【판례<개인정보유출 손해배상>】《개인정보의 유출을 막기 위한 조치를 취할 주의의무를 다하지 아니한 잘못이 인정되므로 민법상 불법행위에 따른 손해배상책임을 부담한다고 한 사례(대법원 2019. 9. 26. 선고 2018다222303, 222310, 222327 판결)》〔윤경 변호사 더리드(The Lead) 법률사무소〕
1. 판결의 요지
【판시사항】
[1] 구 전자금융감독규정시행세칙 제9조 제1항 제7호에 규정한 ‘보조기억매체’에 금융기관의 업무상 필요에 따라 외부로부터 반입된 것이 포함되는지 여부(적극) 및 하드디스크 드라이브를 비롯한 새로운 저장매체가 ‘보조기억매체’에 해당하는지 여부(적극)
[2] 정보통신서비스 제공자가 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조 제1항에 따라 부담하는 개인정보 보호조치의무의 대상(=해당 정보통신서비스를 이용하는 이용자의 개인정보) 및 여기서 말하는 ‘정보통신서비스’의 의미 / 정보통신망을 활용하여 정보를 제공받거나 정보 제공의 매개 서비스를 이용하는 모든 이용자가 같은 법에서 예정한 정보통신서비스 이용자에 해당하는지 여부(소극)
[3] 신용카드 등 발행·관리 등의 사업을 영위하는 갑 주식회사가 을 주식회사에 카드사고분석시스템의 업데이트에 관한 용역을 의뢰하고, 업무상 필요를 이유로 을 회사의 직원들에게 신용카드 회원의 개인정보를 제공하였는데, 을 회사의 직원인 병이 갑 회사의 사무실에서 업무용 하드디스크에 정 등을 비롯한 신용카드 회원의 개인정보를 저장하여 사용한 뒤 업무용 하드디스크를 포맷하지 않고 몰래 숨겨서 가지고 나와 자신의 컴퓨터에 위 개인정보를 저장한 후 대출중개 영업 등에 개인정보를 활용할 의도를 가지고 있는 무에게 전달하였고, 이에 정 등이 갑 회사를 상대로 개인정보 유출 등으로 인한 손해의 배상을 구한 사안에서, 갑 회사가 을 회사의 직원들이 작업을 위하여 반입한 하드디스크의 수량을 파악하거나 포맷 작업을 수행 또는 감독하지 않은 것은 구 전자금융감독규정시행세칙 제9조 제1항 제7호의 위반에 해당하고, 갑 회사와 정 등 사이에 정보통신서비스 제공자와 이용자의 관계가 성립되었다고 볼 수 없으므로 위 개인정보 유출사고에 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 적용된다고 할 수는 없으나, 갑 회사는 개인정보의 유출을 막기 위한 조치를 취할 주의의무를 다하지 아니한 잘못이 인정되므로 민법상 불법행위에 따른 손해배상책임을 부담한다고 한 사례
[4] 개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지 판단하는 기준 및 불법행위로 입은 정신적 고통에 대한 위자료 액수의 산정이 사실심 법원의 재량 사항인지 여부(적극)
【판결요지】
[1] 구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것) 제21조는 금융기관이 전자금융거래가 안전하게 처리될 수 있도록 선량한 관리자로서의 주의를 다하여야 하고(제1항), 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다고 정하였다(제2항). 그에 따라 제정된 구 전자금융감독규정(2011. 10. 10. 금융위원회고시 제2011-18호로 전부 개정되기 전의 것, 이하 같다)의 위임을 받은 구 전자금융감독규정시행세칙(2012. 5. 24. 전부 개정되기 전의 것) 제9조는 금융기관이 전산자료의 유출, 파괴 등을 방지하기 위하여 수립하여야 할 전산자료 보호대책 중 하나로 ‘정기적으로 보조기억매체의 보유 현황 및 관리실태를 점검하고 관리책임자의 확인을 받을 것’을 정하였다(제1항 제7호).
여기에서 말하는 보조기억매체에는 금융기관이 직접 보유·관리하는 것뿐만 아니라, 금융기관의 업무상 필요에 따라 외부로부터 반입된 것도 포함된다. 금융기관이 전자금융거래의 안전성을 확보하여야 할 선량한 관리자로서의 주의의무를 다하기 위해서는 외부로부터 반입한 보조기억매체의 보유 현황 및 관리실태도 정기적으로 점검하고 확인할 필요가 있기 때문이다. 그리고 구 전자금융감독규정 제2조가 보조기억매체를 정의하면서 든 ‘자기테이프, 디스크, 디스켓, 콤팩트디스크(CD) 등’은 예시에 불과하다. 따라서 하드디스크 드라이브를 비롯한 새로운 저장매체도 보조기억매체에 해당한다.
[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다)은 정보통신분야의 개인정보 보호를 위해 제정된 법률이다. 여기서 규정하는 개인정보 보호조항은 기본적으로 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 상대방으로서의 정보주체를 보호하기 위한 것이다. 정보통신망법 제28조 제1항은 정보통신서비스 제공자가 정보통신서비스 이용자의 개인정보를 취급할 때에 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률적 의무를 규정하고 있다.
정보통신서비스 제공자가 정보주체로부터 개인정보를 최초로 수집할 때 반드시 정보통신서비스를 이용하여 수집하여야 하는 것은 아니다. 그러나 정보통신서비스 제공자가 정보통신망법 제28조 제1항에 따라 부담하는 개인정보 보호조치의무는 불특정 다수의 개인정보를 수집·이용하는 경우를 전제로 하는 것이 아니라, 해당 정보통신서비스를 이용하는 이용자의 개인정보 취급에 관한 것이고, 여기서 정보통신서비스라 함은 정보통신서비스 제공자가 정보통신망을 통하여 행하는 각종 정보의 게시·전송·대여·공유 등 일련의 정보 제공 행위를 직접 행하거나 정보를 제공하려는 자와 제공받으려는 자를 연결시켜 정보의 제공이 가능하도록 하는 매개행위를 말한다.
또한 정보통신수단이 고도로 발달된 현대사회에서는 일상생활에서 대부분의 개인정보처리가 정보통신망을 통하여 이루어지고 이를 통해 수시로 정보전송이 일어나는데, 개인정보 보호법을 비롯하여 금융, 전자거래, 보건의료 등 각 해당 분야의 개인정보를 다루는 개별 법령과의 관계나 정보통신망법의 입법 취지와 관련 규정의 내용에 비추어 보면, 이처럼 정보통신망을 활용하여 정보를 제공받거나 정보 제공의 매개 서비스를 이용하는 모든 이용자를 통틀어 정보통신망법에서 예정한 정보통신서비스 이용자에 해당한다고 할 수는 없다.
[3] 신용카드 등 발행·관리 등의 사업을 영위하는 갑 주식회사가 을 주식회사에 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라 한다)의 업데이트에 관한 용역을 의뢰하고, 업무상 필요를 이유로 을 회사의 직원들에게 신용카드 회원의 개인정보를 제공하였는데, 을 회사의 직원인 병이 갑 회사의 사무실에서 업무용 하드디스크에 정 등을 비롯한 신용카드 회원의 개인정보를 저장하여 사용한 뒤 업무용 하드디스크를 포맷하지 않고 몰래 숨겨서 가지고 나와 자신의 컴퓨터에 위 개인정보를 저장한 후 대출중개 영업 등에 개인정보를 활용할 의도를 가지고 있는 무에게 전달하였고, 이에 정 등이 갑 회사를 상대로 개인정보 유출 등으로 인한 손해의 배상을 구한 사안에서, 을 회사의 직원들이 작업을 위하여 반입한 하드디스크는 갑 회사의 업무상 필요에 따라 갑 회사의 지배 영역에서 관리되고 있었으므로, 갑 회사가 하드디스크의 수량을 파악하거나 포맷 작업을 수행 또는 감독하지 않은 것은 구 전자금융감독규정시행세칙(2012. 5. 24. 전부 개정되기 전의 것) 제9조 제1항 제7호의 위반에 해당하고, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다) 제28조 제1항과 같은 법 시행령 제15조에서 규정하고 있는 정보통신서비스 제공자의 기술적·관리적 보호조치 위반에 따른 민법상 불법행위 책임은 정보통신서비스 제공자와 이용자 사이의 정보통신서비스의 이용관계를 전제로 하는데, 유출된 정 등의 개인정보는 갑 회사와 신용카드 등에 대한 사용 및 금융거래계약을 맺고 신용카드 등을 발급받아 사용하기 위한 목적으로 수집·이용된 개인정보로서 갑 회사의 사무실에 FDS 업데이트를 위하여 반입된 업무용 하드디스크에 저장되어 있다가 유출된 것이므로, 이러한 사실관계만으로는 갑 회사와 정 등 사이에 정보통신망법상 정보통신서비스 제공자와 이용자의 관계가 성립되었다고 볼 수 없으므로, 위 개인정보 유출사고에 정보통신망법이 적용된다고 할 수 없으나, 갑 회사는 을 회사에 FDS 업데이트에 관한 용역을 의뢰하고 을 회사의 직원들에게 신용카드 회원의 개인정보를 제공하여 취급하도록 하는 과정에서 개인정보의 유출을 막기 위한 조치를 취할 주의의무를 다하지 아니한 잘못이 인정되므로 민법상 불법행위에 따른 손해배상책임을 부담한다고 한 사례.
[4] 개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다. 또한 불법행위로 입은 정신적 고통에 대한 위자료 액수에 관하여는 사실심 법원이 제반 사정을 참작하여 그 직권에 속하는 재량에 의하여 확정할 수 있다.
2. 사안의 개요 및 쟁점
가. 사실관계
⑴ 원고들은 신용카드, 선불카드, 직불카드 발행, 판매와 관리 등의 사업을 영위하는 피고(롯데카드㈜)와 신용카드 등에 대한 사용과 금융거래계약을 맺고 신용카드 등을 발급받아 사용하거나 사용하였던 사람들이다.
⑵ 피고는 도난 등으로 인한 이상 거래 또는 부정사용을 탐지하기 위한 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’)을 도입한 뒤 정기적인 개선작업을 시행함. 피고는 甲에 FDS 업데이트에 관한 용역을 의뢰하였는데, 당시 甲의 직원이었던 乙이 프로젝트 총괄매니저로서 위 업무에 관여하였다.
⑶ 피고는 업무상 필요를 이유로 甲의 직원들에게 피고 회원의 개인정보를 제공함. 피고는 甲의 직원들이 FDS 업데이트를 위하여 피고 사무실에 반입한 컴퓨터에 대해서만 장비반입증을 제출받았을 뿐 반입한 내·외장 하드디스크의 수량을 파악하지 않았고, 위 직원들이 피고 사무실에서 작업을 마치고 철수할 때 하드디스크 포맷을 하라고 지시하였을 뿐 직접 하드디스크를 포맷하거나 포맷 여부를 감독하지 않았다.
⑷ 乙은 피고의 사무실에서 업무용 하드디스크에 원고들을 비롯한 피고 회원 약 1,023만 명의 개인정보를 저장하여 사용한 뒤, 업무용 하드디스크를 포맷하지 않고 몰래 숨겨서 가지고 나와 자신의 컴퓨터에 위 개인정보를 저장하였다.
⑸ 乙은 대출중개 영업 등에 개인정보를 활용할 의도를 가지고 있는 丙에게 위와 같이 빼내어 온 피고의 회원 약 1,023만 명 중 약 255만 명의 개인정보를 전달하였다.
⑹ 원고들이 피고를 상대로 위자료 상당의 불법행위로 인한 손해배상청구를 한 사안이다.
나. 쟁점
위 판결의 쟁점은, 신용카드사의 회원 개인정보 유출에 따른 위자료 지급의무이다.
3. 대상판결의 내용 분석 [이하 판례공보스터디 민사판례해설, 홍승면 P.156-157 참조]
가. 개인정보유출과 관련된 집단소송
⑴ 회사 내에서 보안 솔루션 관리 중 개인정보 유출된 경우 피해자별로 7~10만 원 손해액을 인정한 LEADING CASE이다.
개인정보유출과 관련된 집단소송에서 원고가 승소한 첫 번째 사건이므로, 대상판결은 법리보다 사건 자체는 굉장히 중요한 의미가 있는 판결이다.
⑵ 종전 사건들은 주로 해커들이 해킹하여 개인정보 유출시킨 사건들로 모두 청구기각되었다.
인터넷과 관련하여 일반인 피해자들을 모아 소송을 시도한 사건들은 전부 다 패소하였다.
해커에 의한 피해자가 카드사별로 1,000만 명씩이라서 국민 중에 피해자 아닌 사람이 없다.
원고 승소 시켜주기가 부담스러웠던 측면도 있었을 것이다.
⑶ ‘행위 시점을 기준으로 볼 때 해커에게 뚫렸다고 해서 필요한 기술 수준이 부족했다고 단정하기 어렵다. 그 당시 통상 갖추어야 할 기술 수준을 갖추고 있었으면 과실이 있다고 보기 어렵다’고 판시하면서 계속 청구 기각하였고, 원심에서 승소판결 해 와도 파기환송하였다.
나. 대상판결의 분석
⑴ 이 사건의 경우는 카드 회사 보안 솔루션 담당한 직원이 스스로 고객 개인정보 유출한 사안이다.
외부에서 해커가 들어온 것이 아니라 피고 회사에서 보안 솔루션을 맡겼던 담당자가 자그마치 1,000만 명의 고객 데이터를 다른 곳에 팔아버린 사례다.
⑵ 다만 보이스피싱 등 다른 불법행위에 사용한 것은 아니고, 광고에 필요한 소비자 타겟팅 및 광고 데이터베이스 구축에 이용하기 위하여 유출하였던 것이다.
⑶ 불법행위에 이용될 가능성이 열려 있기 때문에 원고들은 위자료 받을 권리가 있다는 것이 대상 판결의 결론이다.
대법원에서는 위법행위, 과실 여부 외에도 ‘피해 본 것이 있는가’도 문제되었다.
결론은 피해자 1인당 약 7~10만 원 손해액 인정하였다.