검색
발언대

[발언대] 대형병원 민감정보 유출사건을 통해 본 개인정보 피해자의 권리구제

177619.jpg

작년 12월 경찰청 중대범죄 수사과는 환자들의 민감정보인 처방기록 20만명분을 유출한 혐의(개인정보보호법 위반)로 대형병원 관계자 27명과 제약사 영업사원 등 23명을 서울중앙지검에 송치했다. 현재, 이 사건은 서울중앙지방검찰청에서 수사 계속 중에 있는 것으로 보인다.

 

피의자들이 유출한 정보에는 성명, 성별, 연령, 생년월일, 전화번호, 병원 등록번호 등의 일반 개인정보 외에도 개인의 신체정보(키·체중 등) 및 진료정보(진료과, 병실 등), 처방정보(처방 약품명, 용법 등) 등의 민감정보가 포함되어 있는 것으로 전해졌다. 특히 환자 개인의 중증질환명, 정신병원 수용사실 등 개인의 내밀한 영역의 개인정보까지 유출되었던 사실이 수사기관을 통해 확인되었다.

 
무엇보다, 경찰 수사과정에서 놀라운 것은 제약사 영업직원들이 실적 증빙을 위해 처방내역을 대형병원에 요구하고, 병원 관계자들이 이에 응하는 것이 관행차원에서 이루어졌다는 점이다. 검찰 등 수사기관에서는 과거 관행적으로 이루어져 온 부분과 대형병원 및 해당 제약사에서도 이러한 관행을 적극적으로 장려하거나, 알면서도 묵인한 사정이 없는지 철저히 수사해야 할 것이다.

 
이 사건에서는 개인정보 유출의 피해자들이 개인정보 유출의 실행자들에 해당하는 대형병원의 직원들 및 제약사 영업사원들에게 손해배상을 청구하는 것 이외에도, 해당 대형병원 및 제약사에 대해서도 직접 손해배상책임을 물을 수 있을 것이다.

 

첫째, 대형병원은 개인정보처리자로서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 이행해야 할 의무가 있다(개인정보 보호법 제29조). 또한 그 의무의 세부적인 내용중에는 '2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치(동법 시행령 제30조 제1항 제2호)' 및 '4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치(동법 시행령 제30조 제1항 제2호)'를 해야 할 잭임을 부담한다. 이 사건에서는 특히, 개인정보 침해의 개별적인 통지가 병원들에서 사건을 인지한 것으로 보이는 2021년 10월 이후로부터 약 4개월이나 지난 시점인 2022년 2월 중순경부터 이루어졌는데, 이는 유출사고가 발생한 대형병원들이 유출된 정보를 특정하지 못해 개인정보 보호위원회와 일일이 유출피해자를 대조하여 특정하는 작업으로 인해 늦어졌다고 한다. 개인정보 처리자인 대형병원이 유출된 개인정보의 범위와 그 정보주체를 특정할 수 없었다는 점은 개인정보보호법에서 정한 침해사고에 대응하기 위한 접속기록등의 보관 등 조치를 제대로 이행하였는지를 의심하게 하는 정황이다. 또한, 대형병원에서 유출행위를 한 자들은 전공의와 간호사, 약무국 직원 등 병원의 다양한 직책을 가진 사람들이 다수 포함되어 있는 것으로 언론보도 결과 확인되는데, 개인정보에 대한 접근 통제 및 접근권한 등의 제한조치가 제대로 이루어진 것인지도 의심스러운 상황이다.

 
이와 같이, 대형병원들은 개인정보 보호법상의 안전조치의무를 소홀히 하였다는 것으로부터 자유로울 수 없을 것으로 보인다.

 
둘째, 유출사고의 책임이 있는 대형병원들과 제약사는 환자들의 개인정보를 유출한 직원들의 사용자로서, 민법상의 사용자책임을 지게될 수도 있을 것이다.

 
다만, 대법원에서는 "A 정유회사가 주유 관련 보너스카드 회원으로 가입한 고객들의 개인정보를 데이터베이스로 구축하여 관리하면서 이를 이용하여 고객서비스센터를 운영하는 A 정유회사로부터 고객서비스센터 운영업무 등을 위탁받아 수행하는 을 주식회사 관리팀 직원 병이, 정 등과 공모하여 무 등을 포함한 보너스카드 회원의 고객정보를 빼내어 DVD 등 저장매체에 저장된 상태로 전달 또는 복제한 후 개인정보유출사실을 언론을 통하여 보도함으로써 집단소송에 활용할 목적으로 고객정보가 저장된 저장매체를 언론관계자들에게 제공한 사안에서, 원고들에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기는 어렵다"고 판시한 사례가 있다(대법원 2012. 12. 26. 선고 2011다59834 판결). 즉, 실제 유출된 개인정보가 공범들 외 제3자에게 유출되어 유통되지 않았다면, 금전으로 위자할 만한 정신적 손해가 발생하지 않았다고 본 것이다.

 
이는 전산화되어 유통되는 개인정보의 경우 유출자체로 정신적 고통이 발생하게 된다는 점을 간과한 판결로 보인다. 즉, 전산화된 개인정보의 경우, 개인정보 처리자의 관리범위를 벗어나 유출된 순간부터 사실상 그 악용의 가능성이 생기고, 이로 인해 정보주체는 자신의 개인정보 유출로 인해 개인의 프라이버시가 침해되고 심각한 피해를 당하게 되어 극심한 정신적 고통을 입게된다는 점이 명확한데도 이와 같은 개인의 정신적 고통을 금전으로 위자할 만한 손해가 아니라고 하는 것은 지나치게 기업의 입장만 고려한 판결이 아닌가 싶다.

 

특히 이 사건에서 유출된 개인정보는 외부에 알려지기를 원하지 않는, 중증질환명이나, 정신병원 수용사실등의 개인의 내밀한 영역에 대한 정보로서, 그 유출 자체로 정보주체들은 자신의 내밀영역의 민감정보가 어디까지 유출되어 유포될 것인지를 알 수 없다는 점에서 극도의 불안감 등 정신적 고통을 느끼게 된다는 점은 명확하다.

 

셋째, 위와 같은 민법상의 손해배상책임 외에도, 개인정보 보호법상의 법정손해배상책임을 묻는 방법도 가능하다. 2015년 7월 14일 법률 제13423호로 일부 개정되어 같은 날 시행된 개인정보 보호법에서는 법정손해배상책임 규정을 신설하였다(개인정보 보호법 제39조의2). 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손(이하 '유출 등'이라 합니다)된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있도록 하고, 개인정보처리자는 자신의 고의 또는 과실이 없음을 입증하지 못하면 책임을 면할 수 없도록 한 것이다. 이를 통해 개인 정보 유출에 대한 고의 과실에 대한 입증책임이 개인정보처리자에게 있게 되고, 개인정보 유출 피해에 대한 손해액에 대한 별도의 입증책임도 면제하도록 하여 정보주체는 개인정보의 유출 등 사실만 입증하면, 손쉽게 개인정보 유출 피해에 대한 손해배상책임을 물을 수 있게 된 것이다.

 
과거 대형병원과 제약업체 사이에 관행적으로 환자 개인의 진료내역 등 민감정보 유출이 이루어져왔던 것은 개인정보 유출에 대한 사회 일반의 경각심이 부족한 탓도 있었겠지만, 그동안 이와 같은 개인정보 유출행위에 대해 이루어져 왔던 솜방망이 처벌이나 경미한 수준의 손해배상액수가 대형병원이나 제약사들의 불법적인 관행을 유지시킨 원인이 아닌가 싶다. 이번 기회에 부디, 이와 같은 불법적인 관행이 근절될 수 있도록 수사기관이 엄정하게 수사하고, 법원에서도 개인정보 유출피해에 대해 합당한 수준의 배상 및 국민 일반의 법감정에 부합하는 판결을 내려줄 것을 기대한다.

 

 

황준협 변호사(법무법인 덕수)

미국변호사

관련 법조인