행정
항공권 판매업을 하는 회사가 고객관리 시스템에서 16,000여 명의 개인정보, 특히 13,000여 명의 주민등록번호를 유출한 사실이 드러나 개인정보 보호위원회로부터 과징금을 부과받았습니다. 회사는 법 위반 사실은 인정했지만 시정조치 이행, 추가 피해 없음, 코로나19로 인한 매출 급감 등을 이유로 과징금 취소 또는 감경을 요청했으나 법원은 과징금 부과 처분이 적법하다고 판단하여 회사 측의 청구를 기각했습니다.
항공권 판매업체인 주식회사 A는 고객관리 시스템에서 이름, 주민등록번호, 연락처 등 총 16,229명의 개인정보가 유출되는 사고를 겪었습니다. 이에 개인정보 보호위원회는 주식회사 A가 고유식별정보의 안전성 확보 조치를 제대로 이행하지 않아 주민등록번호를 유출했다는 이유로 24,375,000원의 과징금을 부과했습니다. 주식회사 A는 법 위반 사실은 인정하면서도 시정조치를 모두 이행했고 개인정보 유출로 인한 추가적인 피해가 없었으며, 특히 코로나19 사태로 인해 매출이 급감하여 현재의 과징금을 감당하기 어렵다는 점을 들어 과징금 취소 또는 감경을 요구하며 소송을 제기했습니다.
개인정보 유출로 인한 과징금 부과 처분이 재량권의 범위를 넘어섰는지 여부, 즉 과징금 액수가 회사의 현실적 부담 능력이나 위반 행위의 경중 등을 고려할 때 과도한지에 대한 판단입니다.
법원은 원고 주식회사 A의 청구를 기각하고, 과징금 부과 처분이 적법하다고 판결했습니다. 소송비용은 원고가 부담하도록 했습니다.
법원은 피고 개인정보 보호위원회가 구 개인정보 보호법 및 시행령에 따라 과징금을 적절하게 산정했으며, 회사의 매출 감소나 소상공인이라는 점 등은 이미 과징금 산정 과정에서 최대한 감경 요인으로 고려되었으므로, 재량권을 일탈하거나 남용한 것으로 볼 수 없다고 결론 내렸습니다.
이 사건은 주로 '구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것)' 및 '구 개인정보 보호법 시행령(2020. 8. 4. 대통령령 제30892호로 개정되기 전의 것)'의 적용을 받았습니다.
구 개인정보 보호법 제34조의2 제1항: 개인정보처리자가 처리하는 주민등록번호가 분실, 도난, 유출, 위조, 변조 또는 훼손된 경우 5억 원 이하의 과징금을 부과할 수 있습니다. 다만, 안전성 확보에 필요한 조치를 다한 경우에는 예외가 됩니다. 이는 주민등록번호와 같은 고유식별정보의 보호를 매우 중요하게 여기는 법의 취지를 반영합니다.
구 개인정보 보호법 제24조 제3항: 개인정보처리자가 고유식별정보를 처리할 때는 암호화 등 안전성 확보에 필요한 조치를 취해야 할 의무를 명시합니다. 이 사건 원고는 고유식별정보 암호화 미조치, 개인정보취급자 접근권한 관리 미흡, 안전한 비밀번호 작성 규칙 미적용 등 여러 안전성 확보 의무를 위반했습니다.
구 개인정보 보호법 제34조의2 제2항: 과징금을 부과할 때 고려해야 할 사항으로 '안전성 확보 조치 이행 노력 정도', '유출된 주민등록번호의 정도', '피해확산 방지를 위한 후속조치 이행 여부' 등을 규정합니다. 이는 과징금 산정이 단순히 유출 사실에 그치지 않고 사후 노력까지 반영해야 함을 의미합니다.
구 개인정보 보호법 시행령 제40조의2 제1항 및 [별표 1의2]: 과징금의 구체적인 부과 기준을 정하고 있습니다. 이는 '기본 산정기준(유출 건수, 과실 정도)', '1차 조정(안전성 확보 노력, 피해확산 방지 조치)', '2차 조정(위반 기간 및 횟수, 조사 협조 여부, 추가 피해 여부, 평소 보호 노력)', 그리고 마지막으로 '부과과징금 산정(현실적 부담 능력, 위반으로 인한 이익 등)' 단계를 거쳐 최종 과징금이 결정됩니다. 이 사건에서는 피고가 이 기준에 따라 산정기준액 1억 원에서 가중 및 감경 요인을 적용하여 최종 24,375,000원을 부과했으며, 법원은 이 과정이 적법하다고 보았습니다.
개인정보의 안전성 확보조치 기준(행정안전부 고시): 시행령의 위임을 받아 고유식별정보의 암호화, 접근 권한 관리, 접속 기록 보관 및 점검 등 세부적인 안전성 확보 조치 기준을 규정합니다. 원고의 위반 내용은 이 고시의 여러 조항에 해당되었습니다.
개인정보처리자는 고객의 고유식별정보(주민등록번호 등)를 처리할 때 반드시 암호화, 접근권한 관리, 접속기록 보관 및 점검 등 개인정보 보호법령에서 요구하는 안전성 확보 조치를 철저히 이행해야 합니다. 만약 개인정보 유출 사고가 발생하더라도 피해 확산을 방지하기 위한 신속하고 적절한 후속 조치를 취하는 것이 중요하며, 이는 과징금 감경의 중요한 요인이 될 수 있습니다. 과징금은 단순히 매출액이나 회사의 재정 상태만으로 결정되는 것이 아니라, 유출된 정보의 종류와 양, 안전성 확보 조치 이행 노력, 피해 확산 방지 노력 등 여러 기준에 따라 종합적으로 산정됩니다. 행정기관은 기업의 현실적 부담 능력을 고려하여 과징금 납부기한 연장이나 징수 유예 등의 조치를 취할 수 있으므로, 재정적 어려움이 있다면 이러한 제도 활용을 검토할 수 있습니다.
