계약에 따라 통계분석을 위한 정보만 일부 제공했을 뿐이며 특히, 프로그램을 통해 전송된 원본데이터가 어디에 저장되는지 몰라 특정 정보를 유출할 수 없다는 주장이 제기됐다.
서울중앙지방법원 제22형사부(재판장 김세윤 부장판사)는 지난 30일 서관 510호 법정에서 의료정보유출(개인정보보호법 위반 등의 혐의) 관련 7차 공판을 진행했다.
이날 공판에서는 한국IMS헬스의 증인으로 출석한 지누스의 김OO 대표에 대한 신문이 이뤄졌다.
그는 “허OO 대표가 부임하기 전이자 개인정보보호법이 시행되기 전, 한국IMS헬스의 장OO 대표와 통계분석을 위한 데이터취합에 대해 논의했고 요양급여청구 사전점검프로그램인 e-PM을 개발하게 됐다. 이때 병ㆍ의원으로부터 (정보)제공동의는 한국IMS헬스가 받았다.”라고 말했다.
아울러 “한국IMS헬스는 e-PM을 통해 전송된 60여 가지 정보 중 20여 가지만 조회해 다운받았다. 물론, 이 정보들은 암호화돼 있어 개인식별이 불가능하다. 더욱이 한국IMS헬스는 전송된 정보가 저장돼 있는 지누스 서버에 접근할 수 있는 권한이 없기 때문에 제한된 정보만 다운받았다.”라고 설명했다.
환자의 나이, 상병코드, 처방의약품 등 암호화된 일부 정보만을 한국IMS헬스가 다운받아 통계화했다는 것이 김 대표의 주장이다.
특히, 김 대표는 지누스 서버에 원본데이터(로우데이터)가 마스킹된 상태로 저장돼 있지만, 지누스 관계자조차 이 정보가 어디에 있는지 모른다고 주장했다.
그는 “병ㆍ의원에서 X-ray 등의 정보를 일정기간 보관하고 있는 것처럼 e-PM을 통해 전송된 정보도 마스킹돼 서버에 5년 동안 저장된다. 공장에서 제품을 생산하기 위해서는 그에 필요한 재료를 갖고 있어야 하지 않나? 같은 의미다.”라고 강조했다.
또한 “IT업체인 우리가 이를 임의로 해당 데이터를 삭제할 수 없다. 심지어 우리는 무슨 데이터가 어디에 저장돼 있는지 모른다. 따라서 특정 병ㆍ의원의 정보를 제공한다는 것은 말이 되지 않는다. 60여 가지 정보를 전송 받은 것은 한국IMS헬스가 어떤 정보를 필요로 하는지 몰랐기 때문이다.”라고 피력했다.
김 대표는 이와 함께 개인정보를 유출했다거나 개인정보를 팔지 않았다고 주장했다.
그는 “한국IMS헬스와 사업계약을 체결하고 그에 따라 2014년 12월 말까지 비용을 지급받은 것일 뿐, (공소사실처럼) 개인정보 4억 2,000만 건을 넘기고 받은 것이 아니다.”라며, “또 한국IMS헬스가 정보를 활용하지 않은 것은 D제약 의약품 처방이 유독 많아 신뢰도가 떨어진 데 따른 것이지, 불법정보가 제공됐기 때문이 아니다.”라고 강조했다.
다음 공판은 오는 6월 13일 오전 10시 같은 법정에서 진행된다. 이날 공판에서는 약학정보원의 PM2000을 개발하고 유지ㆍ보수ㆍ관리를 담당했던 박OO 팀장에 대한 신문이 이뤄질 예정이다.