약정원·IMS헬스 "암호화 수준 미흡, 처벌대상 아냐" 반박

피고인 측 "개인식별 가능성 없어 개인정보 아냐… 빅데이터 산업 활성화 고려해야"
검찰 측 "개인정보 제3자에 제공한 것 위수탁 범위 초과하는 것"
이호영기자 lhy37@medipana.com 2019-04-23 06:05
약학정보원, IMS헬스 등이 환자 개인정보 수집, 제공에 대한 불법적 행위가 없었다는 점을 재차 강조하며 검찰 측 주장에 반박했다.
 
22일 오전부터 늦은 오후까지 이어진 개인정보보호법 위반 혐의 등에 대한 형사재판 변론에서 가진 프리젠테이션(PT)을 통해서다.
 
서울중앙지방법원 제22부 형사부가 진행한 변론에서 검찰 측은 오전 PT를 통해 공소사실을 강조하면서 지누스에 대해서는 성명, 주민번호, 의료보험증번호 등 민감정보를 수집한 혐의를, 약학정보원과 IMS헬스에 대해서는 암호화 규칙을 공유한 혐의에 대해 강조했다.
 
이에 대해 오후에 진행된 피고인 측 PT에서는 검찰 측에서 제기한 문제에 대한 혐의를 부인하는 입장을 밝혔다.
 
피고인 측의 다수가 개인정보보호법 시행 이전 암호화된 비식별자료를 수집했고, 통계자료 목적에 따른 것으로 사적인 개인정보 침해 의도가 없었다는 점 등이 강조됐다.
 
먼저 김대업 전 약학정보원장과 엄태훈 전 이사 등은 암호 복호화 프로그램에 대해 알지 못했다고 강조했다.
 
암호화로 문제가 없었다고 판단했지만 암호화 수준이나 방법에 대해서는 알지못해 고의성이 없었다는 설명이다.
 
PM2000을 통해 데이터를 수집하는 과정에서 약사들을 속이는 행위는 없었다는 점도 강조됐다. 프로그램 업데이트 시 약관에 동의하지 않는 사용자의 정보 수집은 하지 않았고 수집 처리시 동의하도록 약관에 포함시켰다는 주장이다.
 
또한 양덕숙 전 약학정보원장, 강의석 전 전무 등도 해당 사업 중간에 업무를 맡았다는 점과 암호화 방식 등을 구체적으로 보고받지 못했다는 점에서 고의가 없었다는 점을 강조했다.
 
이들은 해당 사건에서 처리된 데이터는 모두 개인을 식별할 수 있는 부분이 암호화되어 개인정보에 해당되지 않는다고 주장했다.
 
특히 암호화 규칙이나 매칭값 등을 주고 받은 것은 일부 직원들만 인식할 수 있었을 뿐이었고 실제로는 암호화된 데이터가 복호화된 바 없었고 복호화를 해야 할 이유도 존재하지 않았다는 것이 피고인 측의 입장이다.
 
IMS헬스 측은 해당 통계 목적으로만 활용하려는 의도를 가지고 개인정보보호법 시행 전임에도 불구하고 환자 아이디를 암호화했었다는 점을 강조했다.
 
다만 이 과정에서 식별되지 않으나 구분되는 데이터를 만들기 위해 초기 주민번호를 암호화했다는 설명이다. 구분하지 않았을 경우 처방이 바뀌거나 많은 양이 처방된 것으로 데이터 오류가 발생할 수 있기 때문이라는 것.
 
또 개인정보 여부에 대해 해당 정보를 처리하는 자 입장에서 의도나 맥락, 환경 등 제반사항을 종합적으로 고려해 판단해야 한다는 점을 강조했다.
 
그러면서 지누스와 약학정보원으로부터 받은 정보가 개인식별 가능성이 없어 개인정보에 해당되지 않는다고 주장했다.
 
IMS헬스 측 대리인은 "방송 보도가 잘못 알려진 부분이 있다. 실제 수사해서 밝혀진 것이 비식별화 해서 통계적 목적으로 사용한 것 밖에 없다"며 "IMS헬스가 세계적으로 진행하고 있는 사업을 생각하면 당연한 것이다. 암호화 수준이 미흡하다는 것이 형사처벌을 해야 하는지가 의문"이라고 말했다.
 
이번 사건과 관련 빅데이터 산업 활성화를 위한 고려도 필요하다는 주장도 나왔다.
 
한 피고인 측 대리인은 "통계목적으로 데이터를 수집한 것은 빅데이터를 활용해 국민건강에 도움이 되기 위해 진행한 것"이라며 "개인정보법 규제로 빅데이터 활용이 어려운 상황"이라고 호소했다.
 
또 다른 대리인은 "결과적으로 데이터는 안전하게 처리되어 IMS의 통제 범위를 넘어선 적이 없고 불법적인 목적으로 활용된 바도 없었다"며 "최근 빅데이터 산업 활성화를 위해 정부 주도 하에 비식별화 및 가명정보의 활용에 대한 법률 개정 논의까지도 있다는 점이 고려돼야 한다"고 강조했다.
 
피고인 측의 PT가 마무리 된 이후 검찰 측은 피고인들의 PT 내용에 대한 입장을 밝히기도 했다.
 
검찰 측은 "IMS헬스의 주장대로 정보처리자 관점에서 종합적으로 고려해야 한다는 점이 설사 맞다고 해도 약학정보원과 지누스에게 암호화 규칙을 공유했다"며 "맘만 먹으면 누구의 주민번호인지 확인이 가능하다"고 지적했다.
 
또 검찰 측은 지누스에 대해서는 "개인정보 수집 과정에서 성명과 주민번호가 들어있었다"며 "IMS헬스에 제공한 과정에 대한 부분은 차지하더라도 개인정보 수집 여부는 명백하다"고 단호한 입장을 밝혔다.
 
이어 약정원과 관련해서는 "암호화 규칙을 공유하고 있었다"며 "행안부가 치환 방법 문제에 있어 제대로 된 암호화를 권유한 것은 사실인데 그건 사실 관계를 몰랐기 때문"이라며 "수사 과정에서 행안부 담당자와 면담했는데 치환 규칙이 공유됐다면 문제가 있다는 입장이었다"고 덧붙였다.
 
아울러 검찰 측은 "약정원과 지누스가 프로그램을 제공해 수집하는 과정에 문제가 있다"며 "개인정보 위탁을 하려면 위탁 계약이 있어야 하지만 개인정보를 제공한다는 정보를 동의받았다고 하기 어렵다. 설사 IMS헬스에 대한 위탁을 인정하더라도 개인정보를 제3자에 제공한 것은 위수탁 범위를 초과하는 것"이라고 주장했다.
 
한편, 재판부는 이날 검찰 측과 피고인 측의 PT 내용을 바탕으로 오는 6월 20일 오후 2시 김대업 피고인 등에 대한 심문 절차 등을 진행하기로 했다.


<© 2019 메디파나뉴스, 무단 전재 및 배포금지>'대한민국 의약뉴스의 중심'메디파나뉴스

관련 기사

[약사ㆍ약국] 최근기사

많이 본 뉴스

댓글 쓰기

실명인증

독자들이 남긴 뉴스댓글

이호영기자의 다른 기사

로그인 닫기