상고를 모두 기각한다.

상고비용은 원고들이 부담한다.

상고이유를 판단한다.

1. 가.

구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2008. 2. 29. 법률 제8852호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제28조 제1항은 “정보통신서비스제공자 등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실도난누출변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적관리적 조치를 하여야 한다.”고 규정하고 있다.

그리고 구 정보통신망법 제28조 제1항의 위임을 받은 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙(2008. 9. 23. 행정안전부령 제34호로 전부 개정되기 전의 것, 이하 ‘구 정보통신부령’이라 한다) 제3조의3 제1항은 정보통신서비스제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 기술적관리적 조치로 ‘개인정보의 안전한 취급을 위한 내부관리계획의 수립 및 시행(제1호)’, ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근통제장치의 설치운영(제2호)’, ‘접속기록의 위조변조 방지를 위한 조치(제3호)’, ‘개인정보를 안전하게 저장전송할 수 있는 암호화기술 등을 이용한 보안조치(제4호)’, ‘백신소프트웨어의 설치운영 등 컴퓨터바이러스 방지 조치(제5호)’, ‘그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치(제6호)’를 규정하고 있다.

따라서 정보통신서비스제공자는 구 정보통신부령 제3조의3 제1항 각호에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적관리적 조치를 취하여야 할 법률상 의무를 부담한다.

나아가 정보통신서비스제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로...