손해배상(기)
상고를 모두 기각한다.
상고비용은 피고들이 부담한다.
상고이유를 판단한다.
1. 피고 주식회사 케이비국민카드(이하 ‘피고 국민카드’라 한다)의 상고이유 제1점에 관하여
가. 원심은 다음과 같은 이유로, 피고 국민카드는 개인정보처리자가 개인정보 보호를 위하여 준수하여야 할 법령상 의무를 위반함으로써 원고들의 개인정보가 포함된 고객정보가 유출되는 사고의 원인을 제공하였으므로, 피고 국민카드는 민법 제750조, 구 개인정보 보호법(2015. 7. 24. 법률 제13423호로 개정되기 전의 것, 이하 ‘개인정보 보호법’이라 한다) 제39조에 따라 이 사건 고객정보 유출사고로 인해 원고들이 입은 손해를 배상할 책임이 있다고 판단하였다.
피고 국민카드는 개인정보 보호법이 정한 개인정보처리자 또는 구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것)이 정한 전자금융업자로서 각 법률 및 시행령, 이를 구체화한 고시(개인정보 안전성 확보조치 기준) 등 관련 법령에서 정한 개인정보의 안전성 확보 또는 이용자 정보의 보호에 필요한 조치를 취할 의무를 부담한다.
그런데도 피고 국민카드는 피고 A 주식회사(이하 ‘피고 A’라 한다)와 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라 한다) 업그레이드 관련 개발용역계약을 체결한 후 피고 A의 개발인력들에게 카드고객의 개인정보를 제공하여 취급하도록 하는 과정에서 위와 같은 법령들을 위반하여 보안프로그램 설치 및 관리감독의무, 접근권한 제한 등 보안조치를 취할 의무, 암호화된 카드고객정보 제공의무, 개인정보 처리업무 위탁 시 기술적관리적 보호조치에 관한 문서약정의무, 단말기에 이용자 정보를 보관공유하지 않을 의무 등을 다하지 않았다.
나. 관련 법령과 기록에 비추어 살펴보면, 원심의 위와 같은...