상고를 모두 기각한다.

상고비용은 피고들이 부담한다.

상고이유를 판단한다.

1. 피고 주식회사 A의 상고이유 제1점에 관하여 원심은 그 판시와 같은 사실을 인정한 다음, 피고 주식회사 A(이하 ‘피고 A’라고 한다)가 구 개인정보 보호법(2015. 7. 24. 법률 제13423호로 개정되기 전의 것)이 정한 개인정보처리자 또는 구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것)이 정한 금융기관으로서 각 법률과 시행령 및 이를 구체화한 고시 등 관련 법령에서 정한 개인정보의 안전성 확보 또는 이용자 정보 보호에 필요한 조치를 취할 의무를 부담한다고 판단하였다.

그리고 피고 A가 피고 B 주식회사(이하 ‘피고 B’라고 한다)와 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라고 한다) 개선 관련 용역계약을 체결하고, 피고 B의 개발인력들에게 피고 A 고객의 개인정보를 제공하여 취급하도록 하는 과정에서, 위 법령 규정을 위반하여 보안프로그램 설치 및 관리감독의무, 개인정보 처리업무 위탁 시 기술적관리적 보호조치에 관한 서면 약정 및 수탁자에 대한 교육감독의무, 개인정보 암호화 의무, 단말기에 이용자 정보를 보관공유하지 않을 의무, 접근권한 제한 등 보안조치를 취할 의무 등을 다하지 않았으므로, 이로 인해 개인정보가 유출된 원고들에 대하여 손해배상책임을 부담한다고 판단하였다.

나. 관련 규정과 기록에 비추어 살펴보면, 원심의 위와 같은 판단은 정당하다.

거기에 상고이유 주장과 같이 위 각 규정에 관한 법리를 오해하거나 필요한 심리를 다하지 아니한 채 논리와 경험의 법칙에 반하여 자유심증주의의 한계를 벗어나는 등의 잘못이 없다.

2. 피고 B의 상고이유 제1, 2, 3점에 관하여

가. 원심은 그 판시와 같은 이유로, 피고 B와 피고 A의 FDS 개선 용역계약에 따라...