- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 7. 개인정보에 해당하는지 여부가 문제되는 사례 모음
- 7.6. [일문일답] 개인정보를 암호화한 경우 개인정보에 해당하는가?
이 페이지의 첫 번째 전문가가 되어주세요!
OOO 변호사
OOO 검사
OOO 법학박사
OOO 판사
위키를 작성하면 이 곳에 프로필이 표시됩니다.
프로필은 본인 닉네임 클릭 > ‘내정보관리’에서 설정할 수 있습니다.
7.6.[일문일답] 개인정보를 암호화한 경우 개인정보에 해당하는가?
[일문일답] 개인정보를 암호화한 경우 개인정보에 해당하는가?
1. 문제의 제기
지난 2013년 12월 대한약사회 산하 약학정보원이 개발한 조제 관리·심사청구 프로그램 PM2000를 통해 등록된 환자, 의사 개인정보 수십억 건이 2011년부터 2015년까지 글로벌 의료데이터 업체 한국IMS헬스로 넘어간 사건이 언론에 보도되었고, 이때 제공된 개인정보에는 환자 이름, 주민등록번호, 의사 면허번호, 조제 내역 등 민감한 정보가 다수 포함되어 있었다. 민감한 환자 정보 제공이라는 점에서, 그 규모가 적지 않은 점에서 언론의 집중 관심을 받았다.
최근 2024년 7월 11일 이 사건에 대한 형사 재판의 상고심 판결까지 나와 완전히 종결되었는데, 민사적으로는 정보주체의 손해배상 청구가 진행되었고, 형사적으로는 개인정보보호법위반죄 등의 공소제기가 있었으나, 민사적으로는 개인정보보호법 위반은 인정되나 정보주체의 정신적 피해는 부정된다는 판단이 있었고, 형사적으로는 개인정보보호법위반에 대한 미필적 고의가 없어서 무죄라는 판단이 있었다.
관련해서 개인정보를 암호화한 경우 이를 개인정보로 보아야 하는지에 대하여 민사법원과 형사법원은 일관된 입장을 취했는데, 이 내용을 살펴보기로 한다. [민사항소심 사건 서울고등법원 2019. 5. 3. 선고 2017나2074963, 2017나2074970(병합) 판결, 형사항소심 사건 서울고등법원 2021. 12. 23. 선고 2020노628 판결]
개인정보의 암호화라는 것은 개인정보에 대하여 일정한 알고리즘을 통해서 일정한 권한이 있는 자 외에는 누구도 읽을 수 없도록 하는 안전성 확보조치를 의미하는데, 개인정보에 대한 암호화 조치는 알고리즘에 따라서 복호화가 가능한 양방향 암호화와 복호화가 불가능한 일방향 암호화의 두 가지 방법이 있고, 그 대상에 따라서 저장 중인 개인정보에 대한 암호화, 전송 중인 개인정보에 대한 암호화 등이 있다.
2. 암호화와 개인정보성 판단기준
법원은 "개인정보는 해당 정보를 처리하는 자의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려하여 특정 개인을 식별할 수 있는(identifiable) 정보이므로, 개인정보에 암호화 등 적절한 비식별화(de-identification) 조치를 취함으로써 특정 개인을 식별할 수 없는 상태에 이른다면 이는 식별성을 요건으로 하는 개인정보에 해당한다고 볼 수 없고, 따라서 정보주체의 동의 없이 통계작성 등의 용도로 이용되거나 제3자에게 제공되더라도 정보통신망법이나 개인정보 보호법을 위반한 것이라고 볼 수 없다. 다만, 비식별화 조치가 이루어졌다고 하더라도 재식별 가능성이 합리적으로 존재한다면 적절한 비식별화 조치가 이루어지지 않은 것이므로 여전히 정보통신망법이나 개인정보 보호법이 적용되는 개인정보에 해당한다."고 판시하였는바(서울고등법원 2019. 5. 3. 선고 2017나2074963, 2017나2074970(병합) 판결, 서울고등법원 2021. 12. 23. 선고 2020노628 판결),
따라서 '재식별가능성이 합리적으로 존재'하는지 여부가 핵심 판단요소라 할 수 있다.
참고로 1심(서울중앙지방법원 2017. 9. 11. 선고 2014가합508066, 2014가합538302(병합) 판결)은 "비식별화 조치가 이루어졌다고 하더라도 재식별가능성이 현저하다면 적절한 비식별화 조치가 이루어지지 않은 것이므로 여전히 개인정보 보호법이 적용되는 개인정보에 해당한다고 할 것이고 적절한 비식별화 조치가 이루어진 것인지 여부는 원본 데이터의 특성, 비식별화된 정보가 사용된 특정한 맥락이나 상황, 비식별화 조치에 활용된 기법·세부기술의 수준, 비식별화된 정보를 제공받은 자의 이용목적 및 방법, 이용기간, 전문지식이나 기술력·경제력에 따른 재식별화 능력, 비식별화된 정보를 제공받은 자가 재식별화로 얻을 수 있는 이익의 유무, 비식별화된 정보를 제공받은 자의 개인정보 보호 수준, 비식별화된 정보와 외부 정보 사이의 결합가능성, 비식별화된 정보를 제공한 자와 제공받은 자의 관계, 비식별화된 정보에 대한 접근권한 관리 및 접근통제 등을 종합적으로 고려하여 판단해야 할 것이다."라고 판시한 바 있다.
3. 사례 (서울고등법원 2019. 5. 3. 선고 2017나2074963, 2017나2074970(병합) 판결)
가. '주민등록번호'에 관하여 홀·짝수 자리에 따라 영문자로 1:1로 대응하는 일종의 데이터 마스킹(data masking) 알고리즘이 적용된 1기 암호화 방식
==> 법원의 판단 : 기본식별정보인 '주민등록번호'에 관하여 홀·짝수 자리에 따라 영문자로 1:1로 대응하는 일종의 데이터 마스킹(data masking) 알고리즘이 적용된 1기 암호화 방식은 그 자체로 식별하지 않으면서 특정만 하는 방법으로는 충분하지 아니하고 특정한 값에 대한 다양한 추론을 통해 쉽게 복호화할 수 있어 개인이 식별될 우려가 클 뿐만 아니라 피고 B이 피고 회사와 그 알고리즘을 공유하고 있어 적절한 비식별화 조치가 이루어졌다고 보기 어렵다.
나. 복호화가 불가능한 일방향 암호화 방식인 SHA-512 방식으로 환자의 주민등록번호가 암호화한 2기 암호화 방식
예) 780708-2177911 →25525ab9f38678f802c8dd416bd488132c0682919f004986a328cl25a3f192a934d482c371af2e2476fc66cfc257e0d6d58c83f536f36a2aa0e80caba39b0ebb
==> 법원의 판단 : 2, 3기 암호화 방식도 1기 암호화 방식과 결합하여 개인을 식별할 수 있다고 봄이 타당하므로, 이 사건 정보는 1기 암호화 방식으로 암호화된 것뿐만 아니라 2, 3기 암호화방식으로 암호화된 것까지 모두 개인정보에 해당한다. 2, 3기 암호화 방식은 일방향 암호화를 적용한 방식으로 이론상 양방향 암호화에 비해 더욱 안전하고 효과적인 비식별 기술에 해당하고 암호화의 기술적 수준이 높아 그것만으로는 피고 회사가 자체적으로 복호화할 수 없을 것으로 보이나, 피고 B이 제공한 1기 암호화 방식의 주민등록번호를 기재한 매칭 테이블을 결합하면 주민등록번호에 대한 복호화가 가능하게 되고 실제로 피고 회사가 이를 통하여 별다른 어려움 없이 기존의 데이터를 새로운 환자ID로 변환하는 작업을 수행하여 마쳤다. 피고 B과 피고 회사가 복호화 방법에 관한 매칭 테이블을 모두 보유하였던 이상 해당 처방전정보에 취한 보안조치가 얼마나 높은 수준이었는지 여부는 개인정보성(식별가능성의 존재)의 규범적 판단에 있어서 의미가 없다.
다. 주민등록번호가 아니라 성명, 생년월일, 성별로 환자를 특정한 후 이를 일방향 암호화 방식(SHA-512방식)으로 암호화한 3기 암호화 방식
예) 김갑동 78. 7. 8. 여(2) → 05b0ebd66291667d062ff3070114f22d1b4a626b9a2396a822d19d0ae0db8cf 2ee0bf5aa2417e0f7d670a31d11155fbec76e57709a848f398ce55d8c94357878
==> 법원의 판단 : 2, 3기 암호화 방식도 1기 암호화 방식과 결합하여 개인을 식별할 수 있다고 봄이 타당하므로, 이 사건 정보는 1기 암호화 방식으로 암호화된 것뿐만 아니라 2, 3기 암호화방식으로 암호화된 것까지 모두 개인정보에 해당한다. 2, 3기 암호화 방식은 일방향 암호화를 적용한 방식으로 이론상 양방향 암호화에 비해 더욱 안전하고 효과적인 비식별 기술에 해당하고 암호화의 기술적 수준이 높아 그것만으로는 피고 회사가 자체적으로 복호화할 수 없을 것으로 보이나, 피고 B이 제공한 1기 암호화 방식의 주민등록번호를 기재한 매칭 테이블을 결합하면 주민등록번호에 대한 복호화가 가능하게 되고 실제로 피고 회사가 이를 통하여 별다른 어려움 없이 기존의 데이터를 새로운 환자ID로 변환하는 작업을 수행하여 마쳤다. 피고 B과 피고 회사가 복호화 방법에 관한 매칭 테이블을 모두 보유하였던 이상 해당 처방전정보에 취한 보안조치가 얼마나 높은 수준이었는지 여부는 개인정보성(식별가능성의 존재)의 규범적 판단에 있어서 의미가 없다.
4. 암호화된 개인정보 처리의 고의 내용 (서울고등법원 2021. 12. 23. 선고 2020노628 판결, 미필적 고의가 인정되지 않아 무죄가 선고된 사안)
개인정보는 해당 정보를 처리하는 자의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려하여 특정 개인을 식별할 수 있는 정보이므로, 개인정보에 암호화 등 적절한 '비식별화'(de-identification) 조치를 취함으로써 특정 개인을 식별할 수 없는 상태에 이른다면 이는 식별 가능할 것을 요건으로 하는 개인정보에 해당하지는 않으나, 비식별화 조치 또는 암호화 조치가 이루어졌다고 하더라도 재식별 가능성 또는 복호화 가능성이 합리적으로 존재한다면 여전히 개인정보에 해당한다고는 보아야 한다. 그러나 어떤 정보가 식별가능한 개인정보에 해당한다는 것과 행위자가 그 정보를 식별가능한 개인정보로 인식하였는지 여부는 별개의 문제이고, 특히 개인정보가 비식별화 조치 또는 암호화 조치가 된 경우, 그와 같은 정보를 처리하는 자에게 개인정보 처리에 관한 고의가 있었다고 보려면, 비식별화 또는 암호화된 개인정보를 식별화 또는 복호화 하여 처리할 수 있다는 인식과 함께 그와 같은 정보를 식별 가능한 형태의 정보로 치환하여 처리하는 것을 용인하는 의사까지 인정이 되어야 할 것이다.
개인정보란 '해당 정보를 처리하는 자의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려하여 특정 개인을 식별할 수 있는 정보'라고 할 수 있고, 민감정보의 처리로 인한 개인정보 보호법 위반이 성립하기 위해서는 그 정보의 '구분 가능성'이나 '선별 가능성'에 대한 인식만으로는 부족하고, '식별가능성'에 대한 인식과 이를 용인할 의사가 인정되어야만 한다. 나아가 해당 정보가 비 식별화 조치가 이루어졌다면 이를 복호화 하여 처리할 수 있다는 인식과 이를 용인하는 의사가 있어야 한다.
