아파트 전산 시스템 교체 과정에서 불거진 개인정보 유출 주장 손해배상 사건

원고 A를 포함한 아파트 입주자들이 아파트 관리업체 및 관련 정보처리 용역업체들을 상대로 개인정보 유출에 따른 정신적 손해배상 50만 원을 청구한 사건입니다. 원고 측은 용역업체들 간의 프로그램 접속 및 변경 과정에서 입주민 개인정보가 유출되었다고 주장했으나, 법원은 선정당사자 외 49명의 선정자들에 대한 소송 절차상 하자를 인정하여 청구를 각하하고, 개인정보 유출 사실 자체를 인정할 증거가 부족하다고 판단하여 원고 A의 청구를 기각했습니다.

관련 당사자

• 원고(항소인) A: 부산 사하구 소재 'H' 아파트의 입주자이자 선정당사자입니다.
• 피고(피항소인) 주식회사 B: 'H' 아파트의 공동주택 관리업무를 위탁받아 수행하는 업체입니다.
• 피고(피항소인) 주식회사 C: 'H' 아파트의 전산용역업무를 담당했던 정보처리 및 컴퓨터 운용 관련 업체로, 과거 '주식회사 D'라는 상호를 사용했습니다.
• 피고(피항소인) 주식회사 D: 피고 C와는 별개로 설립된 정보처리 서비스업체로, 2020년부터 'H' 아파트의 전산관리업무를 새로이 맡았습니다.
• 피고(피항소인) 주식회사 E: 소프트웨어 개발 및 공급업체로, 피고 D가 공동주택 관리 프로그램을 'K'에서 'M'으로 변경할 때 'M' 프로그램을 제작하여 공급했습니다.
• 피고(피항소인) F: 과거 피고 C의 계약직 직원으로 고지서 인쇄 업무를 담당했으며, 이후 사업자등록을 하고 피고 C, D의 대표이사와 함께 강제집행면탈죄로 유죄 판결을 받은 인물입니다.

분쟁 상황

이 사건은 아파트 입주자인 원고 A가 아파트 관리업체인 피고 B와 전산용역업체인 피고 C, D, E, 그리고 관련 인물 F를 상대로 개인정보 유출로 인한 손해배상을 청구하면서 시작되었습니다. 피고 C는 과거 J 주식회사와의 업무제휴 계약을 위반하여 위약금 100억 원 판결을 받았고, 이후 피고 D와 F는 피고 C의 대표이사와 함께 강제집행면탈죄로 유죄 판결을 받는 등 피고들 간의 복잡한 관계가 있었습니다. 원고 측은 피고 C, D, F가 2020년 3월부터 2022년 4월까지 공동주택관리 프로그램에 무단으로 접속하여 입주자 개인정보 830회를 유출했다고 주장했습니다. 또한 피고 D가 아파트 관리 프로그램을 'K'에서 'M'으로 변경하는 과정에서 피고 B의 서면 동의 없이 개인정보를 피고 E에 제공하여 유출이 발생했으며, 피고 B는 개인정보처리자로서 유출 방지 의무를 위반했다고 주장하며 50만 원의 손해배상을 요구했습니다.

핵심 쟁점

1. 선정당사자에 의해 소송이 제기된 나머지 49명의 선정자들이 적법하게 소송 당사자로 선정되었는지 여부
2. 아파트 공동주택관리 전산 프로그램 접속 및 변경 과정에서 입주민들의 개인정보가 유출되었는지 여부
3. 개인정보 유출이 인정될 경우 피고들에게 이에 대한 손해배상 책임이 있는지 여부

법원의 판단

법원은 제1심판결 중 원고 A를 제외한 나머지 49명의 선정자들에 대한 부분을 취소하고, 이들의 청구 부분을 각하했습니다. 또한 원고 A의 항소를 기각하고 소송 총비용은 원고 A가 부담하도록 결정했습니다.

결론

법원은 원고 A를 제외한 나머지 49명의 선정자들에 대한 당사자 선정 서류가 미비하여 소송 제기가 부적법하다고 판단하여 이들의 청구를 각하했습니다. 원고 A의 개인정보 유출 주장에 대해서는 피고 C, D, F가 전산용역업무와 관련하여 사실상 이해관계를 같이하는 점, 관리비 부과 업무처리 과정에서 필연적으로 개인정보를 열람했는지 불분명한 점, 프로그램 접속 기록만으로는 실제 작업 내용이나 유출 여부를 알 수 없는 점, 공동주택 관리 프로그램 변경이 입주자 개인정보 유출로 보기 어려운 점, 그리고 유사 소송에서 피고의 주의의무 위반이 인정되지 않은 점 등을 종합하여 피고들의 행위로 인해 원고의 개인정보가 유출된 사실을 인정하기에 증거가 부족하다고 보아 원고 A의 청구를 기각했습니다.

연관 법령 및 법리

1. 민사소송법 제58조, 제53조 (선정당사자): 여러 사람이 공동으로 소송을 제기할 때 그 중에서 한 명 또는 여러 명을 선정하여 소송을 수행하게 할 수 있는데 이때 '당사자의 선정 사실은 서면으로 증명'해야 합니다. 이는 선정당사자가 소송을 진행할 정당한 권한이 있음을 명확히 하기 위한 절차입니다. 본 사례에서 법원은 나머지 49명의 선정자들에 대한 이러한 서면 증명이 미비하다고 판단하여 그들의 청구를 각하했습니다. 즉 선정당사자를 통해 소송을 할 때는 선정자의 동의와 위임 여부를 명확히 입증할 수 있는 서류(자필 서면, 신분증 사본, 인감증명서 등)를 반드시 갖추어야 합니다.
2. 개인정보 보호법 제2조 제1호 (개인정보의 정의): 이 조항은 '개인정보'를 '살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 또는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보'로 정의합니다. 이 사건에서 법원은 공동주택관리 프로그램 접속 기록만으로는 입주민들의 개인정보가 이 법에서 정한 의미의 개인정보로서 '유출'되었다고 보기에 증거가 부족하다고 판단했습니다.
3. 대법원 판례 (개인정보 유출의 의미): 대법원 판례(2014. 5. 16. 선고 2011다24555, 24562 판결 등)는 '개인정보의 유출'을 '개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것'으로 정의합니다. 본 사건에서 법원은 피고 C, D, F가 사실상 이해관계를 같이하는 관계였다는 점과 관리 프로그램 변경 과정에서도 개인정보처리자의 관리·통제권을 벗어났다고 단정하기 어렵다는 점 등을 들어 원고가 주장하는 개인정보 유출이 발생했다고 보기 어렵다고 판단했습니다. 즉 단순히 프로그램에 접속했거나 데이터가 이전되었다는 사실만으로는 개인정보가 관리·통제권 밖으로 벗어나 제3자가 인지할 수 있는 상태가 되었다고 보기는 어렵다는 것입니다.

참고 사항

1. 선정당사자 소송 시 서류 준비 철저: 여러 피해자가 공동으로 소송을 제기할 때 선정당사자를 선임하는 경우 선정행위가 있었음을 증명할 수 있는 자필 서면, 신분증 사본, 인감증명서 등 관련 자료를 빠짐없이 준비하고 제출해야 합니다. 이러한 서류가 미비할 경우 소송 자체가 부적법하다고 각하될 수 있습니다.
2. 개인정보 유출 입증의 어려움: 개인정보가 유출되었다고 주장하는 경우 단순한 프로그램 접속 기록이나 시스템 변경 사실만으로는 유출 사실이 인정되기 어렵습니다. 개인정보가 '관리·통제권을 벗어나 제3자가 내용을 알 수 있는 상태'에 이르렀음을 구체적으로 입증할 수 있는 증거 예를 들어 특정 개인정보가 특정 경로로 외부로 유출되거나 부당하게 이용된 정황 등을 제시해야 합니다.
3. 업체 간 관계 및 개인정보 처리 범위 확인: 아파트 관리업체와 전산용역업체 등 여러 관계자가 얽혀있는 경우 이들 업체가 사실상 동일한 이해관계를 가지고 운영되고 있다면 특정 업체가 다른 업체의 프로그램에 접속하거나 정보를 처리했다고 하더라도 그것만으로 곧바로 '제3자에게 유출'로 보지 않을 수 있습니다. 개인정보 처리 위탁 계약 내용과 실제 업무 수행 방식을 면밀히 확인하는 것이 중요합니다.
4. 관련 민사/형사 사건 결과 참고: 유사한 사안으로 진행된 다른 민사 소송이나 형사 사건의 판결 내용은 해당 사안의 판단에 중요한 참고자료가 될 수 있습니다. 만약 과거 동일한 상황에서 개인정보 유출 주장이 기각된 사례가 있다면 소송 제기에 앞서 해당 판결 내용을 충분히 검토해야 합니다.