개인정보보호법

개인정보 팔아 창조 경제? 개인정보 팔아 혁신 경제?{/}누구를 위한 개인정보 규제완화일까??

By 2018/09/10 9월 13th, 2018 No Comments

남사장님, 저희 상국병원이 환자정보를 단순히 생보사 영업하기 쉬우라고 넘겨드리는 겁니까?
계약자의 질병을 미리 알면 나중에 지불거부할 수 있고, 지불가능성 높은 상품은 아예 가입을 못하게 할 수도 있고..

구승효 사장드라마 <라이프> 제2화 중

요새 인기있는 드라마 <라이프>의 한 장면입니다.
환자정보 데이터셋은 이 환자가 언제 어떤 병으로 치료받고 갔는지 매우 민감한 개인정보를 담고 있습니다.
구승효 사장님(조승우 분)은 이걸 병원 재산으로 보고 보험사에 한 세트당 150만원씩 받고 파는 데 성공하셨지요.

그런데 말입니다, 구승효 사장님,

상국병원 환자들 동의는 받으셨나요?
환자들은 자기 정보가 보험사에 판매되는 것을 알고 있나요?
환자 동의를 받지 않으셨다면 보험사 개인정보 판매는 불법입니다.

개인정보를 보호하는 개인정보보호법이라고 있습니다.

적법하게 개인정보를 활용하려면 원칙적으로 환자와 소비자 등 정보주체들의 동의를 받아야 합니다.

제15조(개인정보의 수집·이용)

① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우

혹은, 완전히 익명인 경우 개인정보보호법의 예외를 인정받습니다.
현재 많은 빅데이터 통계가 이런 방식으로 나옵니다.

-폭염이 바꾼 소비행태…OO카드 빅데이터 첫 분석
-캐피탈 브랜드 2018년 8월 빅데이터 분석결과...1위 OO캐피탈
-[치킨전문점 브랜드평판 8월 빅데이터] 1위 OO치킨
-[빅데이터분석] 은행 2018년 8월 브랜드평판...1위 OO은행

지금 정부가 ‘혁신 경제’라는 이름으로 추진하는 개인정보 규제완화
이러한 개인정보 보호체계를 완화하겠다는 겁니다.

개인정보 규제완화를 주장하는 기업들은
미국이 개인정보를 자유롭게 매매한다고 주장합니다.

그래서 어떤 일이 벌어지고 있습니까?

IMS헬스라는 미국 빅데이터 업체가 있습니다.

이 업체는 빅데이터 연구 분석을 이유로 약국에서 환자들 처방전을 사모아 분석한 후 전세계에 판매하고 있습니다.
자신의 처방전이 자기 모르게 팔린다는 사실을 알게 된 환자들과 시민단체는 분노했고 IMS헬스와 관련한 소송은 미국 사회에서 커다란 논란이 됩니다.

그러나 미국의 환자들은 패배합니다.

미국은 개인정보보호법이 없거든요.

그나마 의료정보를 보호하기 위해 제정된 HIPAA법이라고 있지만,
환자를 식별하는 식별자(개인을 직접 특정할 수 있는 사회보장번호, 이름 같은 것들입니다)를 비식별화하면 면책해 줍니다.

비식별화 : 식별자를 가리는 처리, 속칭 땡땡땡 처리를 의미합니다. 삭제하기도 하고 암호화하기도 합니다.

미국에서 IMS헬스와 같은 빅데이터업체는 처방전의 환자정보만 비식별화하면 자유롭게 이 데이터를 매매할 수 있는 것입니다.
미국의 환자들에게는 자신의 처방전에 대한 판매나 제공을 막을 수 있는 권리가 없습니다. 개인정보에 대한 권리보다 IMS헬스의 영업상 표현의 자유가 더 우월하다는 겁니다.

미국처럼 환자 처방전을 매매하는 규제완화가 과연 누구를 위한 규제완화입니까?

개인정보 매매가 일자리를 얼마나 창출할까요?

한국은 개인정보에 대한 권리를 헌법상의 기본권으로 보호하고 있다는 점이 미국과 다릅니다.

그래서 개인정보보호법이 있는 것이지요.

IMS헬스는 이미 한국에도 진출해 있습니다.

한국 약국에서도 처방전을 사갔습니다.

2011년부터 2014년 사이에 약국에 처방전을 내셨던 분?

 

이 시기 우리나라 국민

43,990,000

의 약국 처방전이 팔렸습니다. 전체 규모로는

4,700,000,000

IMS헬스코리아가 지불한 금액은 16억 원으로 처방전 건당 1원도 안 됩니다.

검사는 당연히 처방전을 사간 IMS헬스코리아와 처방전을 판매한 약학정보원(약국에서 약사님이 처방전을 입력할때 쓰는 프로그램을 보급합니다)을 개인정보보호법 위반으로 기소합니다.

개인정보보호법에 따르면, 누군가 개인정보를 활용하거나 판매하려면 원칙적으로 정보주체의 동의를 받아야 합니다.

하지만 2011년부터 2014년까지 약국을 들러 처방약을 받았던 우리나라 국민 어느 누구도 자신의 처방전이 IMS헬스에 팔리는 것에 동의한 적이 없습니다. 팔리는지도 몰랐습니다.

그런데도 지금 진행중인 형사재판 1심에서 피고들은 무죄를 주장합니다.

처방전에서 환자를 식별할 수 있는 주민번호를 비식별화, 또는 가명화 했다는 겁니다.

검찰 vs 약정원, 개인정보 범위 놓고 팽팽

IMS헬스와 약학정보원이 처방전의 주민번호를 알아볼 수 없게 처리한 방식은 암호화입니다.

13자리 주민번호

801231-1234567

제1기 : 15자리 알파벳으로 치환

XHFANCOANCLEJGY

제2기 : 128비트 암호화
B609EB67916D23262F296CF88A860FCDA987B96087FE75AF2FAB38D4D

스위니 교수팀의 논문에서

하지만, 알파벳 치환암호는 풀 수 있었습니다. 그것도 매우 쉽게.

하버드대 스위니 교수팀은 IMS헬스에 판매된 한국인 주민번호의 암호를 풀어서 논문으로 발표합니다.
스위니 교수팀은 한국인 주민번호 알고리즘이 공개되어 있기 때문에 암호를 푸는 것이 매우 쉬웠다고 합니다. 예를 들어 주민번호 세번째 자리는 ‘월’에 해당하기 때문에 0 또는 1일 수 밖에 없다는 거지요(…저만 부끄럽습니까…)

[단독] 복지부 빅데이터의 위험성…개인정보 암호화해도 풀 수 있다

심지어 약학정보원이 사용한 알파벳 치환규칙은 처음부터 IMS헬스가 제공한 방식이었다는 사실이 재판중에 밝혀집니다.

128비트 암호는 어떨까요? 풀렸을 수도 있고, 안풀렸을 수도 있습니다. 판사님도 헛갈립니다.
그래서 IMS헬스 사건에 대한 민사1심은 128비트 암호화된 처방전 매매는 책임이 없다고 판결했습니다.

하하… 하지만 또다른 사실이 재판에서 밝혀집니다.
약학정보원이 다른 경로(외장하드)로 주민번호를 128비트로 암호화한 키값을 IMS헬스에 전달했다는 겁니다.
강력한 경제적 동기 앞에서는 최고의 암호화도 개인정보를 보호해주지 않는 것입니다.

IMS헬스는 우리 국민 처방전 정보를 빅데이터 처리해서 지금도 전세계를 상대로 판매 중입니다.
우리나라 제약회사에는 70억원을 받고 되팔았다고 합니다.

4400만명분 의료정보 해외로 팔려나갔다

IMS헬스 사건은 지금도 형사재판이 끝나지 않았습니다.

정부가 바라는 ‘혁신 경제’는 IMS헬스처럼 환자 모르게 처방전을 자유롭게 매매하라는 것일까요?

주민번호만 가리고?

우리 국민 진료정보가 IMS헬스에만 판매된 것이 아닙니다.

“민간보험사에 개인 건강정보 판 심평원, 즉각 사과해야”

전국민 건강보험 진료기록을 다 가지고 있는 건강보험심사평가원이라고 있습니다.
이 심평원이 2014년부터 2017년까지 ‘환자표본 데이터셋’을 1건당(백만명 정도 됩니다) 30만원씩 받고 AIA생명·KB생명보험·KB손해보험·롯데손해보험·미래에셋생명·현대라이프생명·흥국화재해상보험·스코르·삼성생명·코리안리재보험·교보생명·삼성화재해상보험 등 민간보험사에 팔았습니다. 총 6420만명+4430만명분(중복 포함)에 달합니다. “연구목적”이었다고 합니다.

심평원은 이 표본데이터셋 판매가 ‘안전’하다고 주장합니다. 주민번호를 암호화했다는 겁니다.(어째선지 IMS헬스를 닮았습니다)

하지만! 중헌 것은 그것이 아닙니다.

믿고 맡긴 내 진료기록이 나도 모르게 민간보험사에 팔렸을지 모른다니요?

이런 법이 어디 있습니까?

표 읽는 법
  • 위험률 산출/ 위험률 개발 = 보험금 지급율 낮추기 연구
  • 정신질환 조사/ 의료데이터 분석 = 보험금 거절 사유 연구
  • 환자 특성 파악/ 환자 통계/ 환자 분석 = 많이 팔릴 보험상품 연구
  • 행위 분류 = 보험금 거절 사유 연구

박근혜 정부때 한화생명은 SK텔레콤과 의논해서
통신사 이용자 1,800만명 정보와 자사 고객 450만 명 정보를 결합시켰습니다.

대출금리를 연구하기 위해서 였답니다

한화생명도, SK텔레콤도 정보 결합에 대한 고객동의를 받지 않았습니다.

땡땡땡 처리를 해서 누군지 알아볼 수 없게 비식별화 처리를 했다는 이유입니다.

원래 자기 고객인데 알아볼 수 없다는 것이 사실일까요?

 

환자, 통신이용자, 보험고객, 어느 누구의 개인정보도

당사자 모르는새 거래되는 것은 정보인권 침해입니다.

이것은 개인정보 ‘규제완화’가 아니라 ‘보호완화’입니다.

다만 유럽연합은 공익기록보존, 학술연구, 통계 처리의 경우에만 정보주체 동의 없이 가명 빅데이터를 활용할 수 있습니다(GDPR). 공익적 가치가 높다고 인정하기 때문이지요. 가명처리를 했다고 환자나 고객 동의 없이 개인정보를 영리적으로 거래할 수 있는 게 아닙니다.

개인정보를 땡땡땡 처리했다고 그 개인정보의 주인인 정보주체의 헌법상 권리가 사라지는 것은 아닙니다.
만약 정보주체의 권리에 상응하는 사회적 가치가 있다면 법률로써 한계를 정할 수도 있겠지요 (예를 들어 개인정보보호법 제18조는 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 예외적으로 개인정보를 처리할 수 있도록 허용하고 있습니다)

그러나 기업들이 자사의 영리적 마케팅, 기술개발 목적으로 환자나 고객의 개인정보를 처리하는 데에는 그러한 사회적 가치가 있을 수 없습니다.
기업들의 모든 영리적인 개인정보 처리는 정보주체의 동의를 받아야 마땅합니다. 경제 살리기를 위해 개인정보를 거래할 작정이라면 더더욱요.

 

개인정보 보호완화는

일자리 창출이 아니라

정보인권 침해일 뿐입니다.