약국의 청구 프로그램 PM2000을 통한 개인정보 불법 수집 혐의를 둘러싸고 의료계와 약계가 맞붙었다.
의료계 측은 약사회와 약학정보원이 '정보 장사'를 할 목적으로 환자 동의없이 개인정보를 수집했다고 주장한 반면 약사회 측은 이미 개인정보를 식별할 수 없도록 암호화한 까닭에 불법의 소지가 없다고 반박했다.
16일 서울중앙지법 동관 367호에서 열린 약학정보원 개인정보 유출 손해배상 소송(14가합508066 김성배 외 2101) 첫 변론기일에서 의료계와 약계가 마주섰다.
이날 변론기일에서 쟁점이 된 부분은 암호화의 시기와 암호화된 정보 수집 자체를 개인정보보호법 위반으로 볼 수 있느냐에 대한 것이다.
먼저 의사를 포함 총 2102명의 집단 소송을 대리해 54억원 위자료를 청구한 법무법인 청파 장성환 변호사는 "약사회와 약학정보원은 약국에 설치된 PM2000 프로그램을 통해 처방전에 기재된 성명, 주민번호 등 구체적 정보를 수집했다"면서 "이런 정보는 자동적으로 약학정보원에 있는 서버로 전송, 저장됐다"고 주장했다.
그는 "과거에는 개인정보보호법 적용이 안 됐기 때문에 보안조치가 없었다"면서 "약학정보원은 의약분업 이후 막대한 개인정보 활용 목적으로 정보를 수집했고 이를 위해 설립된 기관"이라고 강조했다.
환자들이 약을 조제받기 위해 낸 처방전을 가지고 약학정보원이 무단으로 정보를 수집하고 활용한 것은 명백한 개인정보보호법 위반에 해당한다는 것이 그의 판단.
그는 "수집한 것도 위법하지만 이를 IMS와 같은 통계 처리 회사에 제공한 것도 문제가 된다"면서 "약학정보원은 이런 자료를 연간 3억원에 IMS에 팔았다고 하는데 검찰 측도 이런 자금의 흐름을 조사하는 것으로 안다"고 전했다.
반면 약사회 측은 개인의 고유 정보를 수집 단계부터 암호화해 처리한 이상 개인정보보호법 위반에 해당사항이 없다고 반박했다.
약사회와 약학정보원의 소송 대리인을 맡은 법무법인 태평양 김일현, 윤주옥 변호사는 "처음부터 약국에서 입력된 환자, 의사들의 개인정보가 그 상태로 그대로 약학정보원에 전송되지 않는다"면서 "수집 단계부터 암호화처리돼서 전혀 식별되지 않는 상태로 전송되기 때문에 정보통신망법이나 개인정보보호법 위반이 아니다"고 맞섰다.
피고 측은 "약사회 역시 PM2000의 운영 등과 관련해 약학정보원에 위탁했기 때문에 실질적으로 관여한 바가 없어 법적 책임이 없다"면서 "이미 수집 단계에서 주민번호와 면허번호 등 민감한 개인식별 정보는 암호화를 거쳤다"고 강조했다.
약학정보원으로부터 처방 정보를 제공받은 IMS 측도 "우리는 약학 통계를 처리하는 회사이고 약학정보원으로부터 개인정보를 받아본 적이 없다"고 거들었다.
한편 원고 측의 재 반박도 이뤄졌다.
장성환 변호사는 "금융 쪽에서도 최근에야 암호화를 시작했는데 도대체 언제부터 PM2000이 암호화를 시작했는지 알 수 없다"면서 "쉽게 암호를 풀 수 있다면 사실상 암호화로 볼 수 없다"고 주장했다.
피고 측 변호사는 "암호화 된 정보의 수집 행위가 개인정보보보헙 위반에 해당하는지는 재판부가 판단해 달라"면서 "암호가 풀릴 수 있다고 개인정보보호법 위반이라는 것도 무리한 주장"이라고 맞섰다.
재판부 역시 의약분업 이후 업데이트가 지속된 PM2000의 각 버전을 제공받아 암호화의 적용 시기를 위법성 판단 근거로 참고한다는 계획.