사건번호:
2020두55220
선고일자:
20210930
선고:
선고
법원명:
대법원
법원종류코드:
400201
사건종류명:
일반행정
사건종류코드:
400107
판결유형:
판결
[1] 방송통신위원회 고시인 구 개인정보의 기술적ㆍ관리적 보호조치 기준 제4조 제5항의 ‘개인정보처리시스템’의 의미 및 개인정보처리시스템에 데이터베이스(DB)와 연동되어 개인정보의 처리 과정에 관여하는 응용프로그램 등이 포함되는지 여부(적극) [2] 방송통신위원회 고시인 구 개인정보의 기술적ㆍ관리적 보호조치 기준 제4조 제9항이 내부적인 부주의로 개인정보가 외부로 유출되는 사고뿐 아니라 외부로부터의 불법적인 접근에 따른 개인정보 유출 방지를 위한 조치의무까지 포함하는지 여부(적극)
[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2018. 9. 18. 법률 제15751호로 개정되기 전의 것) 제28조 제1항 제2호, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라 한다) 제15조 제2항 등 관련 규정의 체계와 입법 목적 및 구 정보통신망법 시행령 제15조 제2항 제1호와 구 개인정보의 기술적ㆍ관리적 보호조치 기준(2020. 1. 2. 방송통신위원회 고시 제2019-13호로 개정되기 전의 것, 이하 ‘보호조치 기준’이라 한다) 제2조 제4호에서 모두 ‘개인정보처리시스템’을 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’으로 정의하고 있는 점 등에 비추어 볼 때, 위 보호조치 기준 제4조 제5항의 ‘개인정보처리시스템’은 개인정보의 생성, 기록, 저장, 검색, 이용과정 등 데이터베이스시스템(DBS) 전체를 의미하는 것으로, 데이터베이스(DB)와 연동되어 개인정보의 처리 과정에 관여하는 응용프로그램 등을 포함한다. [2] 구 개인정보의 기술적ㆍ관리적 보호조치 기준(2020. 1. 2. 방송통신위원회 고시 제2019-13호로 개정되기 전의 것, 이하 ‘보호조치 기준’이라 한다) 제4조 제9항은 “정보통신서비스 제공자 등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.”라고 규정하고 있다. 위 보호조치 기준을 마련하도록 위임한 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2018. 9. 18. 법률 제15751호로 개정되기 전의 것) 제28조 제1항 제2호와 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것) 제15조 제2항 제2호가 모두 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ㆍ운영에 관하여 규정하고 있는 점 등에 비추어 보면, 위 보호조치 기준 제4조 제9항은 정보통신서비스 제공자 등의 내부적인 부주의로 개인정보가 외부로 유출되는 사고뿐만 아니라 정보통신서비스 제공자 등이 기술적 보호조치를 충분히 다하지 못하여 해킹과 같이 외부로부터의 불법적인 접근에 의해 개인정보가 외부로 유출되는 사고도 방지하려는 것으로 보아야 한다.
[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2018. 9. 18. 법률 제15751호로 개정되기 전의 것) 제28조 제1항 제2호, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것) 제15조 제2항, 제6항 / [2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2018. 9. 18. 법률 제15751호로 개정되기 전의 것) 제28조 제1항 제2호, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것) 제15조 제2항 제2호
[1][2] 대법원 2021. 8. 19. 선고 2018두56404 판결(공2021하, 1724)
【원고, 피상고인 겸 상고인】 주식회사 이스트소프트 (소송대리인 법무법인(유한) 세종 담당변호사 김용호 외 4인) 【피고, 상고인 겸 피상고인】 개인정보 보호위원회(경정 전 피고: 방송통신위원회) (소송대리인 법무법인 인 담당변호사 권창범 외 1인) 【원심판결】 서울고법 2020. 11. 4. 선고 2019누43964 판결 【주 문】 상고를 모두 기각한다. 상고비용 중 원고의 상고로 인한 부분은 원고가, 피고의 상고로 인한 부분은 피고가 각각 부담한다. 【이 유】 상고이유를 판단한다. 1. 원고의 상고이유에 대하여 가. 상고이유 제1점에 대한 판단 구「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(2018. 9. 18. 법률 제15751호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라고 한다) 제28조 제1항 제2호, 구「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제15조 제2항 등 관련 규정의 체계와 입법 목적 및 구 정보통신망법 시행령 제15조 제2항 제1호와 구「개인정보의 기술적ㆍ관리적 보호조치 기준」(2020. 1. 2. 방송통신위원회 고시 제2019-13호로 개정되기 전의 것, 이하 ‘이 사건 보호조치 기준’이라고 한다) 제2조 제4호에서 모두 ‘개인정보처리시스템’을 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’으로 정의하고 있는 점 등에 비추어 볼 때, 이 사건 보호조치 기준 제4조 제5항의 ‘개인정보처리시스템’은 개인정보의 생성, 기록, 저장, 검색, 이용과정 등 데이터베이스시스템(DBS) 전체를 의미하는 것으로, 데이터베이스(DB)와 연동되어 개인정보의 처리 과정에 관여하는 응용프로그램 등을 포함한다고 봄이 타당하다. 원심은, 원고가 이용자에게 제공한 응용프로그램인 알툴즈(알툴바)가 이용자의 개인정보가 저장된 데이터베이스(DB)와 연결되어 있어 정당한 권한을 가진 이용자가 위 응용프로그램에 접근하는 경우에 이용자의 개인정보를 데이터베이스(DB)에서 불러와 조회할 수 있으므로, 위 응용프로그램이 이 사건 보호조치 기준 제4조 제5항의 ‘개인정보처리시스템’에 해당한다고 판단하였다. 이와 같은 원심의 판단은 앞서 본 법리에 따른 것으로서 정당하고, 거기에 상고이유 주장과 같이 이 사건 보호조치 기준상 ‘개인정보처리시스템’의 개념에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 없다. 나. 상고이유 제2점에 대한 판단 원심은 그 판시와 같은 이유로, 원고가 알툴즈(알툴바) 프로그램을 이용자에게 제공하면서 정보통신서비스 제공자 등으로 하여금 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 인가받지 않은 접근을 제한하고 불법적인 개인정보 유출 시도를 탐지하는 기능을 포함한 시스템을 운영하도록 한 이 사건 보호조치 기준 제4조 제5항에 따른 의무를 소홀히 하였다고 판단하였다. 원심판결 이유를 기록에 비추어 살펴보면, 원심의 위와 같은 판단은 관련 법리에 따른 것으로서 정당하다. 거기에 상고이유 주장과 같이 이 사건 보호조치 기준상 침입차단ㆍ탐지시스템 설치ㆍ운영의무에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 없다. 다. 상고이유 제3점에 대한 판단 이 사건 보호조치 기준 제4조 제9항은 “정보통신서비스 제공자 등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.”라고 규정하고 있다. 이 사건 보호조치 기준을 마련하도록 위임한 구 정보통신망법 제28조 제1항 제2호와 구 정보통신망법 시행령 제15조 제2항 제2호가 모두 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ㆍ운영에 관하여 규정하고 있는 점 등에 비추어 보면, 이 사건 보호조치 기준 제4조 제9항은 정보통신서비스 제공자 등의 내부적인 부주의로 인하여 개인정보가 외부로 유출되는 사고뿐만 아니라 정보통신서비스 제공자 등이 기술적 보호조치를 충분히 다하지 못하여 해킹과 같이 외부로부터의 불법적인 접근에 의해 개인정보가 외부로 유출되는 사고도 방지하려는 것으로 보아야 한다(대법원 2021. 8. 19. 선고 2018두56404 판결 참조). ‘이 사건 보호조치 기준 제4조 제9항을 내부적인 부주의로 인한 개인정보의 노출방지만을 위한 규정으로 한정하여 해석할 수 없고 외부의 불법적 접근에 따른 개인정보 유출 방지를 위한 조치의무까지 포함하여 규정한 것으로 해석하여야 한다.’는 원심의 판단은 위와 같은 법리에 따른 것으로서 정당하다. 거기에 상고이유 주장과 같이 이 사건 보호조치 기준 제4조 제9항의 적용 범위에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 없다. 2. 피고의 상고이유에 대하여 가. 상고이유 제1점, 제2점에 대한 판단 원심은 그 판시와 같은 이유로, 원고가 알툴즈(알툴바) 프로그램을 이용자에게 제공하면서 개인정보시스템에 대한 침입차단ㆍ탐지시스템의 설치의무를 위반한 것으로 볼 수 없다고 판단하였다. 관련 법리에 비추어 기록을 살펴보면, 위와 같은 원심의 판단은 정당하고, 거기에 상고이유 주장과 같이 구 정보통신망법 제28조 제1항 제2호, 구 정보통신망법 시행령 제15조 제2항 제2호에서 정한 침입차단ㆍ탐지시스템의 설치의무를 오해하고 필요한 심리를 다하지 않아 판결에 영향을 미친 잘못이 없다. 나. 상고이유 제3점에 대한 판단 원심은, 이 사건 제1처분사유 중 침입차단ㆍ탐지시스템의 설치의무를 소홀히 하였다는 부분 위반행위가 인정되지 아니하므로, 이 사건 과징금납부명령에는 과징금부과 재량행사의 기초가 되는 사실인정에 오류가 있어 재량권 일탈ㆍ남용의 위법이 있다고 판단하였다. 원심판결 이유를 기록에 비추어 살펴보면, 위와 같은 원심의 판단은 관련 법리에 따른 것으로서 정당하다. 거기에 상고이유 주장과 같이 행정처분의 취소 및 과징금 산정에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 없다. 3. 결론 그러므로 상고를 모두 기각하고, 상고비용 중 원고의 상고로 인한 부분은 그 부분 패소자인 원고가, 피고의 상고로 인한 부분은 그 부분 패소자인 피고가 각각 부담하도록 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다. 대법관 이흥구(재판장) 김재형 안철상(주심) 노정희
일반행정판례
KT의 홈페이지 해킹으로 인한 개인정보 유출 사건에서, KT가 개인정보 보호조치 의무를 위반했는지 여부와 과징금 부과의 적법성에 대한 판결입니다. 대법원은 KT가 사회통념상 합리적으로 기대 가능한 보호조치를 했으므로 의무 위반이 없다고 판단하여, 과징금 부과처분을 취소한 원심판결을 확정했습니다.
생활법률
업무 목적으로 개인정보를 처리하는 기업은 원칙적으로 개인정보 보호책임자를 지정해야 하며, 미지정 시 과태료가 부과될 수 있지만, 일부 소규모 사업장은 예외이다.
생활법률
앱/웹 서비스 이용 시, 개인정보 수집·이용·제공·해외이전 등 모든 단계에서 명확한 목적과 항목, 기간 등에 대한 동의가 필수이며, 동의 범위를 넘어선 이용/제공은 불법이고, 선택적 동의 거부로 서비스 이용을 제한해서도 안 된다.
생활법률
개인정보처리자는 법으로 정해진 안전성 확보 조치(내부 관리, 접근 통제, 암호화, 침해 대응 등)를 의무적으로 이행해야 하며, 미이행 시 과태료, 과징금 등의 제재를 받는다.
민사판례
KT 고객들의 개인정보가 해킹으로 유출된 사건에서, KT가 정부의 개인정보 보호조치 기준을 지키지 않아 정보 유출 사고가 발생했다고 본 원심 판결을 대법원이 뒤집고, KT가 기준을 충족했다고 판단하여 사건을 다시 심리하도록 돌려보냈습니다.
민사판례
롯데카드가 외주 업체 직원의 개인정보 유출로 인해 손해배상 책임을 부담한다는 판결. 외주 업체 직원이 롯데카드 사무실에서 작업용 하드디스크에 저장된 고객 개인정보를 몰래 빼돌려 제3자에게 넘긴 사건에서, 롯데카드는 정보 유출 방지 의무를 소홀히 한 책임이 있다고 판단됨.