"비식별 정보, 개인정보 아냐"…'식별'과 '구분' 차이 강조

약정원, "수집 정보 암호화 처리"-검찰 "암호화 규칙·매칭값 공유"

기사입력 2019-04-23 06:00     최종수정 2019-04-23 07:03 프린트하기 메일보내기 스크랩하기 목록보기   폰트크게 폰트작게

약학정보원의 개인정보 유출 공판에서 '개인정보' 유출 여부를 놓고 검찰과 변호인들이 팽팽한 입장차를 보였다. 

병·의원의 환자 진료정보를 제공한 '지누스', 약국 조제처방 환자정보를 제공한 '약학정보원', 양측의 자료를 제공받아 활용한 '한국IMS' 측은 각각 변론을 통해 검찰이 주장하는 개인정보 유출에 대한 입장을 밝혔다.

22일 서울중앙지방법원 형사 제22 재판부는 약학정보원의 개인정보보호법 위반 등에 대한 공판이 진행됐다. 

오전 10시 20분부터 오후 6시까지 진행된 재판은 공소사실에 대한 검찰의 PT와 피의자들의 변론으로 진행됐다. 

개인정보 유출 유무
약정원은 속이는 행위에 대한 '정보통신망법 위반'과 주민등록번호 수집에 대한 '개인정보보호법 위반'으로 공소, 약정원측은 수집된 정보가 암호화 처리돼 식별 가능성이 없으므로 개인 정보 또는 고유식별정보가 아니라는 점을 강조했다. 

약정원측 변론을 살펴보면, 약국으로부터 얻은 환자 정보(성명, 성별, 상병코드, 처방약, 주민등록번호 일부 등)는 한국IMS에 암호화 돼 제공됐으며, 의약품 사용의 통계목적으로 사용됐음을 강조했다. 

2년전과 같이 '개인정보' 유출 여부는 이 재판의 쟁점으로 약국에서 PM2000을 통해 약정원으로 들어오는 환자 정보는 이미 주민번호에 암호화가 돼 식별이 불가능 하고, 암호화된 비식별 정보를 IMS에 제공한 것은 개인정보가 아니라는 것이 약정원측의 주장이다.

약정원의 암호화는 보완별로 3기로 나뉘는데 개인정보보호법이 적용되기 이전인 2011년~2014년 3월까지는 1기로 양방향 암호화 환자 주민등록번호가 환자 정보가 수집됐다. 

양방형 암호화는 주민등록 번호에 알파벳을 이용해 암호화하는 방식으로 복호화가 가능한 상태, 그러나 개인정보보호법 시행 이전에 도입된 방법으로 애초부터 약정원이 개인 식별 의도는 없었다는 주장을 뒷받침한다. 

이후, 2기 암호화는 행정안전부의 권고로 일방형 암호화된 환자 주민등록번 등 정보가 제공됐고, 3기에는 주민등록번호 수집 자체를 금지한 개인정보보호법에 따라 주민등록번호가 완전 제외된 정보만이 수집되고 있다. 

검찰, 암호화 규칙·매칭값 공유 개인정보 주장
문제는 이 같은 환자 정보가 비식별 암호화로 제공됐음에도 이 암호화 규칙을 약정원과 IMS가 공유하고 있었다는 사실이다. 

검찰은 양측의 일부 직원이 암호화 규칙을 공유, 암호화의 의미가 없다는 주장으로 개인정보 유출을 주장하고 있다. 그러나, 약정원 측은 이 데이터의 목적이 개인 식별에 있지 않고, 해독할 의사도 실제 해독도 없었던 점을 강조했다. 

IMS측도 의약품 사용통계를 위한 데이터에서 환자 주민등록번호(암호화된)는 ‘개인 식별’을 위한 것이 아니라 중복을 방지하고 세부적이고 정확도를 높이기 위한 ‘구분’의 용도임을 강조했다. 

검찰측은 양측의 암호화 규칙 공유뿐만 아니라 2기 암호화에서는 복호화가 불가능한 SHA-512방식을 도입했음에도 매칭값을 공유해 식별가능성이 남아 있었다는 점을 지적했다. 

약정원측은 "환자 정보를 탈취하거나 악용하려는 시도는 없었고, 통계분석을 통해 유용한 자료를 만들고자 한 의도, 법률 이해가 부족한 부분이 있었지만 적법하게 사업을 추진해 불법적인  목적으로 사용되거나 개인정보 유출은 1건도 없었다"고 강조했다. 

또한, 최근 빅데이터 산업 활성화를 위해 정부 주도하에 비식별화 및 가명정보 활용에 대한 법률 개정 논의가 이루어지고 있는 만큼, 데이터 활용에 대한 인식변화가 고려돼야 한다고 변론했다. 

특히, 지난 검찰수사에서도 밝혀졌듯 이 같은 데이터로 인한 개인정보 유출과 통계자료가 아닌 불법적인 목적으로 사용된 건은 1건도 없었음을 거듭 강조했다.  

재판부는 ‘개인정보처리자’인지, 개인정보 ‘위수탁 계약자’인지에 대한 구분이 모호하다고 지적했다. 

개인정보에 있어 개인정처리자는 업무 관련에만 개인정보를 처리할 수 있고, 위수탁 계약자는 개인정보에 대한 제3자 제공이 가능하다는 점에서 약정원의 입장을 규정해야 한다는 것. 

이에 검찰 측은 "약정원과 지누스가 프로그램을 제공해 수집하는 과정에 문제가 있다"며 "개인정보 위탁을 하려면 위탁 계약이 있어야 하지만, 대부분의 의약사가 개인정보가 아닌 프로그램을 사용한 것이라고 생각했다"며 “개인정보처리자로 봐야 한다”고 주장했다. 

이에 "개인정보를 제공한다는 정보를 동의를 받았다고 하기 어렵다. 설사 IMS헬스에 대한 위탁을 인정하더라도 개인정보를 제3자에 제공한 것은 위수탁 범위를 초과하는 것"이라고 주장했다.

재판부는 추가적인 진술과 자료 보충을 요구, 오는 6월 20일 다음 공판을 진행 할 것을 밝혔다. 다음 재판에서는 변론인의 요청으로 현 대한약사회장이자 전 약학정보원장으로 피의자 신분이 김대업 회장의 신문이 진행 될 예정이다. 
기사공유   트위터   페이스북   싸이공감   구글
독자 의견남기기

독자의견쓰기   운영원칙보기

(0/500자) 로그인

리플달기

댓글   숨기기

독자의견(댓글)을 달아주세요.

뉴스홈으로    이전페이지로    맨위로

인기기사    댓글달린기사    공감기사

한풍제약 -굿모닝에스
퍼슨 -성광관장약/베베락스액
블랙모어스 - 피쉬 오일
Solution Med Story
아이오틴 - 메디알람(Medi Alarm)
보령제약 - 용각산쿨/용각산

한국제약산업 100년의 주역

<58> 한승수 <제일파마홀딩스 회장/ 제54회 / 2018년도>

1959년 창립된 제일약품은 지난해 6월, 미래성장 추...

<57> 윤도준 <동화약품 회장 / 제53회 / 2017년도>

윤도준 동화약품 회장은 고(故) 윤광열 동화약품 명...

<56> 김동연 (한국신약개발조합이사장 / 제52회 / 2016년)

  김동연 한국신약개발 이사장은 1950년 출생, ...

<55> 이성우 (삼진제약사장 / 제51회 / 2014년)

  이성우 삼진제약 사장은 중앙대학교 약학대학...

<54> 이정치(일동제약회장 / 제50회 /2013년)

  이정치 일동제약 회장은 고려대 농화학과를 졸...

더보기

Medi & Drug Review

"나잘스프레이,해수와 유사한 3% 고농도로 안전성 강화"

[Medi & Drug Review] 한독 ‘페스(FESS)’

'심방세동' 약물치료, 출혈 위험 낮춘 NOAC 선호

[Medi & Drug Review] 신촌세브란스병원 심장내과 엄재...

“전이성 유방암 치료, 생존율과 삶의 질 중요해”

[Medi & Drug Review] 한국에자이 '할라벤 주'

"조현병, 꾸준한 약물복용으로 관리 가능하다"

[Medi & Drug Review] 중앙대학교병원 정신건강의학과 ...

“바르는 무좀치료제, ‘효능’ 강화한 전문약으로”

[Medi & Drug Review] 동아ST ‘주블리아’

더보기

실시간 댓글 더보기

오피니언 더보기

사람들 interview

“신약 접근성, 위험분담제 독점권 해결로 높여야”

백민환 회장 “후발 약제도입 어려워…이제는 실제적 변...

더보기

의약정보 더보기

약업북몰    신간안내

2018년판 화장품연감

2018년판 화장품연감

책소개뷰티누리(주)(화장품신문)가 국내외 화장품과 뷰...

팜플러스 더보기