default_top_notch
default_news_top
default_nd_ad1

개인정보법 위반에도 약정원이 손해배상소송서 승소한 이유는?

기사승인 2019.05.13  06:00:31

공유
default_news_ad2

- 2심 재판부 "개인정보보호법 위반 맞지만 손해 증명은 안 돼"…원고 패소 판결

약학정보원과 대한약사회, IMS헬스코리아가 개인정보 유출에 따른 손해배상청구 항소심에서도 승소했다.

서울고등법원 제13민사부는 최근 환자 475명이 약학정보원, 약사회 등을 상대로 제기한 개인정보 유출로 인한 손해배상청구 항소심 선고 공판에서 1심과 같이 원고의 청구를 기각했다.

앞서 의사와 환자 475명은 약학정보원과 약사회가 PM2000 프로그램을 통해 수집한 환자의 주민등록번호 및 질병코드 등 민감정보를 동의 없이 한국IMS헬스에 제공했다며 1인당 약 100만원씩 배상하라는 손해배상청구 소송을 냈다. 1심과 달리 2심에서 원고들은 의료인은 제외하고 환자의 개인정보 침해에 따른 손해만 구하는 것으로 청구 내용을 변경했다.

이에 대해 재판부는 암호화된 환자와 의사 정보도 개인정보에 해당하며, 정보 주체인 원고들의 동의없이 정보를 IMS헬스코리아에 넘겨준 것은 개인정보보호 위반이라고 판결했다.

재판부는 "정보 주체는 처방을 받은 환자들인데, 약학정보원은 환자들로부터 정보수집에 관한 동의를 받지 않고 PM2000 프로그램에 포함된 자동전송 프로그램을 통해 정보를 수집했으며, 달리 법령에 약학정보원이 이 정보를 처리하는 것을 요구하거나 허용하고 있다고 볼 근거가 없으므로 개인정보보호법 위반에 해당한다"고 적시했다.

특히 재판부는 2011년 1월부터 2014년 6월까지 환자 주민번호를 규칙에 따라 단순 알파벳으로 치환한 1기 암호화 뿐만 아니라 2014년 6월부터 9월까지 사용한 2기, 그 이후부터 2015년 1월까지 사용한 3기 암호화 정보 역시 모두 식별가능한 개인정보 및 민감정보에 해당하며, 이를 동의없이 제3자에게 제공했으므로 개인정보보호법 위반에 해당한다고 판단했다.

1기는 쉽게 복호화할 수 있어 적절한 비식별화 조치가 이뤄졌다고 보기 힘들며, 2, 3기 암호화는 암호화 수준이 높음에도 불구하고 1기 암호화 방식과 결합하면 복호화가 가능하기 때문에 모두 개인정보로 봐야 한다는 게 법원의 판단이다.

여기에 IMS헬스코리아 역시 단순히 약학정보원으로부터 정보를 제공받는 것을 넘어서 제공을 요청하고, 제공을 위한 방법을 제시하거나 약학정보원 서버 구축을 주도하는 역할을 했으며, 미국 본사에 여전히 식별가능한 민감정보를 동의없이 전송했다는 점에서 역시 위법행위에 대한 고의 또는 과실을 넉넉히 인정할 수 있다고 봤다.

다만 원고가 주장한 정보통신망법 위반 여부에 대해서는 약학정보원이 약국 운영자의 동의를 얻어 정보를 취득한 것이 피싱 등 부정한 수단이나 방법으로 타인의 비밀을 취득한 경우에 해당하지 않는다는 점에서 위반이라고 볼 수 없다고 판단했다.

또한 이 사건에서 약사회가 약학정보원의 정보 수집 및 제공에 가담했다고 볼 근거가 부족하다는 점에서 약사회의 공동불법행위책임은 없다고 봤다.

그러나 법원은 약학정보원과 IMS헬스코리아의 개인정보보호법 위반을 인정함에도 원고 패소판결을 냈다. 이유는 원고들의 손해가 발생했다는 사실이 증명되지 않았다고 봤기 때문이다.

재판부는 "개인정보보호법 위반 행위가 인정된다 하더라도 그로 인해 원고들에게 손해가 발생했다는 사실이 증명돼야만 피고들의 손해배상책임이 발생한다"며 "이 사건의 경우, 개인정보가 수집되고 다른 회사에 제공됐다는 사정만으로는 위자료를 배상할 만한 정신적 손해가 실제로 발생했다고 보기 어렵다"고 판단했다.

그 근거로 ▲정보의 수집 경위나 목적, 이용방법 등을 고려할 때 유출범위가 제한적이어서 통상의 제3자에게 유출된 경우와는 차이가 있다는 점 ▲IMS헬스코리아가 해당 정보를 다른 용도가 아닌 통계자료 생산을 목적으로만 활용했을 뿐이고, 피고의 정보 수집목적, 관리형태 등으로 보아 해당 정보가 범죄에 이용되거나 원고의 권익을 해할 목적으로 사용될 것으로 보이지는 않는다는 점 ▲해당 정보는 환자 주민번호, 처방정보가 포함된 민감정보이지만, 수집 당시부터 암호화되었고, 피고 입장에서 재식별 가능성이 있다 하더라도 제3자 입장에서는 식별이 불가능했을 것으로 보인다는 점 ▲해당 정보가 마케팅을 위한 스팸 메일 전송에 사용되거나 신분도용에 사용되는 등 2차 피해를 발생시키지 않았다는 점 등을 들었다.

더불어 유출된 개인정보에 대해 300만원 이하의 손해배상을 청구할 수 있는 개인정보보호법 제39조의2 역시 2015년 7월 24일 이후의 사건만 해당되므로 이번 사건 청구에는 적용되지 않는다고 했다.

결국 재판부는 "원고들이 피고의 개인정보 침해 행위로 위자료를 받을만한 정신적 고통을 당했다는 사실에 대한 증명이 부족하다"며 원고의 항소를 기각했다.

한편, 약정원 등의 개인정보 유출 혐의에 대한 형사 재판은 민사와 별개로 진행되고 있으며, 지난 2월 2년 4개월 만에 공판이 재개됐다.

정새임 기자 same@docdocdoc.co.kr

<저작권자 © 청년의사 무단전재 및 재배포금지>
default_news_ad3
default_nd_ad5
ad47
ad41
기사 댓글 1
전체보기
default_nd_ad3
default_news_ad5

많이 본 기사

ad43
default_side_ad1
default_nd_ad2

쇼피알/라디오

1 2 3
item35
ad49
default_side_ad4
default_nd_ad6
default_news_bottom
default_nd_ad4
ad39
default_bottom
#top
default_bottom_notch