“한국IMS헬스의 한OO 이사가 암호화 방식을 제안했다는 사실을 2013년 12월에 알았지만, 검찰조사에서 사실대로 말하기 어려웠다.”
한국IMS헬스 허OO 대표는 서울중앙지방법원 제22형사부(재판장 김세윤 부장판사)가 지난 8일 서관 510호 법정에서 진행한 의료정보유출(개인정보보호법 위반 등의 혐의) 관련 11차 공판에서 이 같이 말했다.
허 대표는 지난 2009년 1월 말 한국IMS헬스 대표로 부임한 후 현재까지 대표직을 수행하고 있다. 허 대표는 이날 피고인이자 지누스 측 증인 자격으로 법정에 출석했다.
특히, 허 대표는 2013년 말 한국IMS헬스 한OO 이사로부터 약학정보원에 암호화 방식을 제안했다는 보고를 받았음에도, 약정원 관계자가 검찰조사에서 암호화 방식을 자체 개발했다고 해 사실대로 말할 수 없었다고 주장했다.
허 대표는 “약정원과 지누스가 같은 암호화 방식을 사용했다는 것은 2009년부터 알고 있었다.”라며, “암호화 방식이 같아 약정원과 지누스 등 두 곳으로부터 받은 데이터의 통합관리가 가능했고, 이를 통해 양질의 통계분석이 가능할 것이라고 기대했다.”라고 말했다.
이어 “한 이사가 약정원에 암호화 방식을 제안했다는 사실은 2013년 12월이 돼서야 알았고, 구체적인 암호화 방식은 2014년 11월에 알게 됐다.”라며, “검찰조사에서 몰랐다고 한 이유는 약정원이 자체 개발했다고 진술한 이후여서 입장을 바꾸기 어려웠기 때문이다.”라고 강조했다.
또한 허 대표는 통계분석을 위해서는 개인을 식별(특정)할 필요는 없지만 구분은 해야 한다며, 이러한 이유에서 암호화된 비식별정보를 약정원과 지누스로부터 전송 받았을 뿐 개인정보를 사고 팔지 않았다고 주장했다.
허 대표는 “처방패턴을 확인할 수 있는 선진화된 통계분석서비스를 도입하려는 취지에서 구분 가능한 암호화된 비식별정보를 수집한 것이다.”라며, “생년월, 성별 등으로 환자가 구분되지 않으면 처방패턴을 통계분석할 수 없다.”라고 설명했다.
아울러 “IMS 본사 역시 어떤 경우라도 식별가능한 데이터를 필요로 하지 않으며 비밀유지를 철저히 해야 한다고 강조했다.”라면서, “그런데 검찰은 IMS 본사의 강조사항을 식별가능한 정보 등 반대로 해석했다.”라고 지적했다.
이와 함께 허 대표는 제3자로 정보가 유출됐을 때를 대비해 암호화한 것이지, 복호화를 위한 암호화는 아니었다고 주장했다.
허 대표는 “개인정보를 식별할 의도가 없다는 것을 전제로, 정보가 유출됐을 때를 고려해 암호화한 것일 뿐이다.”라며, “암호화 방식을 알면 복호화할 수 있다는 이론적인 가능성으로 의심받는 것 자체가 답답하다. 암호화 방식을 안다고 해서 복호화 프로그램 없이 방대한 데이터를 복호화하는 것은 불가능하다.”라고 강조했다.
다음 공판은 오는 8월 22일 오전 10시 같은 법정에서 진행된다. 이날 공판에서는 지누스 측에서 신청한 증인 1명과 검찰 측에서 신청한 증인 6명에 대한 신문이 이뤄질 예정이다.