대법, '병원-약국 전자처방전 중계 서비스' SK텔레콤 무죄 확정

2010년 SK텔레콤이 서비스를 시작했다가 개인정보 유출 논란으로 사업을 접었던 전자처방전 서비스가 개인정보 보호법이나 의료법에 위반되지 않는다는 대법원 판단이 나왔다.

 

9일 법조계에 따르면 대법원 2부(주심 이동원 대법관)는 개인정보 보호법 위반 및 의료법 위반 혐의로 기소된 SK텔레콤 법인과 담당 임직원에게 무죄나 공소기각을 선고한 원심판결을 확정했다.

 

                                                                           서울 서초동 대볍원

재판부는 "원심의 판단에 논리와 경험의 법칙을 위반해 자유심증주의의 한계를 벗어나거나 개인정보 보호법 위반죄, 의료법위반죄, 개인정보 보호법 위반방조죄의 성립, 공소사실 특정 등에 관한 법리를 오해한 잘못이 없다"고 검사의 상고를 기각한 이유를 밝혔다.

SK텔레콤은 2010년 12월 병원에서 의사들이 입력한 처방전을 전자화해 원하는 약국으로 전송해주는 '스마트헬스 전자처방전 서비스' 사업을 시작했다.

 

병원에서 발급한 종이 처방전 하단에 바코드가 출력되고, 환자한테 처방전을 받은 약국이 바코드를 입력하면 자동으로 의사의 처방 정보가 약국 전산망에 입력되는 구조였다.

 

SK텔레콤은 병원의 처방 정보를 암호화된 형태로 서버에 보관하다가 약국이 바코드를 입력하면 그대로 전송하는 중계자 역할을 했다.

 

그런데 개인정보 보호법 시행 이후인 2014년 병원이 약국으로 전송한 처방전 정보를 SK텔레콤이 무단으로 회사 서버로 전송해 보관했다는 의혹과 함께 처방 정보의 유출 가능성이 제기되면서 같은 해 12월 검찰이 압수수색에 나서는 등 강제수사에 착수했고, 결국 SK텔레콤은 2015년 3월 서비스를 중단했다.

 

그리고 2015년 7월 검찰은 SK텔레콤과 당시 헬스케어사업 본부장 A씨 등을 개인정보 보호법 위반 및 의료법 위반 혐의로 재판에 넘겼다. SK텔레콤이 민감한 정보인 환자들의 처방 정보를 불법으로 수집·저장하고, 환자들의 동의 없이 약국에 유출했다는 이유였다.

 

하지만 1심 법원은 SK텔레콤이나 A씨 등의 행위가 개인정보 보호법 위반이나 의료법 위반에 해당하지 않는다고 판단, 무죄를 선고했다. 정보주체(환자)가 누구인지 불명확한 공소사실에 대해서는 공소를 기각했다.

 

먼저 재판부는 공소기각 부분에 대해 대법원 판례를 인용해 "형사소송법 제254조 4항이 '공소사실의 기재는 범죄의 시일, 장소와 방법을 명시하여 사실을 특정할 수 있도록 기재하여야 한다'라고 규정한 취지는 심판의 대상을 한정함으로써 심판의 능률과 신속을 꾀함과 동시에 방어의 범위를 특정해 피고인의 방어권 행사를 쉽게 해 주기 위한 것이다"라며 "따라서 비록 공소범죄의 성격에 비춰 범죄의 일시?장소 등에 관한 개괄적인 표시가 부득이한 경우가 있다 하더라도, 검사는 가능한 한 기소나 공소장변경 당시의 증거에 의해 이를 특정해야 하고, 이에 이르지 않음으로써 사실상 피고인의 방어권 행사에 지장을 가져오는 경우에는 형사소송법 제254조 4항에서 정하고 있는 구체적인 범죄사실의 기재가 있는 공소장이라 할 수 없다"고 전제했다.

 

이어 이번 사건에 대해 "숫자로만 정보가 기재된 이 부분 각 공소사실에는 검사가 각 공소사실별 피고인들이 저질렀다고 주장하는 개인정보 보호법 위반 범행의 시기와 종기, 피고인들이 법령의 근거나 환자들의 동의 없이 수집·저장·보유했거나 제공했다고 지목된 개인정보의 종류와 건수만이 기재돼 있을 뿐, 정보주체가 누구인지 또는 피고인들이 법령의 근거나 환자들의 동의 없이 수집·저장·보유했거나 제공한 개인정보의 구체적인 내용이 무엇인지 제대로 나타나 있지 않고, 따라서 피고인들의 입장에서 정보주체가 실제로 존재하는 인물인지 여부, 개인정보 등의 내용이 정보주체의 것이 맞는지 여부 등을 다른 정보와 결합하는 등의 방법으로도 확인할 방법이 전혀 없어 공소사실이 특정됐다고 보기 어렵다"고 공소를 기각한 이유를 밝혔다.

 

재판부는 나머지 환자들의 정보와 관련된 SK텔레콤 법인과 A씨 등의 혐의에 대해서도 "피고인은 처방정보를 암호화된 상태로 일시 보관하다가 그대로 약국에 전송했으므로 내용을 지득하지 못했고, 처방정보를 약국에 전달하는 이외에 다른 용도로 사용할 목적이 있었다고 보기 어렵다. 서버 저장 역시 처방정보를 전달하기 위한 방편에 지났지 않는다"며 "암호화된 상태의 처방정보가 민감정보에 해당한다고 보기 어렵다"고 밝혔다.

 

또 재판부는 "피고인이 전송한 처방정보는 이미 환자가 약국에 제시한 종이처방전에 기재된 것과 동일한 내용"이라며 "약국에서 이미 보유하고 있는 종이처방전의 내용과 동일한 처방정보를 단지 전자적 방식으로 약국에 전송한 행위를 전자처방전에 담긴 개인정보를 누출한 것이라고 단정할 수 없다"고 판단했다.

 

재판부는 무죄 판단의 근거로 ▲SK텔레콤은 병원이 약국에 처방전을 전송하는 것을 단순 중계하는 역할만 했으므로, SK텔레콤이 민감정보를 병원으로부터 수집·저장·보유하거나 약국에 제공해 처리했다고 보기 어려운 점 ▲병원의 처방전은 암호화된 채로 SK텔레콤 중계서버로 전송되고, 환자는 병원으로부터 교부받은 종이처방전을 자신이 조제받기를 원하는 약국에 제출하고, 해당 약국에서 약국 제출용 종이처방전 하단에 기재된 'SK텔레콤 전자처방전 발행번호'를 입력할 때 비로소 암호화된 전자처방전 정보가 해당 약국으로 전송되면서 복호화(부호화된 데이터를 사람이 읽을 수 있는 형태로 바꾸는 것)되므로, SK텔레콤이 보유한 정보가 '민감정보'인 처방정보에 해당하지 않는 점 ▲SK텔레콤은 전송받은 암호화된 정보를 그대로 약국에 전송했을 뿐 그 내용을 탐지, 지득했다고 인정하기 어렵고, 전자적 방법으로 전송한 것을 전자처방전에 담긴 개인정보를 누출한 것이라고 보기도 어려운 점 등을 들었다.

 

한편 재판부는 함께 기소된 전자차트 프로그램 업체 대표들의 개인정보보호법 위반 방조 혐의에 대해서도 ▲의사들의 동의를 받지 않은 채 임의로 프로그램을 설치했다고 보기 어려운 점 ▲개인정보보호법 위반 방조죄가 성립하려면 이들이 개인정보를 제3자에게 '제공'했어야 하는데, 이들은 개인정보 처리를 '위탁'했을 뿐 '제공'했다고 볼 수 없는 점 등을 근거로 무죄로 판단했다.

 

검사는 항소했지만 2심 법원의 판단도 같았다.

 

재판부는 병원이 약국에 처방전을 전송하는 과정을 SK텔레콤이 단순히 중계한 것에 불과하므로 민감정보를 수집·저장·보유하거나 약국에 제공해 개인정보보호법상 '처리' 행위를 한 것으로 볼 수 없다고 판단했다.

 

아울러 암호화된 처방전을 민감정보로 볼 수 없으며 SK텔레콤이 이를 그대로 전송한 것을 의료법상 개인정보의 '탐지'나 '누출'로 평가하기 어렵다는 이유도 들었다.

 

검사는 다시 상고했지만 대법원 역시 이 같은 2심 법원의 판단에 문제가 없다고 봤다.(9일 아시아경제)