‘약학정보원 사건’ 무죄 판결의 함의

1. 들어가며

2013년 12월 11일, 검찰은 대한약사회 산하 재단법인 ‘약학정보원’을 개인정보 보호법 등 위반 혐의로 전격 압수수색하였다. 약학정보원이 개인의 의료정보(정확하게는 ‘약국에서 처리하는 처방 관련 정보’)를 글로벌 기업의 한국 지사인 한국아이엠에스헬스코리아 주식회사(이하 ‘한국IMS’)에 불법으로 팔아 넘겼다는 이유였다. 이후 주요 언론사에서 “가장 민감한 의료정보가 외국계 기업에 넘어갔다”, “거의 전 국민의 의료정보를 외국에 팔았다”는 등의 다소 자극적이고 논쟁적인 제목으로 이를 보도하면서 급속히 사회적 이슈로 대두되었고, 소위 ‘약학정보원 사건’으로 명명되기에 이르렀다.

이후 약학정보원 사건과 관련하여 민사소송1 (개인정보 침해 손해배상책임)뿐 아니라 형사소송2 (개인정보 보호법 등 위반 형사책임), 행정소송3 (약학정보원 사건에서 문제된 PM2000 소프트웨어4 적정성결정취소처분)이 각 제기되었다. 이에 관하여 대법원은 2024. 7. 11. 약학정보원 사건 관련자들에게 무죄를 선고한 항소심 판결이 타당하다고 보아 검사의 상고를 기각하는 한편(2022도415 판결), 민사상 손해배상책임도 인정하지 않았다(2019다242045 판결). 이로써 약햑정보원 사건과 관련하여 장장 11년에 걸친 지리한 법정 다툼은 민ㆍ형사상 책임 측면에서는 약학정보원측의 완승으로 일단락되었다.5 이하 형사 사건의 판결문을 중심으로 약학정보원 사건의 사실관계, 쟁점 및 판결의 함의를 간략하게 정리하고자 한다. 사실 약학정보원 사건은 ① 병원ㆍ의원정보 수집ㆍ제공과 ② 약국정보 수집ㆍ제공의 양자가 모두 문제된 사건이나, 세간에 주로 알려진 부분은 약국정보 수집ㆍ제공 부분이므로 이에 한정하여 살펴본다. 참고로 민ㆍ형사사건 결론을 정리하면 다음과 같다.

 병원ㆍ의원정보 수집ㆍ제공약국정보 수집ㆍ제공
민사 제1심청구기각
민사 항소심청구기각
민사 상고심청구기각
형사 제1심일부 유죄무죄
형사 항소심무죄무죄
형사 상고심무죄무죄

2. 사실관계6및 쟁점

가. 기초 사실관계

대한약사회는 2000. 8. 경 약사가 컴퓨터에 처방전에 기재된 사항을 입력하면 자동으로 조제기록부를 생성하고, 약국이 조제정보를 토대로 심평원에 전산으로 조제료와 복약지도료 등을 청구7
할 수 있는 기능을 갖춘 약국 관리 프로그램 PM2000을 개발하여 약학정보원에 그 관리ㆍ운영을 위탁하였다. 약국개설자는 대한약사회의 회원으로 가입하고 연회비를 납부한 다음 대한약사회 홈페이지에서 무료로 PM2000 프로그램을 다운로드하여 사용할 수 있는데, 약학정보원 사건이 불거진 2013. 12. 기준 전국 약국의 약 50%가 PM2000 프로그램을 이용하고 있었다.
한국IMS는 약국의 조제정보를 수집ㆍ분석하여 통계자료로 제작하여 제약회사 등에 판매하기 위하여 2010. 12. 30. 약학정보원과 약국의 조제정보 데이터를 제공받는 데이터공급계약을 체결하였다. 이에 약학정보원은 PM2000 프로그램을 사용하는 약국의 컴퓨터에 저장된 조제정보가 약학정보원 서버에 자동 전송되게 하는 프로그램(이하 ‘자동전송 프로그램’)을 개발한 후, 2011. 1. 28.경 위 자동전송 프로그램을 PM2000 업데이트 파일에 내장하여 PM2000 전용 서버에 올려놓았다. 전국 9,000여 개 약국들이 PM2000 프로그램을 업데이트하려고 할 때, 통계 목적으로 조제정보가 자동으로 전송되는 프로그램이 탑재된 사실과 조제정보 수집에 대한 동의를 구하는 내용이 포함된 약관이 팝업(pop-up) 형식으로 나타났고, 약사가 동의 여부에 대하여 ‘예’라고 하면 업데이트가 진행되면서 위 자동전송 프로그램이 약국의 컴퓨터에 설치되었다. 그 후 약사가 PM2000 프로그램을 이용하여 조제정보를 입력하면, 그 조제정보가 약학정보원의 서버로 자동으로 전송되었다.

나. 주민등록번호 암호화

약학정보원은 총 3번에 걸쳐 암호화 방식을 바꾸어 한국IMS에 이를 제공하였는데, 간략히 살펴보면 다음과 같다.

1) 제1기 암호화 방식

약학정보원은 2010. 11.말경부터 2014. 6.경까지는 다음과 같은 방식으로 주민등록번호를 암호화하여 한국IMS에 제공하였다. 이는 2010. 5.경 한국IMS가 제안한 방식이어서, 한국IMS는 이를 쉽게 복호화할 수 있었다. 제1기 암호화 방식은 아주 기초적인 치환(substitution)에 불과하여 기술적으로 암호화라 명명할 수 있을지 의문이다.8

① 13자리의 주민등록번호 중 홀수 자리와 짝수 자리를 아래와 같은 규칙으로 영문 알파벳으로 치환한다.

그림입니다.

원본 그림의 이름: CLP00006ca01a24.bmp

원본 그림의 크기: 가로 603pixel, 세로 110pixel

② 여기에 잡음을 추가한다. 변환된 문자열의 6번째 자리의 문자를 문자열의 가장 마지막 자리에, 13번째 자리의 문자를 첫 번째 자리에 각각 추가하여 15자리의 알파벳 문자열을 만든다.

2) 제2기 암호화 방식

약학정보원은 2014. 6.경부터 2014. 9.경까지는 복호화가 불가능한 일방향 암호화 방식인 SHA-512를 사용하여 주민등록번호를 암호화하였다.

3) 제3기 암호화 방식

약학정보원은 2014. 10.경부터 2015. 1.경까지는 주민등록번호가 아니라 성명, 생년월일, 성별로 환자를 특정한 후 이를 SHA-512로 암호화하였다.

다. 쟁점

우선 공소사실의 요지는 다음과 같다. ① 민감정보 수집, 저장, 보유: 약학정보원은 자동전송 프로그램이 내장된 PM2000이 약국 컴퓨터에 설치되게 한 다음, 이를 통하여 2013. 6. 17.경부터 2014. 11. 30.경까지 환자들의 동의 또는 법령의 근거 없이 환자의 조제정보에 포함된 환자의 민감정보를 불법으로 수집, 저장, 보유하였다. ② 민감정보의 제공: 약학정보원은 2011. 1. 28.경부터 2013. 6. 16.경까지 위 PM2000 프로그램을 통하여 약학정보원 서버에 저장된 조제정보에 포함된 환자의 민감정보를 정보주체의 동의 없이 한국IMS에 공유하는 방식으로 제공하였다.

재판 과정에서는 ① 개인정보 보호법 시행(2011. 9. 30.) 이전에 환자의 민감정보를 수집한 행위가 형사처벌 대상인지, ② 약학정보원이 개인정보 처리자인지 아니면 단순한 수탁자인지, ③ 제1기, 제2기, 제3기 암호화된 정보가 각 개인정보 보호법상 개인정보인지, ④ 약학정보원에게 개인정보 보호법 위반의 고의가 있었는지가 핵심 쟁점으로 다투어졌다.

3. 법원의 판단

대법원은 항소심 법원의 판단이 타당하다고 보아 검사의 상고를 기각하였으므로, 항소심 판결에 초점을 맞추어 법원의 판단을 살펴본다.

①과 관련, 법원은 개인정보 보호법 시행일에 맞추어 제정된 ‘표준 개인정보 보호지침’에서 “법 시행 전에 근거 법령 없이 개인정보를 수집한 경우 당해 개인정보를 보유하는 것은 적법한 처리로 본다.”라고 규정하고 있으므로 설령 약학정보원이 개인정보 보호법 시행 이전에 법령의 근거 없이 민감정보를 수집하였다 하더라도 이는 적법하고, 동법 시행 이후에도 기존 수집목적 범위 내에서 보유하는 것은 적법하다고 보았다.

②와 관련, 약학정보원의 정보 처리 실태를 종합하면 약학정보원은 약국으로부터 개인정보 처리를 수탁받은 수탁자가 아니라 개인정보 처리자라고 보았다.9

③과 관련, 제1기, 제2기, 제3기 암호화된 정보 모두 개인정보라고 보았다. 개인정보에 암호화 등 적절한 비식별화(de-identification) 조치를 취함으로써 특정 개인을 식별할 수 없는 상태에 이른다면 이는 식별성을 요건으로 하는 개인정보에 해당한다고 볼 수 없고, 따라서 정보주체의 동의 없이 통계작성 등의 용도로 이용되거나 제3자에게 제공되더라도 정보통신망법이나 개인정보 보호법을 위반한 것이라고 볼 수 없다. 그러나 비식별화 조치가 이루어졌다고 하더라도 재식별 가능성이 합리적으로 존재한다면 적절한 비식별화 조치가 이루어지지 않은 것이므로 여전히 정보통신망법이나 개인정보 보호법이 적용되는 개인정보에 해당한다. 이러한 기준에 입각해 살펴보면, 제1기, 제2기, 제3기 암호화는 모두 한국IMS가 다양한 추론을 통해 쉽게 복호화할 수 있어 개인이 식별될 우려가 커서 여전히 개인정보라고 보았다.

④와 관련, 법원은 암호화 조치로 인하여 개인정보 보호법상 보호의 대상이 되는 ‘개인정보’에 해당하는지 여부가 쟁점이 된 대상 사안에서 ‘개인정보’를 처리함으로 인하여 위법한 행위를 하였다고 평가하기 위해서는 그러한 객관적 구성요건, 즉 처리의 대상이 ‘개인정보’에 해당하는지 여부뿐만 아니라, 그와 같이 ‘개인정보’를 처리한다는 인식 및 이를 용인하려는 의사가 있어야 한다고 보았고, 구체적으로 어떤 정보가 식별가능한 개인정보에 해당한다는 것과 행위자가 그 정보를 식별가능한 개인정보로 인식하였는지 여부는 별개로 살펴보아야 한다고 보았다. 그런데 약학정보원 사건에서는 ‘용인 의사’가 증명되지 않았다고 판단하였고, 이를 이유로 약학정보원에게 무죄를 선고하였다.

4. 판결의 함의

약학정보원 사건은 개인정보 보호법 시행 이전부터 존재하였던 기존의 정보 제공 관행이 개인정보 보호가 사회적 주목을 받고 규범으로 자리매김하던 2010년대 초의 과도기적 상황에서 불거진 사건이라고 생각한다. 사실 약학정보원 사건에서 약학정보원이 한국IMS에 제조정보를 제공한 근본 이유는 ‘통계처리’이다. 현재 시행중인 개인정보 보호법은 통계작성, 과학적 연구 등을 위하여 정보주체 동의 없이 가명정보를 처리할 수 있으며(제28조의2), 당초 수집 목적과 합리적으로 관련된 범위 내에서는 법령에 규정된 요건(대표적으로 가명처리 또는 암호화 등 안전성 확보 조치를 취한 경우)을 고려하여 정보주체 동의가 없더라도 개인정보를 이용, 제공할 수 있다고 규정한다(제15조 제3항, 제17조 제4항). 약학정보원 사건은 사실 현행 개인정보 보호법상으로는 적법한 개인정보 처리라고 볼 여지도 상당한 것이다. 물론 약학정보원의 조제정보 수집 및 처리 방식(특히 제1기 암호화 방식)이나 한국IMS에 제공한 정보의 양이나 범위 등이 과연 적절하였는지는 의문이지만, 형사처벌을 받을 정도의 위법성이 있었다고 보기도 어려운, ‘회색 지대’에 놓인 사안이 아니었나 하는 생각이 든다. 한편 법원이 ‘용인의 의사’라는 주관적 구성요건이 증명되지 않았음을 들어 무죄 판결을 한 것은 결론적으로는 타당할지 모르나, 이는 구체적, 개별적 사안마다 다르게 판단될 수 있는 부분이므로, 향후 약학정보원 사건과 유사한 사안에서도 기업에게 용인의 의사가 부정되어 형사책임을 지지 않을 것이라는 식의 성급한 일반화는 곤란하다. 마지막으로 법원이 이 사건을 종국적으로 판단하기까지 11년이나 걸렸어야 했었는지는 매우 의문이며, 지연된 정의는 정의가 아니라는 다소 뻔한 법언(法言)이 수범자의 법적 안정성 측면에서 반드시 지켜져야 함을 강조하며 이 글을 마무리한다.

  1. 서울중앙지방법원 2017. 9. 11. 선고 2014가합508066 판결, 서울고등법원 2019. 5. 3 선고 2017나2074963 판결, 대법원 2024. 7. 11. 선고 2019다242045 판결. [본문으로]
  2. 서울중앙지방법원 2020. 2. 14. 선고 2015고합665 판결, 서울고등법원 2021. 12. 23. 선고 2020노628 판결. 상고심 대법원 2024. 7. 11. 선고 2022도415 판결. [본문으로]
  3. 서울행정법원 2017. 6. 22. 선고 2015구합81805 판결, 서울고등법원 2022. 3. 23. 선고 2017누59194 판결. 제1심에서 약학정보원 패소, 항소심에서 각하 판결로 확정되었다. [본문으로]
  4. PM2000은 약학정보원이 개발한 약국관리 프로그램으로, 약사들이 건강보험심사평가원(이하 ‘심평원’)에 요양급여비용을 청구하고 환자 관리 및 조제데이터를 입력ㆍ저장하는 등의 기능을 갖춘 소프트웨어이다. 심평원은 2005. 5. PM2000이 요양급여비용 심사청구 소프트웨어로 적정하다는 결정을 하였으나 약학정보원 사건이 터진 이후 심평원은 2015. 11. 30. 위 적정성 결정을 취소하였다. 적정성 결정이 취소되면 PM2000을 사용한 요양급여비용 청구가 불가능해진다. [본문으로]
  5. 민사사건에서는 제1심, 항소심, 상고심 모두 약학정보원의 손해배상책임이 인정되지 않았으나, 그 논거는 제1심 판결과 항소심(및 상고심) 판결이 다소 차이가 있다. 핵심 쟁점인 암호화된 정보(후술하듯이 약학정보원 사건에서는 제1기, 제2기, 제3기 암호화된 정보가 각 존재한다)가 개인정보에 해당하는지에 관하여 제1심 판결은 제1기 암호화된 정보만 개인정보라고 보았으나, 항소심(및 상고심)은 제1기, 제2기. 제3기 암호화된 정보 모두를 개인정보라고 보았다. 어쨌든 심금 불문 법원은 약학정보원의 개인정보 보호법 위반 사실은 인정되지만 원고들에게 정신적 손해가 발생하지 않았다는 이유로 손해배상책임을 부정하였다. [본문으로]
  6. 정영진ㆍ조성훈, “보건의료정보의 수집 및 제공에 따른 형사책임”, 법학연구 제25권 제3호(2022. 9.), 143쪽 이하를 참고하였다. [본문으로]
  7. 약사가 의사의 처방전에 따라 의약품을 조제하면, 환자의 인적 사항, 조제 연월일, 처방 약품명과 일수, 조제 내용 및 복약지도 내용, 그밖에 보건복지부령으로 정하는 사항을 기재한 조제기록부를 작성하여야 한다(약사법 제30조 제1항). 그 후 요양기관인 약국은 심평원에 요양급여비용 심사청구를 하게 된다(국민건강보험법 제42조 제1항 제2호, 제47조 제2항). [본문으로]
  8. 일례로 541008-1030024 → elafjhafcfjnd(①) → delafjhafcfjndh(②)가 된다. [본문으로]
  9. 관련하여 대법원은 “어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리ㆍ감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.”라고 본다. 대법원 2017. 4. 7. 선고 2016도13263 판결. [본문으로]
저자 : 이해원

강원대학교 법학전문대학원 교수 / 법학박사, 변호사(Korean Bar) / KISO저널 편집위원