약정원, ‘암호화 방식 변경하며 보안에 충실…이용자들 동의하에 정보수집’
검찰 측, ‘이용자들이 제3자에 대한 정보제공까지 동의했다고 보기 어려워’

[의학신문·일간보사=이종태 기자] 약정원의 개인정보보호법 위반 등의 혐의에 대해 김대업 회장 등 변호인들이 반론에 나섰다.

취급한 데이터들은 식별가능성이 전혀 없기 때문에 개인정보가 아니며, 이를 수집하는 과정에서도 의사나 약사들을 ‘속이는 행위’가 일체 없었다는 주장이다. 또한, 얻은 정보를 악용하려는 시도도 없었으며, 통계분석을 위한 유용한 자료를 내고자 했을 뿐이라는 것이다.

법원

서울중앙지법 형사 제 22부는 지난 22일 약학정보원, IMS헬스코리아, 지누스 등 관련 피고인에 대한 공판을 진행했다. 이 날 공판에서는 오전, 검찰측의 프리젠테이션에 이어 약학정보원측의 변론이 오후에 진행됐다.

피고인들은 우선 검찰측이 성명, 주민번호, 처방약 등 약국이나 병원들로부터 얻은 개인정보에 대한 암호화 조치가 부실하다고 주장했던 점에 대해 반박했다.

약정원 측은 “암호화 방식에 대한 평가는 구체적이며 개별적인 방식으로 판단해야한다. 예전에는 풀기 어려운 암호도 지금 보면 쉬운 것처럼 시대변화에 따라 암호화 방법도 변화한다”면서 “암호화 방법은 수차례에 걸쳐 변경됐으며 그 과정에서 엄격한 보안조치를 통해 관리됐다”고 반론했다.

실제 약정원측은 보안강화를 위해 3회에 걸쳐 비식별화 방법을 변경한 것으로 나타났다. 검찰측이 지적한 복호화가 가능한 양방향 암호화방법은 개인정보법이 시행되기 이전에 운영한 것으로, 이후 약정원은 행안부의 권고로 복호화가 어려운 방식으로 암호화했으며 최종적으로는 주민번호를 수집하지 않았다.

또한 피고인들은 “암호화 규칙이나 매칭값 등을 주고 받은 것은 일부 직원들만 인식할 수 있었으며 실제로는 암호화된 데이터가 복호화된 적도 없으며, 할 이유도 없다”면서 “이 사업이 진행중이던 때는 김대업, 양덕숙은 암호화 규칙이나 매칭값의 제공과 같은 사정을 인식할 수 없었다”고 항변했다.

이어 “최근 빅데이터 산업 활성화를 위해 정부 주도하에 국회에서 비식별화 및 가명정보 활용에 대한 법률 개정 논의이 이루어지고 있다”면서 “국내 보건의료 환경의 여건개선을 위한 데이터 활용인 점을 감안하면 행정적인 조치가 아닌 형법상 처벌은 과도하다”고 주장했다.

피고인측은 약사와 의사 등 프로그램 이용자로부터 동의 없이 환자정보를 수집했다는 지적에 대해서도 “외부인이 내부 직원들의 동의없이 프로그램을 설치하기는 불가능하다. 업데이트할때도 이용자가 동의하지 않으면 프로그램에 대해 이용할 수 있게 했지만 환자정보는 수집하지 않았다”며 반론을 내놨다.

이에 대해 검찰측은 “지금은 아니지만 당시에는 환자정보의 원외저장을 금지했기 때문에 이용자들이 동의를 했다면 불법이다. 이점을 누구보다 잘 알고 있는 이용자들이 동의를 했다고 보기 어렵다”면서 “이용자들이 개인정보를 넘겼다고 추정할만한 기제가 없다”고 지적했다.

이어 “설사 그렇다고 해도 업체측에 제공했다고 생각하지 그 정보를 다시 제 3자에게 제공하는 것까지 동의했다고 보기는 어렵다. 그 건 이용자들이 위수탁하기로 동의한 범위를 초과했다고 볼 수 있다”고 덧붙였다.

저작권자 © 의학신문 무단전재 및 재배포 금지