서울중앙지방법원 2019. 8. 29. 선고 2016가합577585(본소),2017가합523745(반소) 판결 손해배상(기),용역비

카드사 고객정보 유출 사고에 대한 사용자 책임 및 손해배상 범위

카드사 고객정보 유출 사고에 대한 사용자 책임 및 손해배상 범위 결과 요약

• 피고(반소원고)는 원고(반소피고)에게 4,701,254,164원 및 이에 대한 지연손해금을 지급

함.

• 원고(반소피고)의 나머지 본소 청구 및 피고(반소원고)의 반소 청구는 각 기각

됨.

• 소송비용은 본소, 반소를 합하여 10%는 원고(반소피고)가, 90%는 피고(반소원고)가 부담

함. 사실관계

• 근로자는 신용카드 사업을 영위하는 회사이고, 회사는 신용조회 및 신용조 사업무를 영위하는 회사

임.

• 원고와 회사는 2013. 5. 16. FDS(카드사고분석시스템) 리뉴얼 및 현금융통 스코어 리모델링 구축 계약(이하 '해당 계약')을 체결

함.

• 피고 직원 D는 해당 계약에 따른 FDS 개발작업 중 보안프로그램이 설치되지 않은 컴퓨터를 이용하여 원고 회원 약 2,689만 명의 카드고객정보를 복사하여 유출함(이하 '이 사건 정보유출').
• D는 유출한 정보를 다른 사람에게 유출하지 않은 상태에서 2013. 12. 23. 수사기관에 체포되어 정보가 압수

됨.

• 유출된 카드고객정보에는 고객들의 성명, 주민등록번호, 카드번호, 유효기간, 결제계좌번호, 주소, 전화번호 등이 포함

됨.

• 근로자는 정보유출 인지 후 사과문 게재, 정보 유출 여부 확인 서비스, 콜센터 운영 연장, 피해사실 신고센터 운영 등 조치를 취

함.

• 금융위원회는 2014. 2. 16. 근로자에게 업무 일부정지 3개월 및 과태료 600만 원 부과 처분을

함.

• D는 다른 카드고객정보 유출 범행으로 기소되어 2014. 1. 8. 창원지방법원에 재판이 계속 중이던 2014. 2. 25. F의 사무실에서 카드고객정보가 담긴 하드디스크가 압수됨에 따라 2010. 4.경 근로자의 카드고객정보 유출 범행을 인정

함.

• D는 근로자를 포함한 G, H의 고객정보 유출 등으로 정보통신망이용촉진등정보보호등에관한법률위반, 신용정보의이용및보호에관한법률위반 등 혐의로 기소되어 징역 3년이 확정

됨.

• D의 고객정보 유출 범행으로 개인정보가 유출된 카드회사 고객들은 원고, 피고, G, H을 상대로 손해배상 소송을 제기하였고, 법원은 근로자를 포함한 카드회사들의 과실 및 회사의 사용자책임을 일부 인정하는 판결을 선고

함.

• 금융위원회는 2014. 12. 24. 회사에게 업무목적 외 개인신용정보 누설, 임직원 보안교육 소홀, 전산통제 부적정을 이유로 업무 일부정지 처분을 하였고, 회사의 처분 취소 소송은 기각되어 확정

됨. 핵심 쟁점, 법리 및 법원의 판단

1. 회사의 사용자책임 성립 여부

• 법리: 민법 제756조에 규정된 '사무집행에 관하여'는 피용자의 불법행위가 외형상 객관적으로 사용자의 사업활동 내지 사무집행 행위 또는 그와 관련된 것으로 보일 때 주관적 사정을 고려함이 없이 이를 사무집행에 관하여 한 행위로

봄. 외형상 객관적으로 사용자의 사무집행에 관련된 것인지는 피용자의 본래 직무와 불법행위의 관련 정도 및 사용자에게 손해발생에 대한 위험 창출과 방지조치 결여의 책임이 어느 정도 있는지를 고려하여 판단

함. 사용자나 그에 갈음하여 사무를 감독하는 자는 피용자의 선임과 사무 감독에 상당한 주의를 하였거나 상당한 주의를 하여도 손해가 있을 경우에는 손해배상의 책임이 없으나, 이러한 사정은 사용자 등이 주장 및 입증해야