고객 정보 등 기밀 정보가 익명 게시판에서 유출! 삭제나 게시자 특정 방법
회사 내에서 관리하고 있는 기밀 정보, 예를 들어 고객에 관한 개인 정보 등이 인터넷 상의 게시판 등에 유출되는 것은, 당연히, 회사에게는 간과할 수 없는 상황입니다. 이러한 정보 유출이 발생했을 경우, 신속하게 해당 정보를 삭제하고, 필요에 따라 유출을 한 범인을 특정하고 싶어질 것입니다.
그러나, 이러한 삭제나 게시자 특정은, 당연히 할 수 있는 것이 아닙니다. 아래에서 설명하겠지만, 삭제나 게시자 특정은,
해당 사실이 기재되었음으로 인해, 회사의 ‘어떠한 권리’가 침해되었다
라고 말할 수 없다면 실현할 수 없다는 것이 법률의 전제이며, ‘기밀 정보가 기재되면 어떤 권리가 침해되었다고 말할 수 있는가’라는 것은 상당히 어려운 문제이기 때문입니다.
유출된 정보의 삭제나 게시자 특정은, 이와 같이 난이도가 높은, 전문적인 업무이지만, 저희 사무소에서는 이러한 경우에 삭제 및 게시자 특정(IP 주소 공개)에 성공하고 있습니다.
삭제 및 게시자 식별에는 ‘일정한 권리’의 침해가 필요하다
먼저, 삭제나 게시자 식별을 수행하려면 다음과 같은 논리가 필요합니다.
- 해당 정보가 게시되어 있음으로써 회사의 ‘일정한 권리’가 침해되었으므로, 삭제가 인정되어야 한다
- 해당 정보가 게시되어 있음으로써 회사의 ‘일정한 권리’가 침해되었으므로, (프로페셔널 책임법의 규정에 따라) 게시자에 대한 정보 공개가 인정되어야 한다
즉, 어느 쪽이든 ‘일정한 권리’가 침해되었다는 주장이 필요하다는 것입니다.
이 ‘일정한 권리’의 전형적인 예는 명예권(명예훼손)입니다. 예를 들어, “○○라는 회사는 재무조정을 행하고 있다”라고 쓰여진 경우, “그 기록은 회사가 범죄 행위를 저질렀다고 말하고 있으며, 그렇게 말하면 회사는 사회적 평가가 떨어지게 된다(법률 용어로는 ‘사회적 평가가 하락’한다)하며, 그리고 재무조정을 행한 등의 사실은 없다”라고 말할 수 있으므로, ‘명예권’의 침해가 있다고 할 수 있습니다.
https://monolith.law/reputation/defamation[ja]
또한, 프라이버시 권리도 ‘전형적인’ 예 중 하나입니다. 특정 개인의 연애 상황 등에 대한 정보가 기재된 경우, 그 개인은 프라이버시 침해를 주장할 수 있습니다.
https://monolith.law/reputation/privacy-invasion[ja]
기밀 정보 유출, 명예훼손·개인정보 보호권 침해인가?
그렇다면, 기밀 정보, 예를 들어 고객 정보가 유출되었을 경우 어떤 권리가 침해되었다고 말할 수 있을까요?
명예훼손을 주장하는 것은 상당히 어렵습니다. “고객 정보 유출을 일으켰다”고 생각되면 “사회적 평가”가 떨어질 수 있지만, “유출되었다”는 것은 불행하게도 사실이므로, 명예훼손이 성립하지 않습니다.
개인정보 보호권 침해를 주장하는 것도 어렵습니다. 확실히, 정보 유출 피해를 입은 고객 입장에서 보면 “해당 개인이 그 회사의 고객이다”라는 정보나, 자신의 주소와 성명 등의 정보에 대해 개인정보 보호권 침해를 주장할 여지는 있습니다. 그러나, 그 침해를 주장할 수 있는 것은 결국 고객이며, 회사가 고객 대신 개인정보 보호권 침해를 주장하는 것은 불가능합니다. 즉,
- 회사가 해당 고객에게 정보 유출 발생을 알리고, 해당 고객이 변호사에게 의뢰를 하고, 변호사는 해당 고객의 위임장을 사용하여 개인정보 보호권 침해를 주장하고 삭제 등을 진행하고, 그 후 회사가 변호사 비용 상당액 등을 고객에게 배상하는… 이런 것은 가능
- 회사가 변호사에게 의뢰를 하고, 변호사는 회사의 위임장을 사용하여 회사의 개인정보 보호권 침해를 주장하고 삭제 등을 진행하는… 이런 것은 불가능
이라는 상황이 됩니다.
「영업권 또는 업무수행권」의 침해란
저희 법률사무소가 맡은 사건은 소위 고객 정보의 유출이었습니다. 어떤 회사의 고객 정보가 익명 게시판에, 아마도 내부 인사에 의해 유출되었다는 사건입니다.
저희 법률사무소는 ‘영업권 또는 업무수행권’의 침해를 주장하였습니다.
영업권 또는 업무수행권이란, 회사가 업무를 수행하는 권리이며, 이는 회사의 재산권·직원의 노동행위에 의해 구성되는 것이며, 법인의 업무에 종사하는 자의 인격권을 포함하는 권리라고 설명됩니다. 어려운 표현이지만,
- 이윤 추구 기업이 업무를 수행하는 것은 기본적으로 단순한 경제행위이며, 당연히 법률상으로 보호받는 것은 아니다
- 그러나 그 핵심 부분은 구체적인 직원의 ‘인격권’이며, 일정 수준 이상의 침해가 있을 경우에는 법률상 보호할 가치가 있다
라는 의미입니다. 과거의 판례에서는,
법인에 대한 행위에 대해, ①해당 행위가 권리행사로서의 적정성을 초과하고, ②법인의 자산의 본래 예정된 이용을 현저히 해하며, 또한, 이들 직원에게 인내 한계를 초과하는 혼란·불쾌를 주고, ③’업무’에 미치는 지장의 정도가 현저하며, 사후적인 손해배상에서 해당 법인에게 회복의 어려움이 있는 중대한 손해가 발생한다고 인정되는 경우에는, 이 행위는 ‘업무수행권’에 대한 불법적인 방해행위로 평가할 수 있으며, 해당 법인은, 해당 방해의 행위자에 대해, ‘업무수행권’에 기초하여, 해당 방해행위의 중단을 청구할 수 있다
도쿄고등법원 결정 헤이세이 20년(2008년)(라)제181호
등으로 판단되었습니다.
그래서 이 사건에서도,
- 해당 고객 정보가 회사 내에서 비밀 정보로 엄격하게 다루어지고 있는 것
- 해당 고객 정보가 다른 사이트에 전재되는 등 유출이 확대되면, 회사의 사회적 신용이 현저히 하락하고, 이로 인해 고객에게 부담을 주게 될 가능성이 있는 손해배상액은 예상이 어려울 정도로 고액이 될 가능성이 있는 것
- 위와 같은 상황이 발생한 경우, 회사의 직원의 업무수행에 관한 불이익이 심각해질 것
이라는 사실을 증거와 함께 구체적으로 제시하고, 영업권 또는 업무수행권의 침해를 주장하였습니다. 또한, 1은 소위 부정경쟁방지법상의 영업비밀에 가까운 개념입니다. 그러나, 이 글에서는 자세한 내용은 생략하겠지만, ‘부정경쟁방지법상의 영업비밀에 해당한다’고 해도, 당연히 삭제나 게시자 식별이 인정되는 것은 아닙니다.
https://monolith.law/corporate/trade-secrets-unfair-competition-prevention-act[ja]
요약
해당 사건에서, 저희 법률사무소는 위와 같이 ‘영업권 또는 업무수행권’의 침해를 주장하였고, 판사는 이를 인정하여,
- 해당 기사의 삭제
- 해당 기사의 게시자에 대한 IP 주소의 공개
를 인정하였습니다.
그러나, 원칙적으로, 기밀 정보가 유출된 모든 경우에 ‘영업권 또는 업무수행권’의 침해를 주장해야 하는지에 대해서는 명확히 말할 수 없습니다. 삭제나 게시자 식별을 위해서는 ‘어떠한 권리’의 침해를 주장하면 되며, 경우에 따라 다른 권리를 주장해야 하는(그것이 증거 수집을 용이하게 하고, 법원도 ‘불법’으로 인정하기 쉬운) 경우도 있기 때문입니다. 구체적인 사례에서 어떤 권리를 주장해야 하는지는, 바로, 이러한 사례를 많이 다루고 있는 변호사가 판단해야 하는 고도의 법률론입니다.
또한, 가령 ‘영업권 또는 업무수행권’의 침해를 주장한다고 해도, 특정 사례에서 어떤 사실이나 증거를 수집해야 하는지에 대해서도 고도의 법적 판단이 필요합니다.
기밀 정보의 유출이 발생한 경우, 가능한 한 빨리 해당 정보를 삭제해야 합니다. 인터넷에 한 번 나온 정보는 방치하면 다른 사이트 등에 전재되어 피해가 확대될 위험이 있기 때문입니다.
더욱이, 일반론으로서, 게시자 식별은 엄격한 시간 제한과의 싸움입니다.
https://monolith.law/reputation/prescription-of-defamation[ja]
기밀 정보가 유출된 경우에는, 위와 같은 고도의 판단을 신속하게 실시하고, 적절한 방법으로 삭제나 게시자 식별을 진행해야 합니다.
Category: Internet
