수백 명의 개인정보를 불법으로 구매해 인터넷 게시글의 추천 수를 조작한 혐의로 재판에 넘겨진 30대 남성에게 징역형이 선고됐다. 인천지법 형사5단독 장성욱 판사는 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소된 A(33)씨에게 최근 징역 1년에 집행유예 2년을 선고하고 80시간의 사회봉사를 명령했다(2017고단9501). A씨는 지난해 5월 자신이 다니던 회사 사무실에서 '스카이프 메신저'를 통해 불법 인터넷 ID 매매 브로커로부터 네이버 계정과 패스워드, 이름과 연락처 등 640명의 개인정보 파일을 건당 400원에 구매한 뒤 이 계정들을 이용해 '네이버 지식인' 보험 관련 글에 집중적으로 추천을 달아 추천수를 조작한 혐의를 받고 있다. 장 판사는 "A씨는 불특정 다수인 640명의 이름과 아이디, 패스워드 등을 돈을 주고 구매한 후 이러한 개인정보를 이용해 인터넷 사이트에 홍보글을 작성하거나 추천했다"며 "취득한 개인정보의 양 및 내용, 범행 동기 등에 비춰 볼 때 죄질이 매우 좋지 않다"고 밝혔다. 이어 "A씨는 공무원 시험을 준비중이기 때문에 금고형 이상을 받을 경우 공무원이 될 수 없다며 선처를 바라지만, 2014년 개인정보 290건을 영리목적으로 제공받아 벌금 70만원의 약식명령을 받은 적이 있고, 2016년에도 인터넷 검색순위를 조작한 혐의로 벌금 300만원의 약식명령을 받은 전력이 있다"며 징역형 선고 이유를 설명했다.

국회의 입법·정책개발비 지출 증빙서류도 정보공개 대상이라는 판결이 나왔다. 서울행정법원 행정13부(재판장 유진현 부장판사)는 1일 하승수(50·사법연수원 27기) '세금도둑잡아라' 공동대표가 국회 사무총장을 상대로 낸 정보공개거부처분취소소송(2017구합76807)에서 "계좌번호 등 개인정보 기재 부분을 제외한 나머지 정보에 대한 비공개 결정을 취소하라"며 원고일부승소 판결했다. 재판부는 "국회 측은 이 사건 정보가 공개될 경우 국회의원의 의정활동이 제약받는다는 막연한 주장만을 할 뿐 어떤 점에서 국가의 중대한 이익을 현저히 해칠 우려가 있다고 인정되는 정보인지에 대해 구체적인 주장·증명을 하고 있지 않다"며 "하씨가 공개를 요구하는 내용이 국가안전보장·국방·통일·외교관계 등에 관한 사항으로 공개될 경우 국가의 중대한 이익을 현저히 해칠 우려가 있는 정보에 해당한다고 인정하기 어렵다"고 밝혔다. 이어 "국회 측은 입법·정책개발비를 집행해 얻은 결과물 등이 이 사건 정보에 포함됨을 전제로 비공개 정보라고 주장하고 있으나, 하씨가 청구한 정보에는 입법·정책 개발비의 집행으로 얻어진 보고서 내지 결과물은 포함되지 않는다"며 "정보가 공개되더라도 국회의원 업무의 공정한 수행이 객관적으로 현저하게 지장을 받을 것이라는 고도의 개연성이 있다고 인정하기 부족하다"고 판시했다. 재판부는 다만 개인의 주민등록번호와 주소, 계좌번호, 전화번호, 계약상대자의 신분증 및 통장사본은 개인정보로 비공개 대상이라고 판단했다. 하 대표는 지난해 6월 국회를 상대로 2016년 6월부터 2017년 5월에 집행된 입법·정책개발비에 대한 영수증과 계약서, 견적서, 집행내역서 등 증비서류를 공개해 달라고 요구했다. 그러나 국회 측은 "정보공개시 국가의 중대한 이익을 현저히 해칠 우려가 있거나, 업무의 공정한 수행에 지장을 초래한다"며 거부했다.

법률사무소에서 사무장으로 일하는 동생의 부탁을 받고 다른 사람의 수배내역 등을 몰래 알아봐 준 혐의로 기소된 전직 경찰관에게 징역형이 선고됐다. 인천지법 형사10단독 이재환 판사는 최근 개인정보 보호법 위반 및 공무상비밀누설 혐의로 기소된 전직 경찰관 A(61)씨에게 징역 4월에 집행유예 1년을 선고했다(2017고단8711). 인천의 모 지구대에서 근무하던 A씨는 지난해 1월부터 3월까지 동생 B씨의 부탁을 받고 40대 여성 등 2명의 수배내역을 조회한 뒤 몰래 알려준 혐의를 받고 있다. A씨는 같은 시기 지구대 휴대용 조회기를 이용해 동생이 부탁한 차량의 차적을 조회한 뒤 차주 등 소유관계를 알려준 혐의도 받고 있다. 동생 B씨는 인천의 한 법률사무소에서 사무장으로 일하며 형에게 수배내역 조회 등을 부탁한 것으로 조사됐다. A씨는 지난해 6월 퇴직했다. 이 판사는 "A씨가 친동생의 부탁을 받고 공무상 비밀인 다른 사람의 지명수배 사실과 개인정보인 차적조회 내용을 누설하거나 제공했다"며 "공무원이 지위를 이용해 개인의 민감한 비밀이나 정보를 유출해 죄질이 매우 좋지 않다"고 밝혔다. 이어 "경찰관으로서 법질서를 수호하고 국민의 권리를 보호할 책무를 부담함에도 공무상 비밀이나 개인정보를 가볍게 처리해 비난 가능성도 크다"고 설명했다. 다만 "A씨가 범행으로 금전적 이익을 취득했거나 수사에 방해를 초래한 정황은 보이지 않은 점 등을 고려해 형의 집행을 유예한다"고 판시했다.

2011년 7월 발생한 네이트와 싸이월드 서버 해킹 사건의 피해자들이 SK커뮤니케이션즈를 상대로 손해배상소송을 냈지만 결국 패소했다. 대법원 민사1부(주심 이기택 대법관)는 강모씨 등 개인정보 유출 피해자 31명이 SK커뮤니케이션즈를 상대로 낸 손해배상소송(2015다216055)에서 원고패소 판결한 원심을 최근 확정했다. 2011년 7월 26∼27일 중국 해커의 서버 침입으로 네이트와 싸이월드 회원 3490여만명의 아이디(ID), 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소 등이 유출됐다. 피해자들은 재산적·정신적 손해를 입었다며 1인당 30만원씩을 청구하는 소송을 냈다. 재판부는 "정보통신서비스는 '개방성'을 특징으로 하는 인터넷을 통해 이뤄지고 정보통신서비스 제공자가 구축한 네트워크나 시스템 및 그 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어 이른바 해커 등의 불법적인 침입행위에 노출될 수밖에 없다"며 "완벽한 보안을 갖춘다는 것은 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다"고 밝혔다. 이어 "따라서 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단해야 한다"고 설명했다. 그러면서 "SK커뮤니케이션즈는 이용자의 비밀번호를 일방향 암호화하고 주민등록번호도 별도로 암호화해 저장·관리하는 등의 조치를 취했다"며 "개인정보 보호조치 의무를 위반했다고 보기 어렵다"고 판시했다. 또 "SK커뮤니케이션즈가 개인정보 최소수집의무와 위험 IP 차단의무 등 법령에서 정한 개인정보 수집 및 관리상의 주의의무를 위반했다고 보기도 어렵다"고 덧붙였다. 대법원은 이날 네이트·싸이월드 서버 해킹 사건의 또 다른 피해자들이 낸 손해배상소송도 모두 원심대로 원고패소 판결을 확정했다.

'깨알 고지 응모권' 논란을 불러온 경품행사를 통해 입수한 고객 정보를 보험사에 판매한 홈플러스가 개인정보 유출 피해를 본 고객들과의 소송전에서 잇따라 패소하며 배상책임을 물어야 할 처지에 놓였다. 서울중앙지법 민사31부(재판장 김정운 부장판사)는 18일 김모씨 등 1069명(소송대리인 법무법인 지향)이 홈플러스와 라이나생명보험·신한생명보험을 상대로 낸 손해배상청구소송(2015가합541763)에서 "홈플러스는 김씨 등에게 각각 5~20만원씩 모두 8300여만원을 지급하고, 이 중 라이나생명은 485만원을, 신한생명은 1120만원을 공동으로 지급하라"며 원고일부승소 판결했다. 재판부는 "홈플러스가 경품행사를 통해 거짓이나 부정한 방법으로 개인정보를 수집해 이를 보험사에 판매한 행위, 제3자 정보제공에 동의하지 않은 사람들의 개인정보를 보험사에 제공한 행위는 개인정보의 자기결정권을 침해한 불법행위"라고 밝혔다. 이어 "이런 행위는 단순히 개인정보 처리자의 과실로 유출된 신용카드 개인정보 유출 사건보다 위법성이나 정보의 주체가 받는 정신적 고통이 더 크다"며 "이를 위자료 액수 산정에 반영했다"고 판시했다. 홈플러스는 2011년 12월부터 2014년 6월까지 11회의 경품행사에서 고객의 개인정보 약 712만건을 수집해 건당 1980원씩 보험사 7곳에 팔아 148억원의 부당이득을 챙긴 것으로 조사됐다. 또 2011년 12월부터 2014년 8월까지 고객의 동의 없이 개인정보를 라이나생명(약 765만건)과 신한생명(약 253만건)에 넘기고 사후 동의를 받은 경우 건당 2800원의 판매금을 받아 83억5000여만원의 부당이득을 챙긴 것으로 드러났다. 홈플러스는 경품행사 당시 응모권 뒷면에 '개인정보는 보험상품 안내 등을 위한 마케팅자료로 활용된다'고 고지했지만, 이같은 내용을 1㎜ 크기의 작은 글씨로 안내해 사실상 관련 내용을 알리지 않은 것이나 다름 없다는 비판을 받았다. 이에 김씨 등은 2015년 6월 "홈플러스가 2011∼2014년 경품행사로 모은 개인정보와 패밀리카드 회원정보 2400만여건을 보험사에 팔아 개인정보를 침해당했다"며 "1인당 30만원씩 배상하라"며 소송을 냈다. 앞서 수원지법 안산지원도 지난해 8월 같은 피해를 본 고객 425명이 홈플러스를 상대로 낸 소송에서 "1인당 5만∼12만원씩 배상하라"고 판결했다. 서울중앙지법 민사11부(재판장 박미리 부장판사)도 같은해 10월 원고패소 판결한 1심을 뒤집고 "홈플러스는 피해 고객 4명에게 각각 10만원씩 지급하라"며 홈플러스의 배상책임을 인정했다. 한편 이 사건과 관련해 도성환 전 홈플러스 사장과 법인 등 9명은 개인정보 보호법 위반 등의 혐의로 기소돼 현재 형사재판이 진행 중이다. 1심과 2심은 도 전 사장 등이 개인정보 제공에 대한 동의를 받았다고 판단해 무죄를 선고했다. 하지만 대법원은 지난해 4월 "홈플러스가 고객 개인정보를 판매할 목적을 숨긴 채 사은행사를 한 것은 개인정보 보호법상 부정한 개인정보 취득 행위에 해당한다"며 무죄를 선고한 원심을 파기하고 사건을 유죄 취지로 서울중앙지법으로 돌려보냈다(2016도13263). 검찰은 지난해 12월 파기환송심 결심공판에서 도 전 사장에게 징역 2년을, 홈플러스 법인에게는 벌금 7500만원과 추징금 231억7000만원을 구형했다. 재판부는 25일 오후 2시 도 전 사장 등에 대한 선고 공판을 열 예정이다.

2012년 발생한 KT 개인정보 유출 사고에서 회사의 책임을 인정한 1심 판결이 항소심에서 뒤집혔다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖추기는 어렵다는 취지다. 서울중앙지법 민사4부(재판장 송인권 부장판사)는 강모씨 등 KT 가입자 81명이 KT를 상대로 낸 손해배상청구소송(2015나61155)에서 원고일부승소 판결한 1심을 깨고 최근 원고패소 판결했다. 재판부는 "KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다"고 밝혔다. 그러면서 "KT는 규정을 준수해 접속기록을 확인해왔다"며 "해커가 정상적 서버를 우회해 접속기록을 남기지 않고 정보를 유출했을 가능성을 예상하기 어려웠다"고 판시했다. 앞서 1심은 "KT가 고객정보를 보호하기 위한 노력을 다하지 못했다"며 "강씨 등에게 10만원씩을 지급하라"고 판결했다. 2012년 해커 2명에 의해 KT 가입자 870만명의 개인정보가 무분별하게 유출되는 사고가 발생했다. 해커들은 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객 번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼냈다. KT는 이러한 유출 사태를 5개월간 파악하지 못하다 뒤늦게 내부 보안점검을 통해 해킹 사실을 파악하고 경찰에 수사를 의뢰했다. 이에 강씨 등은 "KT의 관리·감독 부실로 개인정보가 유출됐다"며 "1인당 30만원을 배상하라"며 소송을 냈다.

자본시장법(자본시장과 금융투자업에 관한 법률)에 따라 작성되는 실질주주명부도 상법상의 주주명부와 동일한 효력이 있으므로, 실질주주가 사측에 명부 열람을 청구할 수 있다는 대법원 판결이 나왔다. 실질주주명부에 대해서도 상법 제396조 2항을 유추적용해 열람등사권이 허용된다고 본 대법원 첫 판결이다. 상법 제396조 2항은 '주주와 회사채권자는 영업시간 내에 언제든지 주주명부 서류의 열람 또는 등사를 청구할 수 있다'고 규정하고 있다. 대법원 민사3부(주심 김창석 대법관)는 경제개혁연대가 GS건설과 삼성물산을 상대로 낸 주주명부 열람등사 청구소송(2015다246780)에서 원고일부승소 판결한 원심을 최근 확정했다. 재판부는 "상법상 주주가 영업시간 내에 언제든지 주주명부의 열람 또는 등사를 청구할 수 있도록 한 것은 주주가 주주권을 효과적으로 행사할 수 있게 함으로써 주주를 보호함과 동시에 회사의 이익을 보호하고, 소수주주로 하여금 다른 주주들과의 주주권 공동행사나 의결권 대리행사 권유 등을 할 수 있게 해 지배주주의 주주권 남용을 방지하는 데 목적이 있다"고 밝혔다. 이어 "자본시장법에 따라 예탁결제원에 예탁된 상장주식 등에 관해 작성되는 실질주주명부는 상법상 주주명부와 동일한 효력이 있으므로 열람·등사청구권의 인정 여부와 필요성 판단에서 주주명부와 달리 취급할 이유가 없다"며 "따라서 실질주주가 실질주주명부의 열람 또는 등사를 청구하는 경우에도 상법 제396조 제2항이 유추적용된다"고 설명했다. 그러면서 "열람 또는 등사청구가 허용되는 범위도 이 같은 유추적용에 따라 '실질주주명부상의 기재사항 전부'가 아니라 그 중 실질주주의 성명 및 주소, 실질주주별 주식의 종류 및 수와 같이 '주주명부의 기재사항'에 해당하는 것에 한정되므로, 이러한 범위 내에서 행해지는 실질주주명부의 열람 또는 등사가 개인정보의 수집 또는 제3자 제공을 제한하고 있는 개인정보 보호법에 위반된다고 볼 수도 없다"고 판시했다. 경제개혁연대는 2013년 7월 4대강 사업담합으로 과징금 처분을 받은 GS건설 등 대기업에 대해 주주대표소송을 추진하겠다는 계획을 밝히면서, 소송에 참여할 원고인 주주 모집을 위해 해당 건설사들에 대해 주주명부 열람 및 등사 청구를 했으나 건설사들이 개인정보 보호법 위반 등을 이유로 거절하자 소송을 냈다. 1,2심도 "상법상 열람등사청구권을 실질주주명부에도 유추적용할 수 있다"며 경제개혁연대의 손을 들어줬다. 다만 "개인정보로 보호해야 할 사항이 있다"면서 "실질주주의 명칭과 주소, 주식의 종류와 수 등으로 제한해 열람등사를 허용하라"는 제한만 붙였다.

사내 전산망에 공개된 노동조합원의 개인정보를 노조 임원선거 출마자에게 제공한 혐의로 기소된 전 노조위원장이 항소심에서 무죄 판결을 받았다. 개인정보 주체인 노조원의 사전동의가 있었다고 인정되는 범위에 속하는 개인정보는 별도 동의 절차를 생략하더라도 수집·이용·제공될 수 있다고 본 것이다. 울산지법 형사2부(재판장 이동식 부장판사)는 개인정보 보호법 위반 혐의로 기소된 A(55·변호인 민병환·조정민 변호사)씨에게 벌금 300만원을 선고한 원심을 파기하고 최근 무죄를 선고했다(2017노622). 울산의 한 대기업 정유업체 노조위원장을 지낸 A씨는 지난해 3월 노조 임원선거에 출마한 B씨의 선거활동을 돕기 위해 노조원 2569명의 개인정보를 제공한 혐의로 기소됐다. 파일 형태로 사내 전산망에 게시돼 임직원에게 공개된 해당 개인정보에는 조합원들의 성명과 사(社)번, 휴대전화 번호, 이메일 주소 등이 기재됐다. 조합원의 사진이나 집 주소, 주민등록번호 등은 포함되지 않은 것으로 조사됐다. 재판부는 "이미 공개된 개인정보의 동의 범위가 외부에 표시되지 않았다는 이유만으로 또다시 정보주체의 별도 동의를 받을 것을 요구한다면 정보주체의 공개의사에 부합하지 않고 도리어 무의미한 동의 절차를 밟기 위한 비용부담을 가중시키는 결과가 된다"고 밝혔다. 이어 "개인정보를 처리하거나 처리했던 자는 정당한 권한없이 다른 사람에게 개인정보를 유출해서는 안 되지만 정보주체의 동의가 있었다고 인정되는 범위에서는 별도의 동의가 불필요하다고 봐야 한다"며 "동의가 있었다고 인정되는 범위는 공개된 정보의 성격, 형태와 대상, 의도와 목적 등을 객관적으로 판단해야 한다"고 설명했다. 그러면서 "해당 정보는 회사 임직원 누구나 사내 전산망에 접속해 열람할 수 있었고, A씨가 이를 개인적·상업적 용도로 사용하지 않았을뿐만 아니라 노조원이 아닌 제3자에게 제공·유출한 사실도 없다"며 "특히 정보체인 조합원들이 이를 문제 삼은 사실이 없어, A씨가 정보주체로부터 별도의 동의를 받지 않고 개인정보를 제3자에게 제공하거나 정당한 권한 없이 다른 사람의 개인정보를 유출했다고 볼 수 없다"고 판시했다. 앞서 1심은 "정보주체인 근로자들의 묵시적 동의 여부를 판단할 때는 엄격한 기준을 적용해야 한다"며 "A씨는 회사가 효율적인 업무수행을 위해 사내 전산망에 게시한 사원의 정보를 노조 활동이나 개인적인 활용 목적으로 B씨에게 제공해 위법행위를 저질렀다"고 유죄 판결을 내렸다.

경품행사로 대량 수집한 고객 정보를 당사자 동의 없이 보험사에 판매한 유통업체 홈플러스가 피해 고객들에게 10만원씩 배상하라는 판결이 나왔다. 대법원이 올 4월 대형마트 등이 1㎜ 크기의 작은 글씨로 개인정보 제공 동의를 받고 이를 영리 목적으로 이용한 행위는 개인정보보호법 위반이라고 판시(2016도13263)한 이래 민사소송에서도 업체의 배상책임을 인정하는 판결이 잇따르고 있다. 서울중앙지법 민사11부(재판장 박미리 부장판사)는 김모씨 등 4명(소송대리인 정관영 변호사)이 홈플러스를 상대로 낸 손해배상소송(2016나83466)에서 최근 원고패소 판결한 1심을 뒤집고 홈플러스의 배상 책임을 인정했다. 재판부는 "홈플러스가 경품행사 당시 회원들에게서 개인정보 제3자 제공에 관한 동의를 받긴 했으나, 의도적으로 관련 부분의 글씨를 작게 해 김씨 등이 행사의 주된 목적을 인식하지 못하게 했다"며 "고객들의 개인정보 자기결정권을 침해했다"고 밝혔다. 이어 "김씨 등은 홈플러스의 고의적 위법행위에 본인의 정보가 판매할 목적에 수집됐고, 그중 일부가 보험사의 마케팅에 활용됐다는 점을 인식했을 때 기업으로부터 영리 대상으로 취급되고 있다고 느낄 수 있어 상당한 분노나 불쾌감을 느꼈을 것으로 보인다"고 설명했다. 다만 "추가적 개인정보 제공이나 유출이 없었고, 김씨 등의 성급함과 부주의도 원인이 됐다"며 위자료를 10만원으로 정했다. 앞서 1심은 지난해 12월 "해당 경품행사에 응모한 고객들 중 30% 정도는 개인정보 제공에 동의하지 않아 경품 추첨 대상에서 배제된 사실을 인정할 수 있다"며 "김씨 등도 경품 당첨 기회를 얻으려면 개인정보가 보험사 영업에 사용될 것이라는 점을 인식했다고 볼 수 있다"며 홈플러스의 손을 들어줬다. 김씨 등은 지난 2015년 "홈플러스가 2011년부터 2014년까지 7월까지 경품행사로 모은 개인정보와 패밀리카드 회원정보 2400만여건을 보험사에 231억7000여만원에 팔아 개인정보를 침해당했다"며 "1인당 100만원씩을 배상하라"며 소송을 냈다. 검찰도 같은해 2월 개인정보 보호법 위반 등의 혐의로 홈플러스 법인과 전현직 임원 8명을 기소했다. 이 사건의 1,2심은 "홈플러스가 경품 응모권에 '개인 정보가 보험회사 영업에 활용될 수 있다'는 내용의 고지 사항을 1㎜ 크기로 적어뒀고, 이 정도 글자 크기는 복권이나 의약품 사용설명서 등의 약관에서도 통용된다"며 무죄를 선고했다. 그러나 대법원은 지난 4월 "1㎜ 크기의 작은 글씨로 개인정보 제공 동의를 받은 경우 정상적으로 개인 정보 활용 동의를 받은 것이라고 볼 수 없다"며 무죄를 선고한 원심을 파기하고 사건을 유죄 취지로 서울중앙지법으로 돌려보냈다(2016도13263). 대법원 판결 이후 민사소송에서 배상판결이 이어지고 있다. 수원지법 안산지원 민사2부(재판장 우관제 부장판사)도 지난 8월 피해 고객 284명에게 홈플러스가 1인당 5~12만원씩 총 2306만원을 배상하라고 판결했다(2015가합1847).

개인정보 불법 수집 여부를 둘러싸고 의사와 환자들이 약학정보원 등을 상대로 소송을 냈지만 1심에서 패소했다. 서울중앙지법 민사26부(재판장 박상구 부장판사)는 김모씨 등 의사와 환자 1876명이 대한약사회와 약학정보원, 한국아이엠에스(IMS)헬스 주식회사를 상대로 낸 손해배상청구소송(2014가합508066)에서 최근 원고패소 판결했다. 김씨 등은 2014년 2월 "약사회와 약학정보원이 약국에 설치된 'PM2000' 프로그램을 통해 처방전에 기재된 성명과 주민등록번호 등 개인정보를 불법 수집하고, 이를 통계 처리 회사인 IMS에 제공했다"며 "의사 1인당 300만원, 환자 1인당 200만원 등 위자료 총 54억여원을 배상하라"며 소송을 냈다. 약사회 등은 "개인의 고유 정보를 수집 단계부터 암호화해 식별되지 않는 만큼 개인정보보호법 위반에 해당하지 않는다"고 맞섰다. 재판부는 의사나 환자들의 동의가 없는 정보 수집은 개인정보 보호법 위반 소지가 있지만, 실제 손해가 발생된 부분이 증명되지 않았다며 배상책임을 인정하지 않았다. 재판부는 "약사회는 약국의 처방관리 프로그램인 'PM2000'의 저작권자라는 사정만으로 불법행위를 했다고 볼 수 없다"며 "증거가 부족해 그 책임을 인정할 수 없다"고 밝혔다. 이어 "약학정보원이 식별성이 완전히 제거되지 않은 정보를 정보주체의 동의 없이 한국IMS헬스에 제공한 것은 개인정보보호법 위반에 해당한다"면서도 "해당 정보가 약학정보원과 한국IMS헬스에 제공된 이외에 다른 곳으로 유출되거나 제3자가 열람했을 가능성이 있다고 보기는 어렵다"고 설명했다. 또 "2014년 6월 이후 암호화된 정보를 보면 한국IMS헬스가 복구하는 것이 원천적으로 불가능하고 통계 작성을 위해 허용된 것으로 개인정보 보호법 위반에 해당하지 않는다"고 판시했다. 한편 약학정보원과 IMS헬스 임직원들은 개인정보 보호법 위반 혐의로 형사재판도 받고 있는데, 현재 결심까지 진행돼 선고 절차만 남겨두고 있다.