개인정보보호법상 인터넷 포털사이트에 개인정보를 유출한 행위에 대한 손해배상 등 요구

개인정보보호법상 인터넷 포털사이트에 개인정보를 유출한 행위에 대한 손해배상 등 요구

□ 주문

피신청인은 조정성립일로부터 4주 이내에 신청인에게 금 1,000,000원의 손해배상금을 지급한다.

 

□ 신청취지

피신청인은 신청인의 개인정보를 유출한 것에 대해 손해배상, 원상회복, 신청인에 대한 사과를 이행한다.

 

□ 이유

1. 기초사실

 

피신청인은 일자리 지원, 중소기업과 소상공인 지원 등의 업무를 수행하는 재단법인으로서 대전 관내 소상공인 및 예비창업자를 대상으로 컨설팅, 전문가 교육, 시설개선, 성장자금 등을 지원하는 사업(이하 ‘이 사건 지원사업’)을 시행한 자이고, 신청인은 이 사건 지원사업의 지원대상으로 선정되고자 온라인으로 신청서 및 제반서류를 제출한 자이다.

 

신청인은 피신청인 웹사이트를 통해 온라인으로 이 사건 지원사업 신청서를 작성하며 제반서류로 주민등록등본, 사업자등록증, 건강보험자격득실확인서, 부가가치세과세표준증명원, 사업장 사진, 사업장 임대차 계약서, 상장(이하 ‘이 사건 제반서류’)을 제출하였다.

 

이후 신청인은 특정 포털사이트에 검색할 시 위 제반서류 중 일부(사업자등록증, 부가가치세과세표준증명원, 상장)는 이미지 파일로 검색되고, 일부(주민등록등본, 건강보험자격득실확인서, 사업장 사진, 사업장 임대차 계약서)는 다운로드가 가능함1)을 발견하고, 피신청인에게 이를 신고하였다.

 

피신청인은 신고를 받은 즉시 유출 현황 및 원인을 파악하고, 해당 포털사이트에 이미지 파일 삭제 등을 요청하여 삭제된 것을 확인하였고, 이 사건 지원사업의 웹사이트 관리업체 대표와 함께 신청인을 만나 개인정보 유출에 대해 사과하고 보상안 등을 협의하였다.

 

신청인은 피신청인의 관리 소홀로 불특정 다수에게 성명, 주소, 주민등록번호 등 개인정보가 유출되어 이를 이용한 포털사이트 로그인 시도 등 2차 피해가 지속되고 있다고 주장하며, 손해배상, 원상회복(유출된 개인정보 회수), 피신청인의 사과를 요구하는 내용으로 개인정보 분쟁조정을 신청하였다.

 

이에 대해 피신청인은 개인정보 유출 사실을 확인한 즉시 접근을 차단하고 해당 포털 사이트에 이미지 파일 등의 삭제를 요청하는 등 조치하였고, 신청인에게 여러 차례 사과하고 보상을 논의하는 등 피해구제를 위해 노력하였다고 주장한다.

 

2. 판 단

가. 이 사건 개인정보 및 개인정보처리자

 

이 사건 제반서류에 포함된 신청인의 성명, 주소, 주민등록번호, 가족정보, 수입금액 등2)은 그 자체로 또는 다른 정보와 쉽게 결합하여 신청인을 알아볼 수 있는 정보로서 ｢개인정보 보호법｣ 제2조 제1호에 따른 신청인의 개인정보에 해당하고, 피신청인은 이 사건 지원사업 등 업무를 목적으로 개인정보파일을 운용하며 개인정보를 처리하는 자로서 ｢개인정보 보호법｣ 제2조 제5호에 따른 개인정보처리자에 해당한다.

 

나. ｢개인정보 보호법｣ 위반 여부

 

｢개인정보 보호법｣ 제29조 및 같은 법 시행령 제30조 제1항 제2호에 따르면 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 개인정보에 대한 접근 통제 조치 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다. 이와 관련하여 ｢개인정보의 안전성 확보조치 기준｣ 제6조 제3항은 개인정보처리자는 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다고 규정하고 있다.

 

한편, 개인정보 유출의 의미와 관련한 ｢표준 개인정보 보호지침｣ 제25조는 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우(제1호),

 

개인정보가 저장된 데이터베이스 등 개인정보 처리시스템에 정상적인 권한이 없는 자가 접근한 경우(제2호),

 

개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우(제3호),

 

기타 권한이 없는 자에게 개인정보가 전달된 경우(제4호)를 말한다고 규정한다.

 

피신청인은 이 사건 지원사업의 웹사이트를 운영하면서 특정 포털 사이트의 자동 검색 로봇이 불법적으로 접근하지 못하도록 차단 설정을 하지 않아 해당 포털 사이트의 검색 결과를 통해 신청인의 개인정보가 노출되도록 하였고, 이 사건 제반서류 중 일부는 권한 없는 불특정 다수에 의해 다운로드 되어 그에 포함된 개인정보가 유출되도록 하였으므로, 피신청인이 개인정보를 처리함에 있어 ｢개인정보 보호법｣ 제29조 등에 따른 의무를 다하였다고 인정하기 어렵다.

 

다만, 피신청인이 이미 해당 포털사이트에 요청하여 공개된 이 사건 제반서류의 삭제를 요청하여 삭제가 완료된 점 등을 고려할 때 피신청인이 개인정보의 회수를 위해 조치를 한 것으로 보인다.

 

다. 손해배상액 산정

 

이 사건 제반서류에는 성명 주소뿐만 아니라 고유식별정보인 주민등록번호까지 포함되어 있어 이로 인해 신청인을 바로 식별할 수 있는 점, 해당 정보들이 불특정 다수에게 유출된 점 등을 고려할 때 신청인의 정신적 손해에 대한 피신청인의 손해배상 책임을 인정할 수 있다. 다만 피신청인이 유출 사실을 인지한 즉시 조치하여 추가적인 유출을 차단한 점, 여러 차례 사과하고피해구제를 위해 노력한 점을 함께 고려하여 주문과 같이 손해배상액을 산정한다.

 

3. 결 론

이상과 같은 이유로 주문과 같이 결정한다.