서울고등법원 재판부 "개인정보 활용한 불법행위·손해 입증 어렵다"
의사·환자 475명 4억 7500만원 손해배상 청구…항소 모두 기각 판결
의사 및 환자들이 대한약사회·(재)약학정보원·한국IMS헬스 주식회사를 상대로 제기한 개인정보유출 손해배상 소송 항소심에서 패소했다.
이에 앞서 2017년 9월 제1심 판결(서울중앙지방법원)에서도 의사·환자 1876명이 54억 500만원 규모의 개인정보유출 손해배상 소송을 제기했으나, 원고들의 청구가 모두 기각됐다.
서울고등법원 민사재판부는 3일 의사·환자 475명이 제기한 4억 7500만원 규모의 개인정보유출 손해배상 소송 항소심에서 원고들의 항소를 모두 기각한다고 판결했다.
2017년 제1심 판판결에 불복한 원고들은 항소심에서 대한약사회와 약학정보원이 PM2000(약국 심사청구 소프트웨어) 프로그램을 이용해 개인정보주체인 원고들의 동의 없이 고유식별정보에 해당하는 주민등록번호와 민감정보인 질병정보가 포함된 정보를 수집·이용한 행위는 개인정보 보호법을 위반한 것이라고 주장했다.
정보통신망이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제49조에서 보호하는 타인의 비밀을 침해, 도용하는 행위 또는 같은 법 제49조 제2항에 따라 정보통신망을 통해 속이는 행위로 다른 사람의 정보를 수집한 행위에 해당한다고 했다.
이와 함께 대한약사회는 처음부터 PM2000 프로그램을 통해 환자정보 등 처방·조제에 관한 정보를 수집하려고 한 계획을 인지했고, 약사회장이 사업의 진행에 관해 직접 지시하고 보고받으면서 그 소속 회원들에게 무료로 PM2000 프로그램을 배포하는 등으로 약학정보원과 공동으로 이 사건 정보 수집행위에 가담했으므로 공동불법행위 책임을 물었다.
특히 한국IMS헬스는 약학정보원으로부터 정보주체인 원고들의 동의 없이 개인의료정보를 제공받았고, 이는 개인정보보호법을 위반한 불법행위에 해당하므로 피고들은 공동불법행위자로서 연대해 원고들의 손해를 배상할 책임이 있다고 강조했다.
원고들의 이런 주장에 대해 서울고등법원 민사재판부는 공동불법행위 책임이 성립되지 않는다고 판단했다.
서울고등법원 민사재판부는 "약학정보원의 주요 업무는 약사회장에게도 보고되어서 약학정보원과 한국IMS헬스 사이의 데이터공급계약에 관한 내용을 약사회장에게 보고된 사실을 인정할 수 있다"고 봤다.
그러나 "이런 인정사실만으로는 약사회가 원고들의 주장과 같이 약학정보원의 이 사건 정보 수집 및 제공에 가담했다고 인정하기에 부족하고 달리 이를 인정할 증거가 없어 공동불법행위 책임으로 보기 어렵다"고 설명했다.
"약학정보원이 약국 운영자의 동의를 얻은 다음 PM2000 프로그램을 통해 이 사건 정보를 취득한 것이 정보통신망에 침입하는 등 부정한 수단 또는 방법으로 타인의 비밀을 취득한 경우에 해당한다고 보기 어렵다"고 판단했다.
개인정보 보호법 위반은 일부 인정했다.
"약학정보원이 개인정보 보호법 시행일인 2011년 9월 30일 이후 고유식별정보와 민감정보가 포함된 이 사건 정보를 정보주체의 동의 없이 수집한 것은 개인정보 보호법을 위반한 경우에 해당한다"고 밝힌 재판부는 "이 사건 정보는 비식별화 조치에도 여전히 개인정보에 해당하고, 나아가 고유식별정보, 민감정보에 해당하므로 약학정보원이 제3자에게 제공하는 방법으로 처리한 것은 개인정보 보호법에 위반된다"고 판단했다.
그러면서 "한국IMS헬스에 정보주체인 해당 원고들의 동의 없이 민감정보를 전송한 사실을 보면 개인정보 보호법을 위반했다"고 밝혔다.
약학정보원과 한국IMS헬스는 약사들의 동의를 얻어 약사들로부터 환자들의 정보를 수집했으므로 적법하다고 주장하는 것에 대해 서울고등법원 민사재판부는 "처방전에 기재된 환자의 주민등록번호와 질병에 관한 내용을 수집하는 것에 대한 동의를 할 수 있는 주체는 약사들이 아니라 환자들이고, 약사들도 처방전에 기재된 환자들의 개인정보가 약학정보원에 의해 수집되는 것에 그치지 아니하고 나아가 한국IMS헬스에 제공되는 것에 대해서도 동의했다고 보기는 어려우므로 피고들의 주장은 옳지 않다"고 판단했다.
그러나 손해배상책임의 성립 여부에 대한 판단에서 서울고등법원 민사재판부는 일부 개인정보 보호법 위반 여부는 인정되지만, 더 큰 피해가 없었기 때문에 손해배상책임을 묻기도 어렵다고 봤다.
▲이 사건 정보의 유출범위는 제한적이어서 통상의 제3자에게 유출된 경우와 차이가 있고 ▲수집된 개인정보는 통계자료 생산을 목적으로 활용했을 뿐 원고들의 권익을 해할 목적으로 사용된 것으로 보이지 않고 ▲암호화 됐다고는 하지만 별도의 프로그램을 통해 재식별 가능성이 있지만 그 외의 제3자의 입장에서는 이 사건 정보를 통해 특정 개인을 식별하는 것이 불가능했고 ▲한국IMS헬스 정부에 쉽게 접근하거나 제3자가 열람했을 가능성이 있다고 보기 어렵고 ▲마케팅을 위한 스팸메일 전송에 사용되거나 신분 도용에 사용되는 등의 2차 피해를 발생시키지 않았고 ▲한국IMS헬스 본사 글로벌 데이터센터에 저장돼 있던 이 사건 정보는 전부 삭제된 것으로 확인됐고 ▲원고들은 수사기관에 대한 사실조회를 통해 비로소 자신의 개인정보가 위법하게 수집된 사실을 알게 됐을 뿐이이라는 것.
따라서 "원고들의 개인정보가 약학정보원에 의해 수집되고 한국IMS헬스에 제공됐다는 사정만으로는 원고들에게 위자료로 배상할 만한 정신적 손해가 실제로 발생했다고 보기 어렵고, 달리 이를 인정할 증거가 없다"고 판결했다.