SBS

여러분, 동의 하셨습니까?

아파서 병원에 갔습니다. 의사의 진찰을 받고 처방전을 받습니다. 처방전을 약국에 들고가 약사에게 약을 탑니다. 이 때 약사에게, 처방전에 담겨 있는 개인 의료정보를 약학정보원이라는 민간단체에 고스란히 전달해도 된다고 여러분은 직접 동의하셨습니까? 그리고 약학정보원이 여러분의 정보를 가공해서 IMS health Korea라는 다국적 기업에 돈을 받고 판매해도 된다고 허락하셨습니까? 아무도 허락하지 않았습니다. 여러분께 묻지도 않았습니다. 하지만 약학정보원이 개발한 프로그램을 약국의 컴퓨터에 깔기만 하면 자동으로 여러분의 개인의료정보가 약학정보원으로 빠져나가게 되어 있었습니다. 그리고 약학정보원은 국민의 개인의료정보를 차곡차곡 모아서 가공한 다음 다국적 정보 기업에게 돈을 받고 넘겨 왔습니다. 한 언론은 이를 약학정보원의 '수익사업'이라고 했습니다.

나도 모르게 빠져 나가고 있는 개인의료정보

지난 주 수요일(12월 11일)이었습니다. 서울중앙지검 형사2부 수사팀이 대한약사회회관 지하 1층에 위치한 약학정보원과 강남구 역삼동에 위치한 IMS health Korea라는 다국적 정보 기업을 전격 압수수색했습니다. 약학정보원은 지난 2000년 대한약사회, 한국제약협회 그리고 한국의약품도매협회의 3개 단체가 출연해서 만든 재단법인입니다. 그동안 의약품 정보를 수집하고 온라인을 이용한 의약품 정보 서비스를 제공 해왔습니다. 그리고 전국 49%의 약국에 PM 2000이라는 전산 시스템을 설치해줬습니다. 환자가 처방전을 약국에 가져가면 약사는 처방전 내용을 PM2000이라는 전산 시스템에 저장하고 이 정보는 조제료나 보험 청구액 산정을 위해 건강보험공단 심사평가원으로 보내집니다. 그런데 여기서 문제가 있었습니다. 이 PM2000 프로그램은 건강보험공단 심사평가원으로만 개인의료정보를 보내는 게 아니라 약학정보원의 컴퓨터에도 동시에 보내고 있었습니다. 검찰의 압수수색결과 방대한 분량이 나왔습니다. 담당 검사는 양이 너무 많아서 몇 건이나 되는지 파악하려면 제법 시간이 걸리겠다고 했는데 수사 첫날에 확인된 것만 해도 무려 300만 건이 넘었습니다.

여러분의 비밀스런 정보가 그대로 있었습니다

검찰이 압수한 서류에는 환자의 이름과 주민번호, 그리고 환자가 방문한 병원의 이름과 의사의 이름, 의사의 면허번호가 적혀 있었고, 또 약을 탄 약국의 이름과 약사의 이름이 적혀 있었습니다. 게다가 환자가 어떤 질병에 걸렸는지를 알려주는 질병명이 코드화되어 나와 있고, 환자가 이에 대해서 어떤 약을 처방받았는지도 코드화되어 적혀 있었습니다. 질병명의 코드는 모든 병명을 글자그대로 전산에 올릴 수가 없어서 알파벳과 숫자로 간편화 시킨 것을 말합니다. 의료인들은 금방 알수 있고 일반인들도 인터넷으로 검색하면 쉽게 어떤 질병인지 알 수 있습니다. 예를 들어, K520은 위장관 염증, G404은 간질, B200은 에이즈라는 병이라는 것을 인터넷으로 검색해보면 누구나 쉽게 알 수 있습니다. 그런데 이런 질병 코드과 여러분의 이름 옆에 그대로 적혀 있어서 어떤 질병에 걸렸는지 알 수 있게 됩니다. 간질, 에이즈 처럼 사회적 편견이 심한 질병의 경우에도 여과없이 적혀 있었습니다. 그런데 약학정보원은 보도자료를 통해 이게 불법이 아니라고 주장하고 있습니다. 보도자료에 적힌 문구 구는 이렇습니다.

"PM2000을 약국에 설치해 줄 때 사용자(약사)가 계약서에 따라 사용 계약을 하는 것은 프로그램 사용 시 발생한 정보에 대해 약학정보원이 수집, 이용하는 것에 동의하는 것으로 간주 돼 있었다"

이 문구의 뜻은 이렇습니다. 약사가 PM2000 프로그램을 사용하려면, 약학정보원이 환자의 정보를 수집하고 이용하는 것에 동의한다는 항목에 버튼을 눌러야만 프로그램이 운영되니까 약사의 동의를 얻은 합법적인 수집이라는 겁니다. 그렇지만 이상합니다.

왜, 내게 묻지 않았습니까?

나의 주민번호와 내가 어떤 병에 걸려서 어떤 약을 먹고 있는지에 관한 정보를 약학정보원이 수집, 이용하고 판매해도 되는 것을 약사의 동의를 받아서 결정합니까? 내가 처방전을 들고 찾아간 약국은 자동으로 내 정보에 대한 소유권을 갖게 된다는 게 법으로 있는 겁니까? 약학정보원의 이런 해명에 약사들도 많이 당혹해 했습니다. 많은 약사들이 약학정보원이 이런 일을 하고 있는지 몰랐다고 말했습니다. 약국의 약사들을 같은 범법자로 끌고들어 가는 것 같아 불쾌하다고까지 했습니다. 약사들도 그저 컴퓨터 프로그램을 설치할 때 무수히 나오는 각종 동의 문구를 꼼꼼히 읽어보지 못했을 뿐이니까요. 검찰과 보건당국은 약학정보원의 보도자료에 대해 황당해 하는 모습이었습니다. 그리고 약학정보원 스스로 범법자임을 인정하는 것이라고 말했습니다. 검찰은 의료법과 개인정보보호법에서 모두 개인의료정보의 주인은 그 개인으로 규정하고 있다고 설명했습니다. 개인의료정보의 주인이 의사와 약사가 아닌 건 분명하고 설령 그것이 보건당국이라고 해도 환자의 동의 없이 이를 수집해서 상업적으로 이용한다면 이건 명백한 불법이라고 판단하고 있습니다. 약학정보원은 민간단체이고 의료기관도 아닙니다. 그런데 약학정보원은 약사와 계약을 한 사항이니까 약국으로부터 유입되는 개인의료정보를 수집하는 건 합법이라고 여전히 주장하고 있습니다. 법률 검토를 하셨다는데, 정말 하셨는지요? 검찰, 보건당국 그리고 제가 자문을 구한 모든 법조인의 판단은 달랐습니다. 모두 명백한 불법이라고 판단하고 있습니다.

내 질병정보는 어디까지 흘러갔을까?

이 정보를 약학정보원이 수집한 것만도 불법이지만 이걸 판매하기까지 했습니다. 검찰 조사결과 약학정보원이 개인 의료 정보를 IMS health korea에 넘겨 주고 해마다 3억 원을 받기로 한 계약서가 확인됐습니다. IMH health Korea는 여러 제약사에 약과 관련된 정보를 주고 돈을 받는 데이터 전문 회사였습니다. 취재 결과 국내에서 활동하는 거의 모든 제약회사들, 다국적 제약회사와 국내 제약사들이 IMS health korea와 정보 거래를 하고 있었습니다. 즉 IMS health korea는 제약사에게 약품이 얼마나 팔리는지 경쟁업체 약은 얼마나 사용되고 있는지에 대한 정보를 제공하고 제약사는 그 대가로 돈을 지불하는 방식의 계약을 맺고 있었습니다. 이번 검찰 수사에서 약학정보원은 제약사에 돈을 받고 약물 정보를 제공하는 IMS health Korea에게 돈을 받고 의료정보를 준 것으로 확인 됐습니다. 이에 대해서 약학정보원은 역시 보도자료를 통해 이렇게 말했습니다.

"개인정보를 취급하는 기관으로서 의무와 책임을 다하기 위해 주민등록번호, 의사면허번호, 처방전발급기관에 정보를 식별할 수 없도록 암호화 도입, 시행했다."

IMS health Korea에 돈을 받고 판 정보에는 주민번호, 의사면번호 등은 암호화 하고 질병명과 약품명만 제공했기 때문에 문제 될 게 아무것도 없다는 겁니다.

훔친 악어일지라도 가죽을 벗겼으니 악어 백을 만들어 팔아도 아무 상관 없다?

도대체 누가 약학정보원에게 환자의 의료 정보를 수집하고 이용해서 팔 수 있는 권리를 준 걸까요? 검찰은 약학정보원이 개인의료행위를 수집한 것 자체부터 범죄로 보고 있습니다. 그러니까 약학정보원 컴퓨터에 들어 있는 개인의료정보를 장물로 보고 있는 겁니다. 이 장물을 가공했다고 해서 그게 정품이 되는 건 아닙니다. 여전히 장물이죠. 이 때문에 이걸 돈을 주고 산 IMS health Korea에 대해서도 압수수색 영장이 발부된 겁니다. 또 어떤 기업이 원래 출처가 약학정보원의 자료였던 IMS health Korea의 정보를 샀다면 그 기업도 자세한 내막은 몰랐을지라도 역시 불법을 저지른 거라고 검찰은 판단하고 있습니다. 쉽게 비유해, 악어를 훔친 사람이 악어 가죽만 벗겨서 중간 상인에게 넘겼습니다. 중간 상인은 그 악어 가죽으로 악어 가방을 만들었고 어떤 기업이 그 악어 가방을 사들였습니다. 이럴 경우 악어를 훔친 사람과 중간 상인, 그리고 기업 모두 법을 어긴 것과 마찬가지라는 게 검찰의 판단입니다. 일반 개인 정보의 유출도 심각한 범죄로 이어질 수 있지만 개인의료정보는 훨씬 더 위험한 범죄에 이용될 수 있습니다. 명명백백히 밝혀지고, 시정되어야 할 일입니다.조동찬 기자 dongcharn@sbs.co.kr