상고를 모두 기각한다.

상고비용은 피고들이 부담한다.

상고이유를 판단한다.

1. 피고 주식회사 A의 상고이유 제1점에 대하여 원심은 그 판시와 같은 이유로, 피고 주식회사 A(이하 ‘피고 A’라고 한다)는 구 개인정보 보호법(2015. 7. 24. 법률 제13423호로 개정되기 전의 것)이 정한 개인정보처리자로서 위 법률 및 시행령, 이를 구체화한 고시(개인정보 안전성 확보조치 기준) 등 관련 법령에서 정한 개인정보의 안전성 확보에 필요한 조치를 취할 의무를 부담하는데, 피고 B 주식회사(이하 ‘피고 B’라고 한다)와 사이에 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라고 한다) 업그레이드 관련 개발용역계약을 체결하여 피고 B의 개발인력들에게 카드고객의 개인정보를 제공하여 취급하도록 하는 과정에서, 위 법령들을 위반하여 보안프로그램 설치 및 관리감독의무, 접근권한 제한 등 보안조치 의무, 암호화된 카드고객정보 제공의무 등을 다하지 않았으므로, 이로 인해 개인정보가 유출된 원고들에게 발생한 손해를 배상할 책임이 있다고 판단하였다.

관련 법령과 기록에 비추어 살펴보면, 원심의 위와 같은 판단은 정당하고, 거기에 상고이유 주장과 같이 필요한 심리를 다하지 아니한 채 논리와 경험의 법칙을 위반하여 자유심증주의의 한계를 벗어나거나 개인정보 안전성 확보조치 기준 등에서 정한 각종 주의의무, 개인정보 단말기 저장 및 공유, 상당인과관계, 손해배상책임의 성립 등에 관한 법리를 오해하는 등의 잘못이 없다.

2. 피고 B의 상고이유 제1 내지 3점에 대하여 원심은 그 판시와 같은 이유로, 피고 B는 E의 사용자로서 E가 FDS 개발업무를 수행하는 과정에서 그 사무집행에 관하여 피고 A의 카드고객정보를 유출하는 등으로 원고들에게 손해를 가하였으므로, 피고 B는 민법...