2015다24904, 2015다24911(병합), 2015다24928(병합), 2015다24935(병합)   손해배상(기)   [상고기각] 

1. 정보통신서비스제공자가 ‘개인정보의 기술적·관리적 보호조치 기준’에서 정하고 있는 기술적·관리적 보호조치를 다한 경우, 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 볼 수 있는지 여부(원칙적 소극)

​
   구「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」(2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것) 제15조 제6항은 “방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”라고 규정하고 있다. 이에 따라 방송통신위원회가 마련한「개인정보의 기술적․관리적 보호조치 기준」(방송통신위원회 고시 제2011-1호, 이하 ‘이 사건 고시’라고 한다)은 해킹 등 침해사고 당시의 기술 수준 등을 고려하여 정보통신서비스 제공자가 구「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(2012. 2. 17. 법률 제11322호로 개정되기 전의 것) 제28조 제1항 등에 따라 준수해야 할 기술적․관리적 보호조치를 구체적으로 규정하고 있다. 그러므로 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적․관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결 등 참조).

​
2. 정보통신서비스 제공자가 위와 같은 기술적․관리적 보호조치를 다하였더라도 예외적으로 위법행위로 평가되거나 민법 제760조 제3항에 따른 책임을 부담하게 되는 경우

​

​다만, 이 사건 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다. 따라서 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적․관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다. 나아가 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적․관리적 보호조치를 다하였다고 하더라도, 불법행위에 도움을 주지 말아야 할 주의의무를 위반하여 타인의 불법행위를 용이하게 하였고 이러한 방조행위와 불법행위에 의한 피해자의 손해 발생 사이에 상당인과관계가 인정된다면 민법 제760조 제3항에 따른 책임을 면할 수 없다(대법원 2007. 6. 14. 선고 2005다32999 판결 등 참조). 

​
☞  해킹으로 네이트․싸이월드 회원들의 개인정보가 유출되자 회원들이 정보통신서비스 제공자를 상대로 손해배상을 청구한 사건에서, 정보통신서비스 제공자가 정보처리시스템에 접속한 개인정보취급자로 하여금 작업 종료 후 로그아웃을 하도록 하는 것은, 비록 이 사건 고시에서 정하고 있는 기술적․관리적 보호조치에는 해당하지 않으나, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치에 해당하고, 또한 정보통신서비스 제공자가 이러한 보호조치를 미이행하여 정보처리시스템에 접속권한이 없는 제3자가 손쉽게 위 시스템에 접속하여 개인정보의 도난 등의 행위를 할 수 있도록 하였다면 이는 불법행위에 도움을 주지 말아야 할 주의의무를 위반한 것으로 볼 수 있으나, 이러한 위법행위와 손해 사이에 상당인과관계가 인정되지 않으므로, 위와 같은 보호조치 미이행과 관련한 원고들의 주장을 배척한 원심 판단에 불법행위 등에 관한 법리오해의 잘못이 없고, 원심의 나머지 판단 부분 역시 이 사건 고시의 해석 등을 그르친 잘못이 없다는 이유로 상고기각한 사례