대한의사협회가 이르면 이달 초 약학정보원을 상대로 개인정보유출 집단 손해배상 소송에 들어간다.

의협 의료정보보호특별위원회(이하 의특위)는 의사를 중심으로 1차 소송인 2000여명 모집을 마쳤다. 손해 배상액 규모는 의사 1인당 300만원, 국민 1인당 200만원으로 약 60억원 규모다.

최근 카드 3사 개인정보유출로 총 1700억원 규모의 집단소송이 예고된 가운데, 의특위 1차 소장이 접수되면 향후 국민을 대상으로 진행되는 2차 소송인 모집이 급물살을 탈 것으로 보인다.

하지만 의특위 소송의 경우 약정원 검찰 수사결과가 나오지 않았다는 점과 손해배상 범위를 어떻게 입증하느냐 등 문제점이 남아 있는 상태다.

◆소송 쟁점①=검찰 수사 결과

지난해 12월 11일 검찰은 약정원이 2007년부터 2012년까지 불법으로 개인 의료정보를 수집해 IMS헬스코리아에 넘겼다는 정황을 포착하고 수사에 착수했다.

수사 핵심은 약정원이 수집한 개인 의료정보의 범위다.

일부 공중파 방송은 약정원이 환자와 의사의 이름과 주민번호, 질병 및 처방정보를 그대로 수집했다고 보도했다.

의사의 경우 자신의 병의원 인근 약국이 PM2000을 사용하는 경우 의사의 개인정보와 처방정보가 유출될 가능성을, 국민의 경우 개인정보와 질병정보가 유출됐을 가능성을 높게 보고 있다.

하지만 약정원 측은 환자 개인정보가 적혀 보도된 일부 영상은 약정원 보유 자료가 아니라 약국 자료라고 주장하면서 법적대응 까지 거론한 상태다.

약정원에 따르면 약정원은 2011년 9월30일 시행된 '개인정보보호법' 보다 약 1년 8개월 앞서 개인정보를 식별할 수 없도록 암호화 도입을 시행했다.

개인정보 보호를 위해 주민등록번호 등 최초 암호화 도입 후 2차례 암호화 방식을 강화해 개인정보 보호에 만전을 기하고 있다는 주장이다.

따라서 검찰 수사결과에 초점이 맞춰질 전망이다.

검찰 수사 결과 환자와 의사의 개인정보 유출혐의가 입증되면 의특위 소송 또한 무리없이 진행될 것으로 보인다.

검찰이 기소를 하면 책임자 처벌과 재단법인인 약정원 책임이 불가피할 수 있기 때문이다.

반면 수사 결과 혐의없음이 드러날 경우, 의특위 소송은 난관에 부딪히게 된다. 검찰 수사결과가 소송 과정에서 중요한 증거로 채택될 가능성이 높기 때문이다.

◆소송 쟁점②=개인정보유출로 인한 손해 입증

그동안 개인정보 유출로 인한 집단 소송은 종종 진행됐다. 손해배상액은 10만원부터 100만원까지 다양했다.

네이트 개인정보유출의 경우 2011년 2882명에게 20만원씩 지급하라는 판결이 확정됐다.

당시 법원은 "담당 직원이 로그아웃하지 않고 새벽까지 컴퓨터를 켜둬 해커가 쉽게 서버에 접근할 수 있도록 하는 등 개인정보 보호 업무를 수행하는데 잘못이 있다"는 점을 강조했다.

특히 그동안 이뤄진 개인정보 유출 소송은 대부분 해킹에 의해 이뤄진 개인정보유출로서, 피고 측이 과실없음을 입증하지 못한 경우가 많았다.

약정원 개인정보 유출건은 시작부터 다르다.

검찰수사 결과 개인정보유출 혐의가 입증되면, 해킹 등을 방지하지 못한 정보보호조치 미흡이 아니라 약정원이 돈을 받고 고의로 정보를 유출했다는 것으로 이어지게 된다.

하지만 소송 과정에서 개인정보가 유출된 소송인들의 직접적 손해 범위를 입증하는 것도 걸림돌 중 하나다.

그동안 개인정보 유출 사건에서 피해자들은 정보 유출에 따른 정신적, 시간적인 피해를 법적으로 입증하기 어려워 소송을 제기하더라도 대부분 패소하는 경우가 많았던 것이 법안 발의 이유이기도 하다.

의특위 소송의 경우 신용정보가 아닌, 의료(건강)정보로 '민감정보'에 해당하지만, 법안이 마련되지 않은 가운데 정신적, 시간적 피해보상을 얻어낼 수 있을지 미지수다.

의특위는 약정원이 PM2000을 이용해 환자(개인식별정보, 질병정보)와 의사(개인식별정보, 처방정보) 등 의료정보를 불법 취득해 IMS헬스코리아에 판매했다고 보고 있다.

이 과정에서 1차 소송에 참여한 의사들은 처방권자 입장에서 PM2000 사용약국에 이름, 병의원명 등 개인식별정보를, 진료를 받는 환자 입장에서 개인식별정보와 투약 및 질병정보가 유출됐다는게 의특위 주장이다.

의특위는 "불법적 정보취득과 유출에 따른 정신적 손해로 위자료를 청구할 것"이라며 "이번 사건은 정보 보호조치 미흡에 따른 관리감독 과실이 아니라, 고의로 유출해 대가를 받고 거래한 것이기 때문에 의미가 있다"고 강조했다.