개인정보보호, 소프트웨어 정책
카드사 개인정보유출에 대한 2016. 2. 5.자 서울중앙지방법원 판결 요지
원고의 청구 금액
– 각 카드사와 코리아크레딧뷰로(이하 ‘KCB’)는 연대하여 60만 원 지급
판결
– 개인정보의 2차 유출이 인정된 경우 10만 원의 배상책임을 인정함
판결의 주요 시사점
– 신용카드업을 주된 업무로 하는 카드사와 고객 간의 관계에 정보통신망법이 적용될 수 있다고 판단함
– 아래와 같은 사유로 카드 3사의 개인정보 처리가 위법하다고 판단함
1. 개인정보처리 위·수탁시, 수탁사의 안전성 확보조치 의무에 대하여 문서로써 정하지 않은 점
2. 고유식별정보를 암호화하지 않은 점
3. 테스트 목적으로 이용자의 실제 개인정보를 사용하면서, 이를 변환하여 사용하거나 테스트 종료시 즉시 파기하지 않은 점
4. 안전성 조치에 따른 접근통제가 미비한 점
5. 안전성 조치에 관한 내부 지침을 마련한 것으로는 부족하고, 수탁사가 지침을 준수하고 있는지 관리·감독하는 조치를 수반하여야 함에도 관리·감독의무를 다하지 않은 점– 수탁사의 안전성확보조치 의무가 실효성 있게 운영될 수 있도록 관련 문서를 새로운 법규정에 맞추어 정비하고, 정기적 점검 프로세스를 갖추는 것이 더욱 중요해졌다고 볼 수 있음