대법원 2018.12.13.선고 2018다219994 판결 | 리걸엔진

가. 원심은 다음과 같은 이유로, 피고 B는 개인정보처리자가 개인정보 보호를 위하여 준수하여야 할 법령상 의무를 위반함으로써 원고 ( 선정당사자 ) 및 원고들 ( 이하 원고 측을 모두 ' 원고 등 ' 이라 한다 ) 의 개인정보가 포함된 고객정보가 유출되는 사고가 발생하였으므로, 피고 B는 구 개인정보 보호법 ( 2015. 7. 24. 법률 제13423호로 개정되기 전의 것, 이하 ' 개인정보 보호법 ' 이라 한다 ) 제39조에 따라 F의 카드고객정보 유출사고로 인해 원고 등이 입은 손해를 배상할 책임이 있다고 판단하였다 .

피고 B는 개인정보 보호법이 정한 개인정보처리자 또는 구 전자금융거래법 ( 2013. 5 .

22. 법률 제11814호로 개정되기 전의 것 ) 이 정한 전자금융업자로서 각 법률 및 시행령, 이를 구체화한 고시 ( 개인정보 안전성 확보조치 기준 ) 등 관련 법령에서 정한 개인정보의 안전성 확보 또는 이용자 정보의 보호에 필요한 조치를 취할 의무를 부담한다 .

그런데도 피고 B는 피고 코리아크레딧뷰로 주식회사 ( 이하 ' 피고 KCB ' 라 한다 ) 와 카드 사고분석시스템 ( Fraud Detection System, 이하 ' FDS ' 라 한다 ) 업그레이드 관련 개발용 역계약을 체결한 후 피고 KCB의 개발인력들에게 카드고객의 개인정보를 제공하여 취급하도록 하는 과정에서 위와 같은 법령들을 위반하여 보안프로그램 설치 및 관리 · 감독의무, 암호화된 카드고객정보 제공의무, 접근권한 제한 등 보안조치를 취할 의무, 개인정보 처리업무 위탁 시 기술적 · 관리적 보호조치에 관한 문서약정의무, 단말기에 이용자 정보를 보관 · 공유하지 않을 의무 등을 다하지 않았다 .

나. 관련 법령과 기록에 비추어 살펴보면, 원심의 위와 같은 판단은 정당하고, 거기에 상고이유 주장과 같이 필요한 심리를 다하지 아니한 채 논리와 경험의 법칙을 위반하여 자유심증주의의 한계를 벗어나거나 개인정보 안전성 확보조치 기준 등에서 정한 각종 주의의무, 손해배상책임의 성립에 관한 법리를 오해하는 등의 잘못이 없다 .

2. 피고 KCB의 상고이유 제1, 2, 3점에 관하여 원심은 그 판시와 같은 이유로, 피고 KCB의 피용자인 F가 그 사무집행에 관하여 카드고객정보를 유출함으로써 원고 등에게 손해를 가하였고, 피고 KCB가 F 등에 대한 지휘 · 감독을 다하였다고 보기 어려우므로, 피고 KCB는 F의 사용자로서 민법 제756조 제1항에 따라 피고 B와 공동하여 원고 등에게 고객정보 유출로 인한 손해를 배상할 책임이 있다고 판단하였다 .

관련 법리와 기록에 비추어 살펴보면, 원심의 위와 같은 판단은 정당하고, 거기에 상고이유 주장과 같이 필요한 심리를 다하지 아니한 채 논리와 경험의 법칙을 위반하여 자유심증주의의 한계를 벗어나거나 사용자책임에서의 사무집행 관련성, 면책사유, 인과관계에 관한 법리를 오해하는 등의 잘못이 없다 .

3. 피고 B의 상고이유 제2점 및 피고 KCB의 상고이유 제4점에 관하여

가. 개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 , 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지 , 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다 ( 대법원 2012. 12. 26. 선고 2011다59834 판결 등 참조 ). 또한 불법행위로 입은 정신적 고통에 대한 위자료 액수에 관하여는 사실심 법원이 여러 사정을 참작하여 그 직권에 속하는 재량에 의하여 확정할 수 있다 ( 대법원 1999. 4. 23. 선고 98다41377 판결 등 참조 ) .

나. 원심은, 그 판시와 같은 사정들에 비추어 F에 의해 유출된 원고 등의 카드고객정 보는 전파 및 확산과정에서 이미 제3자에 의해 열람되었거나 앞으로 열람될 가능성이 매우 크므로, 원고 등에게 사회통념상 카드고객정보 유출사고로 인한 정신적 손해가 현실적으로 발생하였다고 봄이 타당하다고 판단한 다음, 여러 사정을 고려하여 피고들이 공동하여 원고 등에게 배상하여야 할 위자료를 각 10만 원으로 정하였다 .

다. 앞서 본 법리와 기록에 비추어 살펴보면, 원심의 위와 같은 판단은 정당하고, 원심이 정한 위자료의 액수도 형평의 원칙에 반하여 재량의 한계를 일탈하였다고 볼 수 없다. 따라서 원심의 판단에 피고들의 상고이유 주장과 같이 필요한 심리를 다하지 아니한 채 논리와 경험의 법칙을 위반하여 자유심증주의의 한계를 벗어나거나 손해배상책임의 범위, 정신적 손해의 발생에 관한 법리를 오해하고, 판단을 누락하는 등의 잘못이 없다 .

4. 결론

그러므로 상고를 모두 기각하고 상고비용은 패소자들이 부담하도록 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다 .