한때 우리 사회 전반에서 개인정보 보호에 대한 인식이 지금보다 많이 약했던 적이 있었다. 그러나 수집, 이용되는 개인정보의 양이 많아지고 개인정보를 활용할 수 있는 도구가 발달하면서 개인정보를 보호해야할 필요성이 점점 커졌다. 해킹에 의하여 수많은 개인정보가 유출되거나 회사의 직원이 회사의 고객 정보를 팔아넘기는 등이 사고가 심심치 않게 발생하였고, 개인정보를 침해당한 고객들이 집단적으로 회사에 대하여 소를 제기하는 경우도 그리 드물지 않게 볼 수 있게 되었다. 최근에는 개인정보를 유출당한 피해자 1인당 20만 원을 지급하라는 판결이 선고되기도 하였다(이 사건으로 개인정보가 유출된 피해자는 3,500만명으로 알려져 있는데 유출당한 피해자들 중 1%인 35만 명만 소를 제기한다고 하여도 회사가 지급해야하는 손해배상액이 700억 원에 이른다).

2011. 9. 30.에는 개인정보 보호에 관한 일반법이라고 할 수 있는 개인정보보호법이 시행되었다. 개인정보보호법 등에서는 당사자의 동의를 받거나 법률에서 특별히 정한 경우가 아닌 한, 개인정보를 수집, 이용, 제공, 위탁할 수 없도록 하고 있다. 그리고 이를 위반한 경우, 그 구체적인 사안에 따라 형사 처벌(5년 이하의 징역 또는 5천만 원 이하의 벌금 등)을 하거나 과태료(5천만 원 이하 등), 과징금 처분을 할 수 있도록 정하고 있다. 안전행정부는 독자적으로 또는 다른 유관기관과 팀을 구성해서 실태 점검을 실시하기도 한다. 근래에는 보험회사들에 대한 개인정보 보호 합동 점검이 있었다고 한다.

다음은 일반적으로 살펴보아야 할 개인정보 보호 체크리스트이다.

일반적인 개인정보 보호 체크리스트

* 수집하여 저장, 관리하고 있는 개인정보의 항목확인. * 수집 시에 목적을 특정하여 수집 동의를 받았는지, 민감정보, 고유식별정보의 경우 별도의 동의를 얻었는지 여부확인. * 해당 정보가 계약의 이행을 위한 필수 정보 이외의 것이 있는지, 법령 상 수집 근거가 있는 것인지 확인. * 개인정보 취급 업무 위탁 시 위탁계약서가 법상 요구사항을 포함하는지 내용 확인. * 개인정보를 제3자에게 제공하는 경우, 제공에 대한 동의가 있었는지 확인. * 법에서 정한 기술적, 물리적, 관리적 조치를 이행하고 있는지 여부 확인. * 전산시스템 상 접근권한 관리, 비밀번호 작성규칙, 접근통제시스템, 보안프로그램, 물리적 접근 조치, 개인정보처리방침, 관리계획, 개인정보보호책임자 지정 등 정책 수립 및 이행 여부. * 수집·이용하는 고유식별번호(ex. 주민등록번호)가 있는지, 이를 저장하는지 여부 확인. * 서버 및 업무용 PC에 암호화 작업이 이루어져 있는지 확인. * 보관 목적이 경과한 개인정보를 적법하게 파기하였는지 여부 및 파기 사실 관리 여부 확인.

그런데 제약회사에 대해서는 개인정보 보호에 대한 논의가 그렇게 많지는 않은 것 같다. 제약회사도 다른 일반 회사들과 마찬가지로 수집, 이용하는 개인정보(고객들이나 임직원, 환자, 임상시험 대상자 등의 개인정보) 보호 문제에서 자유로울 수는 없다. 아래에서는 제약회사의 특수성을 반영한 몇 가지 사례들을 살펴보려 한다.

1. PMS(Post Marketing Surveillance) 등을 하면서 수집된 정보를 익명으로 처리하면 그 정보를 개인정보로서 보호하지 않아도 되는지 여부

개인정보보호법에서 보호하는 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말하는데, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것도 포함한다. 서울중앙지방법원은 IMEI와 USIM 일련번호만으로는 개인을 식별하는 것이 불가능하지만 통신사가 가지고 있는 다른 정보와 결합하면 개인 식별이 가능하므로, 그 일련번호가 개인정보에 해당한다는 판단을 한 적이 있다(서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결). 따라서 이 판결례에 따르면 정보를 익명으로 처리하더라도 다른 정보와 결합하여 개인 식별이 가능하다면 그 정보는 개인정보로서 보호되어야 한다.

2. 의사, 약사 등 HCP(Health Care Provider)의 개인정보를 인터넷 홈페이지 또는 명함을 이용하여 수집하는 경우 별도로 HCP의 동의를 받지 않아도 그 개인정보를 수집, 이용할 수 있는지 여부

HCP가 자신의 명함을 제공한 경우, 그 정황에 비추어 명함에 있는 개인정보를 제공한다는 동의 의사를 표시한 것으로 해석할 수 있다. 마찬가지로 HCP가 자신의 정보를 인터넷 홈페이지 등에 올린 경우 그 정보를 공개한 목적과 정황으로 볼 때 사회통념상 이용 가능하다고 인정되는 목적 내에서 동의를 하였다고 해석할 수 있다. 다만, HCP가 명함을 제공하거나 인터넷에 정보를 올릴 때 전제하였을 이용범위를 벗어나서 그 개인정보를 이용할 수는 없을 것이다.

3. 학회를 통하여 의사 등의 개인정보를 받는 경우 수집에 대한 동의를 얻어야 하는지 여부

학회로부터 HCP의 개인정보를 공식적으로 제공받는 경우, 제약회사가 제3자(학회)로부터 개인정보를 제공받는 경우에 해당하므로 학회가 정보주체(의사 등)로부터 개인정보의 제3자 제공에 대한 동의를 받아야 한다. 학회로부터 정보를 제공받은 제약회사는 그 정보주체에게 출처 등을 고지하기만 하면 된다. 이 때, 학회가 정보주체로부터 개인정보의 제3자 제공에 대한 동의를 받았는지 여부에 관하여, 제약회사가 확인까지 해야 하는지 여부에 대해서는 논란이 있다.

4. PMS나 부작용 사례 보고를 통해 수집된 개인정보를 제3자에게 제공할 때 정보주체의 동의를 얻어야 하는지 여부

Regulatory PMS의 경우, 약사법 제32조, 식품의약품안전처 고시 제2013-185호에 의한 신약등의 재심사기준에 따라 의무적으로 실시하여야 하는바, 그 범위 내에서는 법령에 의하여 보고의무가 발생하게 되므로 제3자 제공에 대한 동의 등 기준을 적용받지 않는다. 실무상으로는 Regulatory PMS를 실시하는 경우에도 그 보고 목적만으로 조사를 실시하는 것이 아니라 이를 자체적인 연구목적 등으로 활용하므로, 그 범위 내에서는 개인정보보호법에 따른 수집 동의 등의 절차를 거쳐야만 한다. 부작용 사례 정보를 식약처 등에 제출할 경우에도 마찬가지로 정보주체의 동의를 받지 않아도 된다. 그러나 식약처 등이 아닌 제3자에게 정보를 제공한다면 원칙적으로 동의를 받아야 한다. 정보주체가 식별되지 않는 상태로 학술연구, 통계목적으로 제3자에게 정보를 전달하는 경우에는 동의없이 제공할 수 있다. 익명으로 처리하더라도 다른 정보와 결합하여 개인 식별이 가능하다고 판단되는 경우 정보주체의 동의를 받아야 한다는 것은 앞서 살핀 바와 같다. 제약회사의 계열사나 모회사 등도 제3자에 포함되므로 계열사나 모회사, 본사에 개인정보를 제공하는 것도 제3자 제공에 해당하고 제3자에게 개인정보가 들어있는 서버에 대한 접근권한을 부여하는 것도 개인정보를 전달하는 것에 포함되므로 주의할 필요가 있다.

※ 이 글은 법무법인 강태욱 변호사와 박성민 변호사가 공동 집필했습니다.