개인정보 유출 혐의로 형사재판 중인 약학정보원과 IMS, 지누스 등에 검찰 측이 명백한 ‘개인정보법 위반’에 해당한다고 주장했다.

검찰 측은 환자의 성명, 병원명, 조제정보, 약국코드, 약품코드 등의 민감정보를 환자의 동의 없이 수집, 저장했다는 내용을 골자로 피고인 측을 압박했다.

서울중앙지방법원 제22형사부는 4월 22일 오전 10시 법원 서관 523호 법정에서 김대업 대한약사회장, 양덕숙 전 약학정보원장, IMS 관계자, 지누스 등 피고인들이 참여한 가운데 프리젠테이션을 진행했다. 

이날 검찰은 그동안 피고인 측이 주장했던 “암호화된 상태의 특정화된 정보는 민감정보에 해당하지 않는다”는 주장에 “치환 규칙 등으로 개인정보를 암호화 했더라도 개인정보에 해당한다”며 선을 그었다.

특히 지누스의 경우 심사 청구자료 심사 프로그램 등에서 성명, 주민번호, 의료보험증 번호 등 민감정보를 수집했다고 지적, 특정개인을 구별할 수 있는 정보라는 점에서 개인정보에 해당된다는 지적이다.

실제 검찰 측에 따르면 법원은 휴대전화번호와 유심번호, 이메일 등을 누구의 것인지 식별이 어렵지만 이를 ‘개인정보’라고 판시하고 있다.

또한 검찰은 병원으로부터 위탁 관계에 대해 “의사 및 병원은 환자 정보가 지누스에 제공되는 것을 몰랐고, 이를 허락하지 않았다고 진술했다”고 밝히며 위탁이 불가하다고 주장했다.

검찰은 “병원 원장은 동의한 사실이 없다고 주장했으며, 프로그램을 제공받은 것뿐 위탁으로 보기 어렵다. 프로그램에 동의한 것이지 민감정보를 외부에 공유하는데 동의한 것으로 보기 어렵다”고 주장했다.

이어 “e-IRS 파일 설치 시 개인정보 위탁 확약서가 뜨지만 개인정보 위탁 확약서에는 어떤 내용을 지누스에 위탁하는지 기재되어 있지 않다. 의사들도 화약서를 본적 없다고 진술하도 있다”며 “심지어 확약서를 체크하지 않아도 e-IRS 프로그램을 사용하는데 아무런 문제가 없었다. 개인정보의 처리업무를 위탁한 것은 아니며, 프로그램을 판매했다고 개인정보의 처리업무를 위탁받았다고 보기 어렵다”고 부연했다.

약정원 PM2000 사용과 관련해서는 약사들이 개인정보에 대한 제공에 동의하지 않았다고 주장했다. 검찰에 따르면 한 약국의 경우 조제정보 전달을 알지 못했고 공문을 받은 적 조차 없다. 

끝으로 검찰은 “개인정보는 개개인별로 알리자는 것이 아니다. 합리적으로 결합하면 개인정보에 인정된다”며 “또한 개인정보를 암호화 하겠다고 하더라도 개인정보에 해당한다. 치환규칙 및 대응값 공유로 암호화의 의미가 없어졌다”고 주장했다.

한편 오후에는 IMS헬스코리아, 지누스, 약학정보원 순으로 프레젠테이션이 이어질 예정이다.