General Corporate

기업의 개인정보 유출과 손해배상이라는 위험

2023.11.27

2024.03.18

기업 경영에 둘러싸인 위험에는 경영 위기, 기업 측의 안전 고려 의무 위반에 의한 사고 등이 있지만, 최근에는 개인 정보의 유출과 그로 인한 손해 배상 위험도 큰 문제가 되고 있습니다.

도쿄 상공 리서치는 2019년에 상장 기업과 그 자회사에서 개인 정보의 유출·분실 사고를 공개한 것은 66개사, 사고 건수는 86건, 유출된 개인 정보는 9,031,734명분에 달했다고 보고하고 있습니다. 이에 미상장 기업이나 해외 기업, 공공기관·자치단체·학교 등을 더하면, 천문학적인 수로 부풀어 오를 가능성도 있습니다.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

개인 정보의 유출·분실 사고 중에서, 과거 최대의 것은 여전히 2014년 7월에 발각된 베네세 홀딩스(베네세 코퍼레이션)의 위탁사 직원에 의한 고객 정보의 부정 취득으로 개인 정보 35,040,000명분이 유출된 것이지만, 2019년에 이 사건을 둘러싼 재판에서 새로운 전개가 보여졌습니다.
베네세의 문제를 정리하면서, 기업의 개인 정보 유출과 손해 배상이라는 위험에 대해 생각해봅니다.

베네세 개인정보 유출 사건이란

기업의 개인정보 유출과 손해배상 위험 — 2014년 6월경 발생한 베네세 개인정보 유출 사건은 기억에 새로운 사건입니다.

2014년 6월경, 베네세의 고객들에게 통신 교육 ‘저스트시스템’사로부터 다이렉트 메일이 도착하기 시작하였고, 베네세에만 등록된 개인정보를 사용하고 있는 것이 아닌가, 베네세로부터 개인정보가 유출되고 있는 것이 아닌가라는 문의가 급증하였습니다.

6월 27일에 베네세는 사내 조사를 시작하였고, 같은 달 30일에는 경찰과 경제산업성에 보고하였으며, 7월 9일에 기자회견을 열어 진학세미 등에서 아이들과 보호자들의 성명, 주소, 전화번호, 성별, 생년월일 등의 개인정보가 유출되었다고 발표하였습니다.

7월 17일, 베네세 관련 회사에서 고객 정보 관리를 맡고 있던 신폼사가 재위탁한 업체로부터 파견된 39세의 시스템 엔지니어가 데이터베이스 시스템의 관리를 담당하고 있었으며, 고객 정보에 접근할 권한이 있었던 이 엔지니어가 개인정보를 가지고 나가 명부업자에게 판매하였다는 이유로 체포되었습니다.

9월이 되어 베네세는 기자회견을 열고, 고객 정보 유출 건수를 3504만 건으로 공개하였으며, 이미 개인정보 유출 피해자에게 보상으로 200억 엔의 원금을 준비하고 있었지만, 다시 한번, 유출이 확인된 고객들에게 사과문을 보내고, 고객들의 선택에 따라, 500엔 분의 상품권(전자머니 선물 또는 전국 공용 도서카드)을 보내거나, 유출 1건당 500엔을 이번 유출로 인해 아이들에게 지원 등을 목적으로 설립한 재단법인 베네세 어린이 기금에 기부하는 방식의 보상을 실시하겠다고 발표하였습니다.

이에 대해, 피해자 일부에 의해, 여러 변호사단이 결성되어 집단 소송이 제기되었으나, 2019년에 이에 관한 몇 가지 움직임이 있었습니다. 또한, 형사 사건으로서는, 개인정보를 가지고 나갔다는 이유로, 부정 경쟁 방지법 위반(영업비밀의 복제, 공개)으로 문제되었던 시스템 엔지니어에 대한 형사 재판에서는, 2017년 3월 21일 도쿄 고등법원 판결로, 징역 2년 6개월, 벌금 300만 엔의 집행유예 없는 실형 판결이 확정되었습니다.

대법원의 판단과 재판을 돌려보내는 항소심

남성과 아이의 이름, 주소, 전화번호 등이 유출되어 정신적 고통을 받았다며, 남성이 개인적으로 위로금 10만엔을 베네세에 요구한 소송에서, 대법원은 원심인 오사카 고등법원 판결을 파기하고, 심리를 충분히 하지 않았다며, 재판을 돌려보냈습니다.

재판을 돌려보내기 전의 1심인 고베 지방법원 히메지 지원은 2015년 12월 2일, 베네세가 관리하는 남성의 이름이 유출된 것을 논란의 여지 없는 사실로 인정한 후, 이것이 베네세의 과실에 의한 것이라는 것을 입증할 충분한 구체적 사정의 주장 증명이 없다며, 남성의 청구를 기각했습니다.

이에 대해, 남성이 항소한 항소심(오사카 고등법원 2016년 6월 29일 판결)은, 피항소인이 관리하는 항소인의 아이의 이름, 성별, 생년월일, 우편번호, 주소, 전화번호, 보호자 이름(항소인의 이름)이 유출된 것을 인정하고, 이를 바탕으로, 항소인의 이름, 우편번호, 주소, 전화번호 및 그 가족의 이름, 성별, 생년월일 등 항소인 자신의 개인정보가 유출된 것으로 볼 수 있다고 판단한 후, 위의 항소인의 개인정보의 유출은, 일반적인 감각에 비추어, 불쾌감뿐만 아니라 불안을 느낄 수 있는 것이라고 인정하면서도, 그런 불쾌감 등을 느꼈다고 해서, 이를 침해된 이익으로서, 즉시 손해배상을 요구할 수 있는 것은 아니라고 해석하고, 위의 불쾌감 등을 초과하는 손해를 입었다는 주장 증명이 없는 것을 이유로 항소를 기각했습니다.

대법원의 판단

항소인이, 이에 대해 상고수리를 청구한 결과, 대법원은 이를 수리한 후, 본 사건 유출로 인해 항소인의 프라이버시가 침해되었다고 할 수 있는데, 오사카 고등법원은 프라이버시의 침해로 인한 항소인의 정신적 손해의 유무 및 그 정도 등에 대해 충분히 심리하지 않고, 불쾌감 등을 초과하는 손해의 발생에 대한 주장 증명이 이루어지지 않았다는 것만으로 즉시 항소인의 청구를 기각해야 한다고 한 것이며, 그런 원심의 판단은, 불법행위에서의 손해에 관한 법률의 해석 적용을 잘못하여 위의 점에 대해 심리를 충분히 하지 않아 불법이라고 판단하고, 원판결을 파기하고, 피항소인의 과실의 유무 및 항소인의 정신적 손해의 유무 및 그 정도 등에 대해 추가로 심리하도록, 본 사건을 고등법원에 돌려보냈습니다(대법원 2017년 10월 23일 판결).

https://monolith.law/reputation/privacy-invasion[ja]

재판을 돌려보내는 항소심의 판단

재판을 돌려보내는 심에서 오사카 고등법원(2019년 11월 20일 판결)은, 본 사건 직원은, MTP에 대응한 스마트폰을 업무용 컴퓨터의 USB 포트에 USB 케이블을 사용하여 연결하고 MTP 통신으로 데이터를 전송하는 방법으로, 개인정보를 부정하게 획득하여 명부업자에게 판매했는데, 신폼사는 MTP 대응 스마트폰을 위의 사무실 내에 가져와, 본 사건 개인정보에 접근하지 않도록 하는 등 적절한 조치를 취해야 하는 주의의무를 다하지 않아 과실이 있고, 베네세는, 관리하는 해당 개인정보의 이용을 인정한 신폼사에 대한 적절한 감독의무를 위반한 결과, 직원에 의한 유출을 발생시킨 것으로 인정되므로, 이로 인해 발생한 손해에 대해 불법행위 책임을 지는 것으로, 2사의 공동 불법행위에 해당한다(민법 719조 1항 전단)고 했습니다.

그리고, 개인정보보호법 22조의 ‘개인정보 취급 사업자는, 개인 데이터의 취급의 전부 또는 일부를 위탁하는 경우, 그 취급을 위탁받은 개인 데이터의 안전 관리가 이루어지도록, 위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다’는 규정에 반하고, 프라이버시를 침해당했다고 인정하면서도, 항소인의 주소, 이름, 전화번호는 홈페이지 등에서 공개되었던 사실 등을 고려하여, 손해배상금으로서 1000엔의 지급을 명령했습니다.

이 판결은, 베네세의 배상 책임을 인정한 3번째 사례입니다. 본문의 시작에서 ‘2019년에 이 사건을 둘러싼 재판의 몇 가지에서, 새로운 전개가 보였습니다’라고 썼는데, 베네세의 배상 책임을 인정한 3개의 판결이 모두 2019년에 내려졌습니다.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

베네세의 책임을 인정한 최초의 판례

1심 판결

베네세가 자신과 아내, 아들의 개인정보를 외부에 유출시킨 것으로 인해, 정신적 고통을 겪었다고 주장하며 불법행위에 기초해, 남성이 위로금 지급을 청구한 항소심 판결에서, 처음으로 베네세의 책임이 인정되었습니다.

1심(요코하마 지방법원 2017년 2월 16일 판결)에서는 베네세의 주의의무 위반을 인정했지만, 개인 데이터의 취급 상황을 파악하는 의무에 위반했다고 인정할 만한 구체적인 사실의 입증이 없다고 판단하여, 베네세에 대한 청구를 기각했기 때문에, 남성 등이 항소하였습니다.

1심에서는, 베네세가 경제산업대신부로부터 ‘일본 개인정보보호법’ 제20조 및 제22조의 의무를 게을리하고, 본 사건 정보 유출을 발생시킨 것으로 인해 동법 제34조 제1항의 규정에 따른 권고를 받았지만, 동조항에 따른 권고는 개인의 권리이익을 보호하기 위해 필요하다고 인정될 때 이루어지는 것이며, 정보 유출 발생 시점의 결과 예견 의무나 결과 회피 의무의 존재나 그 위반을 요건으로 하는 것이 아니므로, 그 권고가 이루어진 것만으로는, 본 사건 정보 유출 발생 시점에서 베네세에 ‘일본 민법’ 제709조의 과실이 있었다고 인정하기에는 부족하다고 판시하였습니다.

항소심 판결

이에 대해, 항소심인 도쿄 고등법원(2019년 6월 27일 판결)은, 고도의 지식을 적용하거나, 특수한 기술을 활용하여 이루어진 것이 아니라, 단지, 충전을 위해 스마트폰을 시중에서 판매하는 USB 케이블로 업무용 컴퓨터에 연결했을 때, 데이터 전송이 가능했던 것에서 착안하여 실행된 단순한 범죄라는 사실을 전제로, 신폼사에는 MTP 호환 스마트폰에 대한 쓰기 제어 조치를 취해야 할 주의의무가 있었음에도 이를 게을렸던 과실이 있었다고 인정되고, 대량의 개인정보의 운영 관리를 위탁하고 있던 베네세에는, 유출 당시, 개인정보의 관리에 대해 위탁처에 대한 적절한 감독을 해야 할 주의의무가 있었음에도 이를 게을렸던 과실이 있었다고 인정되어, 두 회사에 의한 이러한 불법행위는 공동 불법행위(‘일본 민법’ 제719조 제1항 전단)에 해당한다고 하였습니다.

그리고 “항소인들이 이들 본 사건 개인정보에 대해, 자신이 원하지 않는 타인에게는 함부로 공개되지 않기를 원하는 것은 당연한 것이므로, 본 사건 개인정보는 항소인들의 프라이버시에 관련된 정보로서 법적 보호의 대상이 되는 것이며, 본 사건 유출로 인해, 항소인 선정자들은 그들의 프라이버시를 침해당했다고 해야 한다”고 주장하고, 그 위에, 유출의 발각 후 즉시 대응을 시작하고, 정보 유출의 피해 확대를 방지하는 수단을 취하고, 감독 기관에 대한 보고 및 지시에 따른 조사 보고를 수행했다. 또한, 정보가 유출된 것으로 생각되는 고객에게 사과문을 발송하고, 선택에 따라 500엔 상당의 상품권을 배포하는 등의 조치를 취하고 있으며, 항소인들도 각각 전자머니 기프트 500엔분을 수령하고 있는 것을 고려하여, 베네세에게 각각 2000엔의 손해배상금을 지급하도록 명령하였습니다.

베네세의 책임을 인정한 두 번째 판례

고객 13명이 동사와 관련 회사에 총 980,000엔의 손해배상을 청구한 소송의 판결이 2019년 9월 6일(2019년)에 도쿄지방법원에서 있었고, 베네세와 신폼사에게 1인당 3,000엔(1인은 3,300엔), 총 42,300엔의 지급이 명령되었습니다.

법원은, 원고들이 요구한 베네세의 신폼사에 대한 위탁자 책임을 다른 법인이라고 하여 인정하지 않았지만, 신폼사는 보안 소프트웨어의 설정을 재검토하지 않고, 그 결과로 업무용 컴퓨터에서 MTP 호환 스마트폰으로 데이터 전송이 가능해졌으므로, 정보 출력 제어 조치 의무를 위반한 과실이 있었다고 말해야 하며, 베네세는 본 사건 시스템의 개발 등을 위해 대량의 고객 정보 처리를 위탁하면서, 원고들을 포함한 고객 등에 대해서도, 신의 원칙에 따라 위탁처 선정 감독 의무를 부담해야 한다고 말해야 한다고 판단하여, 공동 불법 행위(일본민법 719조 1항 전단)를 인정하고, 연대하여 원고들에게 손해배상금을 지급하라고 명령했습니다.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

이 판결에서도, 개인정보보호법 22조에 “개인정보 처리 사업자는, 개인 데이터의 처리 전부 또는 일부를 위탁하는 경우, 그 처리를 위탁받은 개인 데이터의 안전 관리가 이루어지도록, 위탁을 받은 자에 대한 필요하고 적절한 감독을 실시해야 한다.”라는 규정이 인용되었고, 또한 헤이세이 21년(2009년) 경제산업성 가이드라인의 ‘필요하고 적절한 감독’에는 위탁처를 적절하게 선정하는 것, 위탁처에 개인정보보호법 20조에 따른 안전 관리 조치를 준수하도록 필요한 계약을 체결하는 것, 위탁처에서 위탁받은 개인 데이터의 처리 상황을 파악하는 것이 포함되어 있다는 기록이 있다는 것이 지적되었습니다.

요약

베네세는 처음에 피해자에 대한 보상으로 200억 엔의 원금을 준비하고 있었지만, 이것은 부족하게 되었습니다. 2014년 11월에는 일본 정보경제사회진흥협회가 베네세 홀딩스가 획득하고 있던 개인정보를 적절하게 관리하는 기업에 부여되는 ‘프라이버시 마크’를 취소하였습니다. 2015년 4월의 ‘신연세미’와 ‘어린이 챌린지’의 회원 수는 271만명으로 전년 동월 대비 94만명 감소하였고, 4~6월 분기의 연결 결산은 매출이 전년 동기 대비 7% 감소, 영업 이익이 동 88% 감소하여, 영업 손익은 전년 동기의 39억 1천만 엔의 흑자에서 4억 3천만 엔의 적자가 되었습니다. 개인정보 유출에 따른 손해배상 위험은 기업에게 생사의 문제가 될 수 있습니다.

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag: General Corporate Personal Information Protection

기업의 개인정보 유출과 손해배상이라는 위험

베네세 개인정보 유출 사건이란