데이터 전문지식이 없는 홍길동 씨가 약정원·지누스 진료·조제 데이터를 근거로 한 IMS자료를 보고 개인을 식별해낼 수 있을까?

한국IMS·지누스·약정원의 개인정보보호법 위반 재판은 이 점이 판결을 가르는 중요한 쟁점이 될 전망이다.

검찰과 피고들은 22일 서울중앙지방법원 523호에서 열린 전일재판을 통해 6시간 넘게 팽팽히 맞섰다. 양 측은 반박에 반박을 더했다.

검찰이 피고의 범죄의도를 추궁하자, 피고들은 "범죄 의도 없는 국민건강 위한 데이터 사업이 목적"이라고 맞섰다.

◆검찰 주장 "의·약사 동의 없이 정보 수집...정보주체자 속인 기망행위"에 피고 측 변호인 주장

피고들은 동의 절차를 거쳤다는 주장과 이 사안이 '기망'과는 판이하다는 반론을 내놓았다.

IMS는 사업을 시작하는 단계에 병의원에 자료제공 협조요청 공문을 발송, 동의를 얻었으며 사업을 전산화하면서 지누스의 전산프로그램을 통한 수집방법을 추가했다고 밝혔다.

IMS 변호인은 "이메일을 통해 프로그램 설치, 사용방법을 안내했다. 정보 업데이트를 위한 프로그램 설치는 몰래 할 수 없는 부분"이라고 반박했다.

지누스 변호인은 사업 과정에서 현실적으로 환자 개개인에게 전화를 걸어 개인정보활용 동의를 받을 수 없으며, 정보를 받은 병원은 모두 정보 활용에 동의했으며 이 사실을 알고 있었다고 주장했다.

약정원 측은 '피싱'과 비교해 이 사안이 '기망'이 아니라고 주장했다. '기망'이라는 단어는 정보 주체자를 적극적으로 속여 개정정보를 가공 가능한 상태 그대로 빼내 활용하는 것이므로 이번 사안을 기망이라고 하기엔 정보 암호화와 사업 목적 외에 사용한 점이 없다는 것이다. 약정원 측 변호인은 "개인정보보호법은 시행된 지 얼마 되지 않아 아직 해석이 분분하다. 보호냐 적절한 활용이냐 단계에선 깊은 논의가 필요하다"며 "분명한 건 피고들에게 범죄의도가 전혀 없었다는 것"이라고 강조했다.

◆검찰 주장 "식별 가능한 수준의 개인정보 암호화...쌍방 암호화규칙 공유로 유출도 가능"에 피고 측 변호인 주장

양 측 주장이 가장 극명하게 갈린 부분은 약정원과 IMS가 다룬 암호화된 정보를 제3자가 식별할 수 있는지 여부다.

검찰은 이것이 이름, 나이, 암호화된 주민번호 등과 결합해 사전 지식이 없는 일반인도 암호화된 정보를 금방 해독해낼 수 있고 이를 통해 특정 개인의 민감정보를 알 수 있다고 강조했다.

그러나 피고 측은 달랐다.

IMS는 수집한 데이터는 생년월일과 성별, 환자구분키로 활용한 암호화된 주민번호 뿐이며, 이 것 만으로 어느 한 개인을 특정할 수 없다고 주장했다.

특히 IMS는 "이 데이터들은 피고들에게 개인정보가 아니며, 피고에게 개인정보로 인식되지도 않았으며, 이러한 점은 통계 특례에 의해 허용되는 수준"이라고 반박했다.

지누스 측은 "검찰 주장대로라면 제공된 정보 형태 만으로 일반인이 특정인을 구별할 수 있어야 하지만, 정보들은 일반인이 접근할 수 없고 지금까지 압수수색을 통해서만 접근됐다"고 주장했다.

약정원 측은 "사건은 '환자 이름, 주민번호, 처방정보가 대량으로 유출됐다'는 오보로 시작됐다. 이런 전제로 검찰이 정보를 보니 개인식별이 가능하다고 볼 수 있겠지만 아무런 정보 없이 이 데이터만 봤을 때 일반인이 이것이 주민번호이고 규칙을 찾아 주민번호를 유추해 개인을 식별하긴 어려울 것"이라고 말했다.

또 이것이 한 PC에 특정 광고가 반복되는 'AD ID'와 유사한 사례이며, 이것 역시 다른 정보와 결합하면 개인을 식별할 수 있으나 현실가능성이 낮아 방통취도 합법으로 판단해 허용한 것이라고 주장했다.

피고들은 또 암호화 규칙이 암호화 전산오류를 해결하기 위해 IMS 관계자 1인, 약정원관계자 2인이 논의해 정한 것으로, 피고들 조직에 속한 모두가 알 만큼 널리 공유된 것이 아니라고 반박했다.

◆검찰 주장 "주민번호 수집 단계부터 이미 개인정보가 요양기관 밖으로 유출된 것"에 피고 측 변호인 주장

그럼에도 불구하고 주민번호라는 민감 정보가 요양기관 외의 조직이 수집, 보관했다는 검찰 주장에 피고들은 빅데이터 생성을 위한 불가피한 조치였다고 설명했다.

참고로, 약정원은 약국에서 이미 암호화된 데이터를 PM2000으로 넘겨받았지만, 지누스는 의원에서 가공되지 않은 로우데이터를 그대로 받아 자체에서 암호화해 IMS에 제공했다.

IMS와 약정원은 이것이 '식별' 아닌 '구분' 위한 최소한의 장치였다고 설명했다.

수집한 자료로 만든 데이터가 ▲약물 처방량 현황 ▲병용처방 패턴 ▲처방 변경 패턴 뿐이며, 여기에는 개인정보가 필요하지 않다고 강조했다. 다만 생년월일과 성별이 같은 각각의 환자 정보가 동일인으로 처리되는 걸 막기 위해 '구분' 장치로서 암호화된 주민번호를 활용했다는 주장이다.

아울러 개인정보보호법이 시행된 2011년 이전인 2009년, IMS는 개인 식별정보가 민감정보가 될 수 있음을 인지해 이미 주민번호를 암호화할 것을 약정원에 요청했다. 약정원은 IMS 요청과 행안부 권고 등을 계끼로 1,2,3기로 차례로 암호화 규칙을 고도화했다.

약정원 측은 "정보를 수집할 때 처방정보를 제외한 개인정보는 최소화했다. 필요가 없었기 때문이다. 사업 목적은 개인정보 유출이나 활용이 아닌, 의약품 통계자료 도출일 뿐"이라며 "6년이 지난 지금까지 개인정보가 단 1건도 유출되지 않고 피해자가 없었음이 이를 증명한다"고 덧붙였다.

◆팽팽한 검찰과 피고...남은 쟁점은?

검찰이 암호화 방법과 개인식별 가능 여부를 파고들어 미시적으로 접근한 반면, 피고들은 개인정보를 정의하는 기준을 행위 주체에 따라, 상황에 따라 포괄적으로 봐야 한다는 거시론으로 맞섰다.

약정원 측 변호인들은 이 사업이 '국민 건강 증진에 유용한 통계자료를 제공하기 위한 것'이라는 대의명분에서 시작했고, 범죄 의도가 없었다는 점을 감안하면 남은 쟁점은 ▲1기 암호화가 미흡한 점 ▲암호화 규칙은 IMS와 공유한 점 ▲암호화 매칭 결과값을 제공해 과거 정보까지 해독 가능하도록 한 점 뿐이라고 밝혔다.

변호인은 "설령 쟁점들이 문제가 된다 해도, 중대 범죄가 아닌 행정조치 수준에서 바로잡을 수 있는 수준"이라며 "피고들은 법을 지키며 통계사업을 지속하려는 목적이 다였다는 점을 알아달라"고 강조했다.

그러나 검찰 주장인 환자의 질병과 치료에 대한 민감정보를 외부에 유출해서는 안된다는 의료법·약사법 위반에 대해서는 프리젠테이션을 한 4곳의 피고 측 변호인 중 누구도 언급하지 않았다.

그럼에도 검찰은 ▲치환규칙을 공유했다는 건 마음만 먹으면 정보를 해석할 수 있다는 점 ▲지누스는 수집 단계에 이미 개인정보성이 살아있다는 점 ▲행자부조차 암호화 규칙을 공유했다면 암호화된 데이터라 해도 개인정보성을 유지할 수 없다고 본 점 ▲의약사와 피고를 단순한 정보 위수탁 관계로 볼 수 없는 점 등을 지적했다.

사건은 다시 원점으로 왔다. 피고들이 수집, 보관, 가공해 빅데이터로 활용한 환자 정보들이 '식별 가능한 개인정보'에 해당하는지를 법원이 어떻게 판단할 지가 여전히 중요한 변수로 남아있다.

재판부는 검찰에 증거 특정 기간을 주기 위해 다음 기일은 6월 20일 오후 2시로 잡았다.