일방향 암호화와 개인정보 비식별화의 관계 - 약학정보원 민사 1심 판결에 대한 비판적 검토

Relationship between One-Way Encryption and Personal Information De-identification

전국 약국의 건강보험급여 처리 시스템을 운영하는 약학정보원은 자신의 서버에 수집된 환자의 주민번호와 처방전 정보를 다국적 제약회사에게 제공했다. 위 행위의 개인정보 보호법 위반여부가 문제된 민사소송에서 1심 법원은 “환자의 주민번호가 SHA-512 해시함 수로 일방향 암호화되어 제공되었으므로 이는 개인정보에 해당하지 않는다”고 판결했다. 그러나 판결문에 기재된 사실관계 및 해시의 기술적 특성에 비추어 볼 때, 위 정보를 제공 받은 다국적 제약회사는 언제든지 마음만 먹으면 환자 개개인을 재식별할 수 있는 상태였던 것으로 보인다. 그럼에도 불구하고 위 정보를 가리켜 비(非)개인정보라 판단한 이번 1심 판결에는 의문이 제기된다.