서울중앙지방법원은 11일 오후 2시 "원고 전부 패소" 판결을 내리며 청구를 모두 기각했다. 소송 비용은 원고가 전부 부담하게 됐다.
재판부는 2014년 6월 이후로 수집된 환자 개인정보는 이전과는 다른 암호화방식이 적용돼 재식별이 어려우며, IMS헬스코리아 글로벌 센터에 전송됐던 환자들의 개인정보가 완전히 삭제돼 불법행위 입증이 어려운 점, 실제 손해발생 역시 입증이 어렵다는 점을 선고의 이유로 들었다.
재판부는 약정원과 IMS헬스코리아에 대해 "동의 없이 환자 개인정보를 수집한 점에 대해서만 법을 위반했다"고 판단했다. 쟁점이 됐던 개인정보 유출 여부는 암호화 방식이 바뀐 2014년 6월을 기점이 됐다.
재판부는 "2011년 1월 말부터 2014년 6월까지 적용된 암호화 알고리즘은 쉽게 복구할 수 있어 식별 우려가 컸다. 때문에 약정원이 IMS헬스코리아에 재식별화 가능성이 현저히 큰 정보를 환자 동의 없이 제공했다는 점에 대해 개인정보보호법을 위반했다"고 했다.
다만 그 이후에는 보다 안전하고 효과적인 암호화 기술로 비식별화 조치를 한층 강화했기에, 약정원이 2014년 6월부터 IMS헬스코리아에 제공한 환자 정보는 개인정보보호법 위반이 아니라고 판단했다.
재판부는 "이전의 양방형 암호화보다 안전하고 효과적인 일방향 암호화를 사용해 IMS헬스코리아의 재식별화를 원천적으로 불가능하게 했다. 적절한 수준의 비식별 조치를 했다"며 "이에 따라 약정원이 IMS헬스코리아에 제공한 환자 정보는 통계 작성을 위한 용도이지, 개인정보보호법을 위반하는 것이 아니다"고 했다.
또 다른 쟁점 중 하나였던 실제 손해발생 여부에 대해서도 "그럴 가능성이 없다"고 했다.
재판부는 "개인정보 유출에 따른 실제 손해가 발생해야 하는데, 약정원과 IMS헬스코리아에 제공된 것 외에는 환자 정보의 유출이나 활용은 없었다. 제3자가 열람했는지 여부도 발견되지 않았으며 그럴 가능성이 있다고 보기 어렵다"고 했다.
이어 "IMS헬스코리아의 글로벌 센터에 저장된 원고 정보는 모두 삭제된 것으로 확인됐다. 또한 이 사건의 소송이 제기된 이후 검찰에 의한 정보유출 사실조회 결과 등에 미뤄볼 때 실제 손해 입증이 부족한 것으로 보인다"고 했다.
이번 사건에는 손해 발생이나 손해액 입증을 완화하기 위해 개인정보보호법에 정한 300만원 법정 손해배상 조항도 적용되지 않는다고 했다. 재판부는 "해당 사항은 2014년 4월 이후 개인정보에 대해서만 적용되므로 이번 사건에는 해당하지 않는다"며 "원고 청구 기각 및 패소"를 선고했다.
"PM2000 환자정보 유출, 재발방지 대책 내놔라"