줘야 한다.”라고 설명했다.