대법원 판례

2021. 8. 19. 선고 2018두56404 판결 〔과징금부과처분취소〕

[1] 방송통신위원회 고시인 구 개인정보의 기술적․관리적 보호조치 기준 제4조 제9항의 ‘개인정보처리시스템’의 의미 및 개인정보처리시스템에 데이터베이스 (DB)와 연동되어 개인정보의 처리 과정에 관여하는 웹 서버 등이 포함되는지 여부(적극) [2] 방송통신위원회 고시인 구 개인정보의 기술적․관리적 보호조치 기준 제4조 제9항에서 정보통신서비스 제공자 등의 의무로 규정하고 있는 보호조치의 내 용 및 정보통신서비스 제공자 등이 위 규정에서 정한 보호조치를 다하였는지 판단하는 방법

[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2014. 5. 28. 법률 제 12681호로 개정되기 전의 것) 제28조 제1항 제2호, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되 기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제15조 제2항, 제6항 의 체계, 입법 목적에다가 구 정보통신망법 시행령 제15조 제2항 제1호, 구 개인정보의 기술적⋅관리적 보호조치 기준(2015. 5. 19. 방송통신위원회 고시 제2015-3호로 개정되기 전의 것) 제2조 제4호에서 모두 ‘개인정보처리시스템’ 을 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’으 로 정의하고 있는 점 등에 비추어 볼 때, 위 고시 제4조 제9항의 ‘개인정보처 리시스템’은 개인정보의 생성, 기록, 저장, 검색, 이용과정 등 데이터베이스시 스템(DBS) 전체를 의미하는 것으로, 데이터베이스(DB)와 연동되어 개인정보  의 처리 과정에 관여하는 웹 서버 등을 포함한다. [2] 정보통신망 이용촉진 및 정보보호 등에 관한 법령의 문언, 입법 목적 및 규 정 체계 등을 고려하면, 구 개인정보의 기술적⋅관리적 보호조치 기준(2015. 5. 19. 방송통신위원회 고시 제2015-3호로 개정되기 전의 것) 제4조 제9항에서 정보통신서비스 제공자 등의 의무로 규정하고 있는 조치는 ‘정보통신서비스 제공자 등이 취급 중인 개인정보가 인터넷 홈페이지 등에 대한 해킹 등 침해 사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨 터에 취하여야 할 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조 치’라고 해석할 수 있다. 정보통신서비스 제공자 등이 위 고시 제4조 제9항에 서 정한 보호조치를 다하였는지는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종⋅영업규모, 정보 통신서비스 제공자 등이 인터넷 홈페이지 등의 설계에 반영하여 개발에 적용 한 보안대책⋅보안기술의 내용과 실제 개발된 인터넷 홈페이지 등을 운영⋅ 관리하면서 실시한 보안기술의 적정성 검증 및 그에 따른 개선 조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹에 의한 개인정보 유출 의 경우 이에 실제 사용된 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성, 정보통신서비스 제공자 등이 수집한 개인정보 의 내용과 개인정보의 유출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 판단하여야 한다.