2024-03-29 15:25 (금)
[한국사회를 변화시킨 9대 개인정보 유출사고 판례 분석8⑨] 환자 동의 없이 처방 정보 수집 및 판매한 사건
상태바
[한국사회를 변화시킨 9대 개인정보 유출사고 판례 분석8⑨] 환자 동의 없이 처방 정보 수집 및 판매한 사건
  • 길민권 기자
  • 승인 2019.08.09 09:16
이 기사를 공유합니다

이 사건 이후 민감 정보에 관하여 규정이 강화
개인정보를 제공받은 제3자의 의무를 강화하는 규정 도입

한국개인정보법제연구회의 도움으로 한국사회를 변화시킨 9건의 개인정보 유출 사고와 해당 판례를 분석한 기고문을 게재합니다. 대량 개인정보 유출 사건을 중심으로 살펴보고 이 사건들이 우리나라 개인정보보호법에 어떤 영향을 미쳤는지 그리고 기업들은 어떤 부분을 주의해야 하는지 독자들과 공유하고 실무에 도움이 되는 시간이 되길 바랍니다. 의미있는 자료를 데일리시큐에 기고해 주신 한국개인정보법제연구회에 깊은 감사의 말씀을 전합니다. -편집자주-

◇관련 민사 판결

1심 : 서울중앙지방법원 2017. 9. 11. 선고 2014가합508066 판결, 2014가합538302 판결(병합)

2심 : 서울고등법원 2019. 5. 3. 선고 2017나2074963 판결, 2017나2074970 판결(병합)

1. 사건의 발생 경위

환자가 처방전을 받아 약국에 제출하면 약국에서는 처방전에 기재된 사항을 각 약국에 배포되어 있는 P프로그램에 입력하여 그 정보를 바탕으로 건강보험심사평가원에 조제료, 복약 지도료 등을 청구하게 됩니다.

피고 H 법인은 약국관리프로그램인 P프로그램을 관리 및 배포하는 회사로서, 2011. 1. 28. 경 처방전의 정보를 피고 H 법인에 자동 전송되는 프로그램을 개발하고 이를 P프로그램의 업데이트 파일에 포함하였습니다. 이에 각 약국이 P프로그램을 업데이트 하는 과정에서 처방 정보가 자동 전송되는 프로그램이 약국에 설치되었습니다.

H 법인은 자동 전송 기능이 포함된 P프로그램을 이용하여 2011. 1.말경부터 전국 약 1만 8,000여개의 약국에서 약 43억건에 이르는 환자들의 처방정보 및 의료진의 정보를 수집하였습니다. H 법인은 수집한 정보를 미국계 통계회사인 J사에 약 16억원을 받고 판매하였는데 J사는 이 정보를 통계화하여 국내 제약회사들에게 약 70억원을 받고 판매하였습니다.

2. 관련 소송의 경과

이 사건 P프로그램에 대한 허가 취소 처분에 관해 취소를 구하는 행정소송은 1심에서 원고가 패소하였고 현재 2심에 계류 중입니다.

민사 사건은 1심에서 피고 H 법인과 피고 J사의 일부 행위(1기 암호화 방식 관련)에 대해 개인정보보호법 위반은 인정하였으나 손해배상은 인정하지 않았습니다. 최근 선고된 2심 판결은 2, 3기 암호화 방식도 적절하지 않다고 보아 피고들의 불법행위에 대한 인정 범위를 확대하였으나 1심과 마찬가지로 손해배상은 인정하지 않았습니다.

형사 사건은 H 법인, J사, H 법인 원장, 담당자, J사 대표이사, 개발팀 직원 3명 등에 대해 두개의 사건이 1심에 계류 중입니다.

3. 사건의 주요 쟁점

이 사건에서는 H 법인이 환자의 동의 없이 P프로그램을 이용해 개인정보를 자동으로 수집하고 이를 J사에 제공한 점이 개인정보 보호법 위반에 해당하는지 문제되었습니다.

이에 대해 H 법인은, “처방정보 중 주민등록번호는 수집할 때 암호화한 상태로 수집하였고 암호화 등 비식별 조치하여 J사에 제공하였으므로 개인정보에 해당하지 않아 개인정보 보호법 위반이 아니며 통계 목적으로 제공한 것이므로 위법하지 않다.”고 주장하였습니다. 이에 따라 위 정보들이 개인정보에 해당하지 않는지와 관련하여 암호화 조치가 적절했는지 여부가 쟁점이 되었습니다.

또한 H 법인이 J사에 통계 작성 등을 목적으로 제공하였으므로 개인정보 보호법상 개인정보 주체의 동의 없이 제공할 수 있는 경우에 해당하는지 쟁점이 되었습니다.

4. 판결의 요지

가. 암호화 조치가 적절했는지 여부(개인정보 해당성 관련)

‘개인정보’는 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 등을 통해 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말합니다.

이 사건 2심 판결은, “개인정보는 해당 정보를 처리하는 자의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려하여 특정 개인을 식별할 수 있는 정보이므로 개인정보에 암호화 등 적절한 비식별화(de-identification) 조치를 취함으로써 특정 개인을 식별할 수 없는 상태에 이른다면 이는 식별성을 요건으로 하는 개인정보에 해당한다고 볼 수 없다.”고 판시하고 있습니다.

이 사건에서 암호화 조치가 이루어진 방식을 살펴보면, H 법인은 2011. 1. 말경부터 2014. 6까지 주민등록번호 중 홀수 자리와 짝수 자리를 각 다른 암호화 규칙에 따라 영어 알파벳으로 치환한 다음 양끝 2자리에 임의의 알파벳으로 잡음(노이즈)을 추가하는 방식의 일방향 암호화 방식으로 암호화가 이루어졌습니다(이하 ‘1기 암호화’라고 합니다).

위 암호화 방식은 정보를 제공받은 J사의 기술팀 담당자가 제시한 방식으로서, H 법인의 담당자와 J사의 기술팀 담당자가 이 사건 정보를 수집 및 제공하기 이전부터 서로 주민등록번호 암호화 방식에 관하여 논의하였던 사실이 재판 과정에서 인정되었습니다. 또한 J사는 H 법인 서버에 접속하여 누적된 자료를 전송받는 방식으로 이 사건 정보를 제공받았는데 H 직원은 건강심사평가원에 보험금을 청구하기 위해 암호화된 환자의 주민등록번호를 복호화할 수 있는 복호화 함수를 만든 다음 이를 H 법인 서버에 저장한 사실도 인정되었습니다.

그 후 H 법인은 안전행정부에서 1기 암호화 방식에 대해 부실하다는 지적을 받았고 이에 따라 2014. 6.경부터 2014. 9.경까지는 복호화가 불가능한 일방향 암호화 방식으로 주민등록번호를 암호화하였습니다(이하 ‘2기 암호화’라고 합니다). 이에 관해 H 법인 담당자는 2기 암호화 방식의 주민등록번호와 이에 대응되는 1기 암호화 방식의 주민등록번호를 기재한 매칭 테이블을 외부저장매체에 저장하여 J사에 제공하였습니다.

한편 2014. 10.경부터 2015. 1.경까지는 주민등록번호가 아닌 환자의 성명, 생년월일, 성별을 통해 환자를 특정한 후 이를 일방향 암호화하였습니다(이하 ‘3기 암호화’라고 합니다). H 법인 담당자는 3기 암호화 방식으로 생성된 환자의 고유번호와 이에 대응되는 2기 암호화 방식의 주민등록번호를 기재한 매칭 테이블을 외부저장매체에 저장하여 제공하였습니다.

이 사건 1심 판결은, H 법인이 2011. 1.말 ~ 2014. 6. 까지 개인정보에 대하여 암호화한 것은(이하 ‘1기 암호화 조치’라 합니다) 규칙이 단순하여 복호화가 용이한 점, 수사기관에서도 쉽게 복호화한 점, 서버에 복호화 함수가 존재하였고 H 법인과 J사 담당자가 암호화에 관하여 논의해 온 점 등에 비추어 J사가 복호화 함수에 접근하는 것이 어렵지 않았을 것으로 보이므로 재식별 가능성이 있어 개인정보에 해당한다고 보았습니다. 따라서 이를 개인정보 주체의 동의 없이 수집 및 제공한 행위는 개인정보 보호법 위반에 해당한다고 판시하였습니다.

반면 2, 3기 암호화 조치의 경우에는 양방향 암호화에 비해 안전한 일방향 암호화 방법으로서 난수를 생성하는 기법 등이 적용되어 기술적 수준이 높아 피고 회사가 자체적으로 복호화하는 것이 원칙적으로 불가능하고, 매칭 테이블을 제공하였다고 하더라도 J사는 통계분석자료를 생성하여 판매하는 이익을 얻는 것을 목적으로 하므로 암호화된 정보를 재식별화할 경제적 유인은 없을 것으로 보이고 J사가 실제 복호화 등을 시도하지 않았으므로 식별가능성이 없어 개인정보에 해당하지 않는다고 보았습니다.

그러나 2심 판결은, 2, 3기 암호화 방식에 대하여도 식별 가능성이 있으므로 개인정보에 해당한다고 판시하였습니다. 2심 판결은, “일방향 암호화가 양방향 암호화 방식에 비해 기술적 수준이 높아 그것만으로는 J사가 자체적으로 이를 복호화 할 수 없을 것으로 보이나, H 법인이 J사에 제공한 매칭 테이블을 결합하면 복호화가 가능하게 되고 실제 J사가 이를 통해 기존의 데이터를 새로운 환자 ID로 변환하는 작업을 하였으며, J사가 매칭 테이블을 모두 보유한 이상 처방전정보에 취한 보안조치의 수준 여부는 개인정보의 식별가능성의 규범적 판단에 있어 의미가 없다”는 취지로 판시하였습니다. 또한 2심 판결은 “피고 J사가 복호화에 대한 유인이 없고 실제 복호화를 하지 않았다고 하더라도 식별 가능성을 판단함에 있어 정보 수령자의 주관적 의도나 동기, 이익, 활용방법까지 고려하여야 한다고 볼 수 없다.”고 판시하였습니다.

위와 같이 2심 판결은 1~3기 암호화가 이루어진 정보 모두 식별 가능성이 있어 개인정보에 해당한다고 보았습니다.

나. H 법인의 개인정보 수집에 관한 판단

이 사건 1 ‧ 2심 판결은, H 법인이 수집한 정보의 정보주체는 약국이 아니라 처방을 받은 환자들이라고 본 다음, H 법인은 환자들의 동의를 받지 않고 처방정보인 고유식별정보와 민감정보가 포함된 이 사건 정보를 수집한 것이므로 이는 개인정보 보호법 위반에 해당한다고 판시하였습니다.

다. H 법인이 J사에 처방정보를 제공한 점에 관한 판단

H 법인이 J사에 처방정보를 제공한 것이 위법한지 여부에 관하여 1심 판결은, 1기 암호화 방식으로 암호화된 정보의 경우 비식별조치가 충분하지 않아 여전히 개인정보에 해당하고 여기에는 고유식별정보와 민감정보도 포함되어 있으므로 이를 정보주체의 동의 없이 J사에 제공한 것은 개인정보 보호법 위반이라고 판시하였습니다.

그러나 2, 3기 암호화 방식으로 제공한 행위는 통계작성 등의 목적으로 제공한 것이고 특정 개인을 알아볼 수 없는 상태로 제공하였으므로 정보주체나 제3자의 이익을 부당하게 침해할 우려가 없는 한 개인정보 보호법 제18조 제2항 제4호에 따라 허용된다고 보았습니다.

반면 2심 판결은, 2, 3기 암호화 방식도 1기 암호화 방식과 마찬가지로 식별 가능성이 있으므로 이 사건 정보는 개인정보에 해당하고 여기에는 고유식별정보와 민감정보까지 포함되어 있으므로 이를 정보 주체의 동의 없이 J사에 제공한 것은 위법하다고 판시하였습니다.

라. 손해배상에 관하여

1심 판결은 1기 암호화는 암호화 방식이 적절하지 않아 개인정보 수집 및 제공이 개인정보 보호법 위반에 해당한다고 보았으나 손해배상은 인정하지 않았습니다. 2심 판결은 1심과 달리 2~3기 암호화 방식과 관련하여 수집 및 제공 행위가 개인정보 보호법 위반에 해당한다고 판단하였으나 1심과 마찬가지로 손해배상은 인정하지 않았습니다.

두 재판부 모두, 개인정보가 피고들 회사 외 제3자에게는 제공되지 않았고, 통계 목적으로만 이용했을 뿐 다른 목적으로 이용되지 않았으며, 원고들의 권익을 해할 목적으로 사용될 것으로 보이지 않고, 주민등록번호는 수집 당시부터 암호화되었으며, 비록 재식별 가능성은 있으나 피고들 회사 외의 제3자가 식별하기는 어렵고, 2차 피해가 발생하지 않았으며, 이 사건 관련 정보가 J사의 글로벌 데이터센터에서 삭제된 것으로 보이는 점 등을 감안하여 피고들의 원고들에 대한 손해배상은 인정하지 않았습니다.

5. 이 사건 판결의 시사점과 영향

이 사건은 민감정보에 해당하는 환자들의 처방 정보와 주민등록번호가 포함된 정보가 환자들의 동의 없이 수집되어 통계회사에 판매된 사건으로서 개인정보 유출 사건 중 매우 중요한 사건으로 볼 수 있습니다.

이 사건 판결은 피고들이 개인정보 보호법을 위반하였다고 보았으나 손해배상은 인정하지 않았습니다. 유통의 범위와 활용 목적이 제한적이고 제2차 피해가 발생하지 않았기 때문입니다. 이러한 판결의 경향은, 2008년 수탁사 직원에 의한 개인정보 유출 사고와 2013년 R카드사 2차 유출 사고에 관한 판결을 참고하여 볼 수 있는데 위 두 사건에서 판례는 개인정보가 유출되었더라도 유통되지 않았다면 손해배상이 인정되지 않는다고 판시하였습니다. 위와 같은 판례의 태도가 이 사건에서도 유지되고 있음을 확인할 수 있습니다.

위와 같이 민사 판결에서 손해배상은 인정되지 않았으나 개인정보 보호법 위반 사실은 인정된 만큼 형사 사건에서도 개인정보 보호법 위반이 인정되어 유죄 판결이 선고될 가능성이 높아졌습니다.

한편 이 사건 이후 민감 정보에 관하여 규정이 강화되었습니다. 2016. 9. 30. 개정된 개인정보 보호법에서는, 개인정보처리자가 민감정보를 처리하는 경우 그 민감정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 안전성 확보에 필요한 조치를 하도록 하고(제23조제2항) 이를 위반하면 2년 이하의 징역 또는 2천만원 이하의 벌금(제73조 제1호) 및 3천만원 이하의 과태료(제75조 제2항 제6호)를 부과할 수 있는 근거 규정이 신설되었습니다.

또한 이 사건의 영향으로 개인정보를 제공받은 제3자의 의무를 강화하는 규정이 도입되었습니다. 이 사건에서 J사는 단순히 H 법인으로부터 이 사건 정보를 제공받는 것을 넘어서 H 법인에게 정보를 요청하였고, 정보 제공 방법과 암호화 방법 및 H 법인의 서버 구축을 주도하였으며, 미국 본사에 환자 동의 없이 이 사건 정보를 전송하였습니다. 오히려 H 법인은 J사와 접촉하기 이전에는 처방정보를 수집한 사실도 없었고 시스템도 없었으며 H 법인은 이 사건 정보를 J사에 제공하는 용도로만 활용한 점도 인정되었습니다. 이와 같이 정보를 제공받은 J사의 역할이 큰 점이 인정되었습니다.

이 사건을 계기로 개인정보를 제공받은 제3자의 책임 강화의 필요성이 높아졌고 이 사건 이후 개인정보보호법에는 민감정보처리자 또는 일정 규모 이상의 개인정보처리자가 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 3개월 이내에 일정 사항을 정보주체에게 알릴 의무가 신설되었습니다(제20조 제2항 및 3항).

[글. 한국개인정보법제연구회 / 블로그 https://blog.naver.com/kadp02 / 페이스북 https://www.facebook.com/kadp02/ 이메일 kadp02@naver.com]

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

관련기사