사건의 경과
1. 형사사건
- 1심 : 서울중앙지방법원 2020. 2. 14. 선고 2015고합752, 2015고합665 판결
- 2심 : 서울고등법원 2021. 12. 23. 선고 2020노628 판결
- 3심 : 대법원 2024. 7. 11. 선고 2022도415 판결
2. 민사사건
- 1심 : 서울중앙지방법원 2017. 9. 11. 선고 2014가합508066, 2014가합538302 판결
- 2심 : 서울고등법원 2019. 5. 3. 선고 2017나2074963, 2017나2074970 판결
- 3심 : 대법원 2024. 7. 11. 선고 2019다242045, 2019다242052 판결 (해당 판례)
사실관계
약학정보원은 처방전의 약제비 등을 자동 계산하여 건강보험공단에 청구할 수 있도록 하는 PM2000이라는 프로그램을 개발하여 2000년경부터 약국들에 무상으로 제공하고 있었다. 이후 2009. 7.경 약학정보원은 한국아이엠에스헬스로부터 약학정보원 산하 회원 약국에 보관된 처방전 정보 등을 제공하여 달라는 제의를 받고 2011. 1. 28.경 회원 약국들이 사용하는 프로그램인 PM2000 업데이트 파일을 제공하였다. 이를 설치한 약국으로부터 약국의 조제정보가 약학정보원의 서버로 자동전송되도록 하고, 이러한 방식으로 수집된 조제정보를 한국아이엠에스헬스에 제공하였다. 2011. 1.부터 2014. 3.까지는 주민등록번호를 치환하는 양방향 암호화 방식의 알고리즘을 개발하여 이를 적용한 방식으로 보안조치를 실시하였고(1기 암호화), 2014. 6.경부터 2014. 10.경까지는 주민등록번호에 대하여 일방향 암호화를 실시하는 방식으로 보안조치를 실시하였으며(2기 암호화), 2014. 10. 이후에는 주민등록번호 대신 성명과 생년월일을 일방향 암호화하는 방식으로 보안조치를 실시한 후 해당 정보를 내려받아 제공하였다.
약학정보원은 개인정보보호법위반과 정보통신망법위반으로 기소(대법원 2024. 7. 11. 선고 2022도415 판결)되었는데 상세한 이유는 다음과 같다.
개인정보보호법위반
법령의 근거 또는 환자들의 동의 없이 다수의 약국에 설치된 PM2000 프로그램을 통하여 민감정보인 환자들의 조제정보를 약학정보원 서버로 무단 전송받아 민감정보를 처리하고, 환자들의 동의나 법령의 근거 없이 한국아이엠에스헬스가 관련 프로그램을 통하여 언제든지 다운로드할 수 있게 공유하는 방법으로 제공함으로써 민감정보인 환자정보를 불법으로 처리
정보통신망법위반
처방전 정보가 약학정보원으로 자동전송되는 프로그램이 내장되어 있는 사실을 숨긴채 PM2000 프로그램이 설치되게 하여 정보통신망을 속이는 행위로 다른 사람의 정보를 수집. 또한, 환자(일부는 의사)의 개인정보가 개인정보보호법에 위반하여 약학정보원에 의하여 수집되고 한국아이엠에스헬스에 제공
이에 따라 환자(일부는 의사)인 원고들은 위자료 배상을 주장하는 손해배상 청구의 소를 제기하였다.
주요 쟁점
크게 두 가지가 쟁점이 되었다.
첫 번째는, 약학정보원이 환자의 동의 없이 약국에 설치된 PM2000 프로그램을 통하여 민감정보를 불법 수집·저장·보유하고, 한국아이엠에스헬스에 무단 제공하는 방법으로 민감정보를 불법 처리하였는지, 법령의 근거나 환자의 동의 없이 고유식별정보인 주민등록번호를 불법으로 수집하였는지이다. 대법원은 피고인들에게 특정 개인을 식별할 수 있는 조제정보를 수집·저장·보유 및 제공한다는 점에 대한 인식과 이를 용인하는 내심의 의사가 있었다는 점이 증명되었다고 보기 어렵다고 판단했다.
두 번째는, 약학정보원이 정보주체인 원고들의 동의 없이 고유식별정보인 주민등록번호와 민감정보인 질병정보를 포함하여 정보를 수집·제공한 행위가 개인정보보호법을 위반한 것으로서 약학정보원이 불법행위책임을 지는지 여부이다. 이에 대해서 대법원은 약학정보원이 개인정보보호법에 위반하여 개인정보를 수집, 제공한 사실은 인정되지만, 이 정보가 수집되고 제공되었다는 사정만으로는 원고들에게 위자료로 배상할 만한 정신적 손해가 실제로 발생하였다고 보기 어렵다고 판단했다.
재판 과정에서는 ① 개인정보 보호법 시행(2011. 9. 30.) 이전에 환자의 민감정보를 수집한 행위가 형사처벌 대상인지, ② 약학정보원이 개인정보 처리자인지 아니면 단순한 수탁자인지, ③ 제1기, 제2기, 제3기 암호화된 정보가 각 개인정보 보호법상 개인정보인지, ④ 약학정보원에게 개인정보 보호법 위반의 고의가 있었는지가 핵심 쟁점으로 다투어졌다.
판례 해설
가. 약학정보원의 위법한 개인정보 처리행위에 피고인들의 고의가 있었는지
관련 형사 사건에서는 약학정보원의 환자정보 처리행위가 법에 위반되는 것인지, 그러한 위반행위에 대하여 피고인에게 형사책임을 지울만한 고의 여부가 주로 쟁점이 되었다.
형사 사건 담당 1, 2심은 모두 개인정보보호법위반의 고의가 없다고 판시하였는데 그 근거는 다음과 같다.
① 개인정보는 해당 정보를 처리하는 자의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려하여 특정 개인을 식별할 수 있는 정보지만 개인정보가 비식별화 조치 또는 암호화 조치가 된 경우 그와 같은 정보를 처리하는 자에게 개인정보 처리에 관한 고의가 있었다고 보려면 비식별화 또는 암호화된 개인정보를 식별화 또는 복호화하여 처리할 수 있다는 인식과 함께 그와 같은 정보를 식별가능한 형태의 정보로 치환하여 처리하는 것까지 용인하는 의사까지 인정되어야 한다는 점
② 약학정보원은 한국아이엠에스헬스와의 계약에 따라 암호화된 형태의 주민등록번호를 제공할 의무가 있었고 그에 따라 암호화를 한 점
③ 약학정보원의 임직원들이 암호화 규칙을 알고 있다는 사실만으로 곧바로 개인정보보호법에서 정한 개인정보에 해당할 수 있고 그러한 개인정보 처리가 법위반에 해당한다는 점을 예견하기는 어려웠던 점
④ 개인정보보호법이 시행된 이후에도 당분간 불완전한 1기 암호화방식을 시행하였으나 보다 완전한 형태의 암호화 방식으로 개선하지 아니한 과실이 있다고 볼 수 있을지라도 식별가능한 개인정보를 수집한다는 고의가 발생하였다고는 볼 수 없는 점 등
위 사안에서 법원은 법위반의 객관적 행위가 인정되는 경우에 고의가 추단되는 경우도 있지만, 본 건의 경우에는 비식별화 조치를 한 사실이 인정되고, 비식별화가 제대로 이루어진 경우 해당 정보의 개인정보성이 소거되는 것이므로 대상정보가 개인정보보호법상의 개인정보에 해당함을 전제로 한 법위반의 고의는 인정되지 않았다고 보았다. 또한 2011년에 개인정보보호법이 제정되고 시행었는데, 대상이 되는 민감정보 등의 수집·이용 행위는 그 이전부터 지속적으로 이루어져 오던 것이어서 제정법에 따른 위반에 대하여 충분히 예견하기 어려웠다는 점도 고려되었다.
나. 개인정보보호법위반사실이 인정될 경우 곧바로 불법행위로 인한 위자료 배상 책임이 인정되는지
비식별조치의 적정성에 대한 판단
민사사건에서는 1기 및 2, 3기의 암호화방식이 법에서 정한 비식별화 조치에 해당하는지가 세부 쟁점 중 하나였다. 민사 1심 법원은 1기 암호화 방식은 암호화 규칙이 단속하여 복호화가 용이하게 이루어질 수 있었고 수사기관에서도 1기 암호화 방식의 주민등록번호를 쉽게 복호화한 점 등을 들어 적절한 비식별화 조치가 이루어졌다고 보기 어려워 여전히 개인정보에 해당한다고 판단하였다. 반면 2기 암호화방식은 일방향 암호화를 사용하여 난수를 생성하는 등 기술적 수준이 높아 한국아이엠에스헬스가 자체적으로 복호화하는 것이 불가능한 점, 한국아이엠에스헬스가 매칭 테이블을 제공받았다고 하더라도 이를 재식별화할 경제적 유인이 없었고 실제로 복호화를 시도하지도 않은 점 등을 고려하여 적절한 비식별 조치가 이루어진 것으로 평가하여 개인정보에 해당하지 않는다고 판단하였다.
민사 2심 법원은, 2, 3기 암호화 방식도 일방향 암호화를 적용하여 이론상 더욱 안전하고 효과적인 비식별 기술에는 해당하나, 1기 암호화 방식의 주민등록번호를 기재한 매칭 테이블을 결합하면 주민등록번호가 복호화가 가능하고 실제로 이를 통하여 기존 데이터를 새로운 환자ID로 변환하는 작업을 수행하는 등 매칭 테이블을 보유하고 있는 이상 해당 처방전 정보에 취한 보안조치가 얼마나 높은 수준이었는지는 개인정보성(식별 가능성의 존재)의 규범적 판단에 있어서 의미가 없다는 점, 실제로 복호화가 이루어진 바 없고 복호화의 경제적 유인이 없었다고 하더라도 식별 가능성을 판단함에 있어서 정보 수령자의 주관적 의도나 동기, 이익, 활용방법까지 고려하여야 한다고 볼 수는 없다고 판시하였다. 그러면서도 1심과 유사하게 위 판시 사항들을 고려하여 고의가 입증되었다고 보기 어렵다고 판단하였다. 대법원은 이에 대하여 추가적인 판단을 하지 않았고, 2심의 판단이 그대로 확정되었다.
개인정보의 비식별조치의 적정성을 판단함에 있어서 복호화를 하고자 하는 이의 상황을 어느 정도까지 고려하여야 하는지에 대해서 민사 1, 2심 법원의 판단은 일부 상이한 점이 있다. 2심 법원은 정보 수령자의 복호화에 대한 주관적 의도, 동기, 이익, 활용 방법까지 고려할 필요 없다고 판단하였는데, 1심 법원의 이 부분 판시 취지는 정보 수령자의 주관적 의도 등을 고려한 것이라기보다는 정보 수령자에 의하여 취하여진 관리적 조치를 통하여 비식별화의 가능성이 차단되었고 이러한 사정이 관련 당사자들의 고의 여부를 판단하는데 고려요소가 되었다는 정도로 선해할 수 있다. 과거 비식별화된 정보에 대한 개인정보보호법 적용 여부에 대하여 이렇다 할 기준이 없었지만, 2020년 개인정보보호법이 개정되면서 법 제58조의2가 신설되어 비식별화의 기준을 ‘시간, 비용, 기술 등을 합리적으로 고려’하여 정한다고 규정할 수 있게 되었다. 하지만 기술적인 조치뿐만 아니라 관리적 조치를 통하여도 비식별화 조치가 되었다고 볼 수 있는지에 대한 논란은 여전히 남아 있었다. 대표적으로 ‘매칭테이블이 존재하는 경우에도 내부의 관리적 조치를 통하여 개인정보 이용을 충분히 통제될 수 있다면 비식별화 조치가 충분히 이루어진 것으로 볼 수 있는가’를 들 수 있다. 민사 1심 법원은 이러한 쟁점에 대하여 다소 확장하여 해석한 반면, 2심은 관리적 조치를 통한 비식별화 가능성에 대하여 다소 부정적으로 해석하였다고 볼 수 있다.
개인정보보호법위반이 인정된 경우 곧바로 정보주체에 대한 손해배상책임 의무가 발생하는지
개인정보 관련 법령 위반이 인정되었다고 하여 법을 위반하여 처리된 개인정보의 정보주체에게 손해배상채권이 언제나 인정되는 것은 아니다. 또한 개인정보보호법위반의 경우에도 위반사실이 발생하였다고 하여 곧바로 해당 개인정보처리자에게 정보주체에 대한 손해배상책임이 발생하지 않는다.
개인정보보호법은 2011년 제정된 이래로 손해배상책임과 관련하여 고의, 과실의 입증 책임 전환을 명시하고 있다. 즉, 법 제39조 제1항에서 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있고, 이 경우 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다고 규정하고 있다.
법 제39조의 취지는 법위반으로 인한 손해배상책임을 인정하는 데에 있어서 ‘주관적 요건에 대한 입증책임의 전환’을 규정한 것으로, 법위반과 손해의 발생 사이의 인과관계까지 입증책임을 전환한 것은 아니다. 즉, 개인정보처리자의 법위반사실이 입증되었다고 하더라도, 정보주체는 손해가 발생한 사실과 손해와 법위반 사이의 인과관계를 입증하여야 한다.
이러한 법리는 개인정보의 유출사고와 관련하여 이미 여러 차례 법원의 판시가 이루어진바 있다(대법원 2012. 12. 26. 선고 2011다59834, 2011다59858, 2011다59841 판결 등). 이 사건 민사 1심 법원은 개인정보가 정보주체의 의사에 반하여 수집, 제공됨으로써 발생하는 정신적 고통은 종국적으로는 해당 개인정보가 원치 않게 제3자에게 열람되거나 열람될지 모른다는 염려에서 발생하는 것임을 고려할 때 개인정보 유출사고의 경우와 동일한 법리가 적용될 수 있다는 전제하에, 다음과 같이 판시하였다. “다른 추가적인 범행에 활용되지 아니한 점, 통계자료 생산 이외의 다른 목적으로 이용된 것은 아닌 점, 제3자의 입장에서는 주민등록번호 등 암호화로 특정 개인을 식별할 것이 불가능하였을 것으로 보이고, 제3자가 쉽게 접근하기도 불가능하였던 것으로 보이는 점 등을 고려할 때 원고들에게 위자료로 배상할 만한 정신적 손해가 실제로 발생하였다고 보기 어렵다.” 한편, 민사 2심 법원 역시 “이 사건 정보의 유출 범위가 한정적인 점, 목적이 통계자료 생산으로 한정된 점, 암호화 등으로 인하여 제3자는 식별 불가능한 것으로 보이는 점, 그 외 2차 피해나 다른 열람 가능성 등이 없는 점 등 1심과 유사한 이유를 들어 실제 손해가 발생하였다고 보기 어렵다”고 판시하였다.
당시 기사
발행날짜 : 2013-12-12
https://www.medicaltimes.com/Main/News/NewsView.html?ID=1087227
[메디칼타임즈] 약학정보원 환자정보 유출 혐의, 검찰 압수수색
2010년 의료계를 시끄럽게 했던 전자차트 업체의 환자정보 불법 수집, 유출 논란이 약계 쪽에도 거세질 전망이다. 11일 서울중앙지검 형사2부는 환자의 개인정보를 불법으로 수집하고 유출한 혐
www.medicaltimes.com
발행날짜 : 2024-09-23
https://journal.kiso.or.kr/?p=12899
‘약학정보원 사건’ 무죄 판결의 함의 | KISO저널
1. 들어가며 2013년 12월 11일, 검찰은 대한약사회 산하 재단법인 ‘약학정보원’을 개인정보 보호법 등 위반 혐의로 전격 압수수색하였다. 약학정보원이 개인의 의료정보(정확하게는 ‘약국에서
journal.kiso.or.kr
출처 웹사이트
https://www.lawwave.kr/learn/415?tags=gaeinjeongbobohobeobwiban
비식별화 조치와 형사 책임, 그리고 개인정보법위반과 손해배상의 관계는? | 로웨이브 Lawwave
공부하는 변호사를 위한 온라인 법률 미디어
www.lawwave.kr
'개인정보보호 > 기타 추가 공부' 카테고리의 다른 글
| 무죄는 맞지만, 운이 좋았다 — 대법원 2023도17590 판결을 보며 (0) | 2026.05.14 |
|---|---|
| [Theori] 코드가 정상이라면, 정말 안전할까? | 비즈니스 로직 취약점이란 (0) | 2026.05.10 |
| [개보법 판례 조사] 조합장의 농업협동조합법 위반 행위를 고발하기 위하여 개인정보가 포함된 자료들을 수사기관에 제출한 사건[대법원 2025. 7. 18. 선고 중요판결] (0) | 2026.05.03 |
| [개보법 판례 조사] 위메프 개인정보 유출 과징금 소송(행정소송 3심 확정) (0) | 2026.05.03 |
| [개보법 판례 조사] 카카오 오픈채팅 개인정보 유출 (0) | 2026.05.03 |