의사와 환자들이 대한약사회, 약학정보원, 한국IMS헬스를 상대로 제기한 개인정보유출 손해배상 소송 항소심에서도 패소했다.
 

서울고등법원 제13민사부는 최근 의사·환자 475명이 제기한 4억7500만원 규모의 개인정보유출 손해배상 소송 항소심에서 1심과 같이 원고 청구를 기각했다.

475명은 약사회와 약학정보원이 PM2000(약국 심사청구 소프트웨어) 프로그램을 통해 수집한 환자의 주민등록번호 및 질병코드 등 민감정보를 동의 없이 한국IMS헬스에 제공했다며 1인당 약 100만원씩 배상을 요구하는 손해배상청구 소송을 냈다.

2심에서 원고들은 1심과 달리 환자의 개인정보 침해에 따른 손해만 구하는 것으로 청구 내용을 변경했다. 그러나 원고의 주장은 받아들여지지 않았다.

재판부는 “약학정보원의 주요 업무는 약사회장에게도 보고돼 약학정보원과 한국IMS헬스 사이의 데이터공급계약에 관한 내용을 약사회장에게 보고된 사실을 인정할 수 있으나 이런 인정사실만으로는 약사회가 약학정보원의 정보 수집 및 제공에 가담했다고 인정하기에 부족하고 달리 이를 인정할 증거가 없어 공동불법행위 책임으로 보기 어렵다”고 판단했다.

또한 “약학정보원이 약국 운영자의 동의를 얻어 PM2000 프로그램을 통해 정보를 취득한 것이 정보통신망에 침입하는 등 부정한 수단 또는 방법으로 타인의 비밀을 취득한 경우에 해당한다고 보기 어렵다”고 설명했다. 

그러나 재판부는 “약학정보원이 개인정보보호법 시행일인 2011년 9월 30일 이후 고유식별정보와 민감정보가 포함된 이 사건 정보를 정보주체의 동의 없이 수집한 것은 개인정보보호법을 위반한 경우에 해당한다”고 밝히고 “한국IMS헬스에 정보주체인 원고들의 동의 없이 민감정보를 전송한 사실을 보면 개인정보보호법을 위반했다”고 지적했다.

아울러 처방전에 기재된 환자의 주민등록번호와 질병에 관한 내용을 수집하는 것에 대한 동의를 할 수 있는 주체는 약사들이 아닌 환자들이고, 약사들도 처방전에 기재된 환자들의 개인정보가 약학정보원에 의해 수집되는 것에 그치지 않고 한국IMS헬스에 제공되는 것에 대해서도 동의했다고 보기는 어렵다고 판시했다.

또한 IMS헬스 역시 단순히 약학정보원으로부터 정보를 제공받는 것을 넘어 제공을 요청하고, 제공을 위한 방법을 제시하거나 약학정보원 서버 구축을 주도하는 역할을 했으며, 미국 본사에 여전히 식별 가능한 민감정보를 동의 없이 전송했다는 점에서 위법행위에 대한 고의 또는 과실을 인정할 수 있다고 판단했다.

그러나 재판부는 약학정보원과 한국IMS헬스코리아의 개인정보보호법 위반을 인정했음에도 불구하고 원고 패소 판결했다. 원고들의 손해가 발생했다는 사실이 증명되지 않았다고 판단했기 때문이다. 

정보 유출범위가 제한적이어서 통상의 제3자에게 유출된 경우와 차이가 있고 수집된 개인정보는 통계자료 생산을 목적으로 활용했을 뿐 원고들의 권익을 해할 목적으로 사용된 것으로 보이지 않는 점, 제3자의 입장에서 해당 정보를 통해 특정 개인을 식별하는 것이 불가능한 점, 한국IMS헬스 정보에 쉽게 접근하거나 제3자가 열람했을 가능성이 있다고 보기 어렵고 마케팅을 위한 스팸메일 전송에 사용되거나 신분 도용에 사용되는 등의 2차 피해를 발생시키지 않은 점이 그 이유에서다.

재판부는 “원고들의 개인정보가 약학정보원에 의해 수집되고 한국IMS헬스에 제공됐다는 사정만으로는 원고들에게 위자료로 배상할 만한 정신적 손해가 실제로 발생했다고 보기 어렵고, 이를 인정할 증거가 없다”며 원고의 청구를 모두 기각했다.  
메디컬투데이 신현정 기자(
choice0510@mdtoday.co.kr)          


profile