서울중앙지법 "약정원-IMS 외 제3자 열람 안했다"…원고 "항소할 것"
약국 경영관리 프로그램 PM2000을 통해 개인정보 및 처방정보를 유출당했다며 손해배상 소송을 제기한 환자와 의사 1800여명이 졌다.
서울중앙지방법원 제26민사부는 11일 의사와 환자 등 1876명이 대한약사회와 약학정보원, 한국IMS헬스 주식회사를 상대로 제기한 손해배상 소송에서 원고 패소 판결을 내렸다.
법원은 약학정보원이 IMS에 제공한 개인정보는 식별 가능성이 커 개인정보보호법 위반한다고 봤다. 하지만 2014년 6월 이후 바꾼 암호화는 법 위반이 아니라고 했다.
재판부는 "2011년 1월 말부터 2014년 6월까지 약학정보원이 IMS에 제공한 개인정보는 단순기법이라서 쉽게 복구할 수 있어 개인식별 우려가 크다"며 "알고리즘을 개발해 약정원과 공유한 IMS에서는 접근권한이나 통제정보에 비쳐 재식별 가능성이 현저하다"고 지적했다.
이 당시 알고리즘은 개인정보인 주민등록번호 13자리를 홀짝에 따라 알파벳과 1:1로 대응하는 방법으로 특정한 값이 대한 추론을 통해 개인을 식별할 우려가 크다.
재판부는 "2014년 6월 이후 암호화된 정보의 식별화를 보면 양방형 암호화 보다 안전하고 효과적인 기술에 해당해 약정원이 제공한 개인정보를 IMS에서 복구하는 게 원천적으로 불가능하다"며 "개인정보보호법 위반이 아니다"고 선을 그었다.
문제는 '손해배상' 책임을 인정하기 위한 책임을 입증하기는 어렵다는 것이다.
재판부는 "원고의 정보들이 약정원가 IMS 외 다른 곳에 유출한 곳이 없고 제3자가 열람했는지 여부도 발견되지 않았다. 쉽게 접근해 열람할 가능성도 낮다"며 "IMS에 저장된 원고의 암호화된 정보도 모두 삭제돼 실제 손해 입증이 부족하다"고 설명했다.
이번 판결에 대해 원고 측은 불복하고 항소를 진행할 예정이다.
원고 측 변호인은 "재판부는 GS칼텍스 사건이나 옥션 사건에서 정신적 손해를 인정하지 않은 판단 기준에 따라 판결한 것으로 보인다"며 "이번 사안은 이 사건들과는 완전히 다른 사안임에도 간과했다"고 지적했다.
GS칼텍스, 옥션은 개인정보를 수집하는 과정 자체에는 아무런 문제가 없었고, 직원이 개인정보를 유출하려고 했거나 해킹을 당해 개인정보가 유출됐던 사건이다.
이 변호인은 "GS칼텍스 사건과 달리 환자나 의사의 개인정보가 처방전에 기재돼 약국에 전달된 것은 적법하지만 약학정보원이 개인정보를 수집하고 IMS가 개인정보를 제공받은 것은 그 자체로 불법"이라며 "약국이 아닌 약학정보원과 IMS가 개인정보를 수집하고 제공받은 것은 제3자에게 유출된 것"이라고 강조했다.
그러면서 "법원은 엉뚱하게 약정원, IMS 이외 제3자에게 유출된 증거가 없다는 이유로 손해발생이 없다는 논리를 전개했다"며 "약학정보원, IMS가 개인정보를 수집하고 주고받은 것 자체로 개인정보 주체들은 정신적 손해가 발생했다고 봐야 한다"고 했다.
서울중앙지방법원 제26민사부는 11일 의사와 환자 등 1876명이 대한약사회와 약학정보원, 한국IMS헬스 주식회사를 상대로 제기한 손해배상 소송에서 원고 패소 판결을 내렸다.
법원은 약학정보원이 IMS에 제공한 개인정보는 식별 가능성이 커 개인정보보호법 위반한다고 봤다. 하지만 2014년 6월 이후 바꾼 암호화는 법 위반이 아니라고 했다.
재판부는 "2011년 1월 말부터 2014년 6월까지 약학정보원이 IMS에 제공한 개인정보는 단순기법이라서 쉽게 복구할 수 있어 개인식별 우려가 크다"며 "알고리즘을 개발해 약정원과 공유한 IMS에서는 접근권한이나 통제정보에 비쳐 재식별 가능성이 현저하다"고 지적했다.
이 당시 알고리즘은 개인정보인 주민등록번호 13자리를 홀짝에 따라 알파벳과 1:1로 대응하는 방법으로 특정한 값이 대한 추론을 통해 개인을 식별할 우려가 크다.
재판부는 "2014년 6월 이후 암호화된 정보의 식별화를 보면 양방형 암호화 보다 안전하고 효과적인 기술에 해당해 약정원이 제공한 개인정보를 IMS에서 복구하는 게 원천적으로 불가능하다"며 "개인정보보호법 위반이 아니다"고 선을 그었다.
문제는 '손해배상' 책임을 인정하기 위한 책임을 입증하기는 어렵다는 것이다.
재판부는 "원고의 정보들이 약정원가 IMS 외 다른 곳에 유출한 곳이 없고 제3자가 열람했는지 여부도 발견되지 않았다. 쉽게 접근해 열람할 가능성도 낮다"며 "IMS에 저장된 원고의 암호화된 정보도 모두 삭제돼 실제 손해 입증이 부족하다"고 설명했다.
이번 판결에 대해 원고 측은 불복하고 항소를 진행할 예정이다.
원고 측 변호인은 "재판부는 GS칼텍스 사건이나 옥션 사건에서 정신적 손해를 인정하지 않은 판단 기준에 따라 판결한 것으로 보인다"며 "이번 사안은 이 사건들과는 완전히 다른 사안임에도 간과했다"고 지적했다.
GS칼텍스, 옥션은 개인정보를 수집하는 과정 자체에는 아무런 문제가 없었고, 직원이 개인정보를 유출하려고 했거나 해킹을 당해 개인정보가 유출됐던 사건이다.
이 변호인은 "GS칼텍스 사건과 달리 환자나 의사의 개인정보가 처방전에 기재돼 약국에 전달된 것은 적법하지만 약학정보원이 개인정보를 수집하고 IMS가 개인정보를 제공받은 것은 그 자체로 불법"이라며 "약국이 아닌 약학정보원과 IMS가 개인정보를 수집하고 제공받은 것은 제3자에게 유출된 것"이라고 강조했다.
그러면서 "법원은 엉뚱하게 약정원, IMS 이외 제3자에게 유출된 증거가 없다는 이유로 손해발생이 없다는 논리를 전개했다"며 "약학정보원, IMS가 개인정보를 수집하고 주고받은 것 자체로 개인정보 주체들은 정신적 손해가 발생했다고 봐야 한다"고 했다.