제3행정부 2023. 11. 2. 선고 <일반>
□ 사안 개요
원고는 초등온라인학습 서비스(‘이 사건 서비스’)를 운영하면서 서비스 이용자 42만여 건의 정보를 수집ㆍ보관하였음. 위 서비스 이용자의 개인정보 23만여 건이 유출되자 피고(개인정보보호위원회)는 원고가 개인정보처리시스템에 대한 접근통제, 시스템 접속기록 보관 및 점검을 소홀히 하였다는 이유로 과징금을 부과함
□ 쟁점
- 원고가 개인정보처리시스템에 대한 접근통제를 소홀히 하였는지(적극)
- 「개인정보 보호법」 위반에 따른 과징금을 부과하기 위하여 접속기록 보관, 점검 소홀 등 같은 법 제29조의 안전조치의무 위반과 개인정보 유출 사이에 인과관계가 있어야 하는지(소극) 및 과징금 부과처분에 기준금액 산출, 필수적 가중 등 재량권을 일탈ㆍ남용한 위법이 있는지(소극)
□ 판단
- 원고는 A법인과 최상단 1차 방화벽 내에서 함께 서비스를 운영하고 DB 접근제어솔루션을 공동 사용하면서, A법인의 서비스 접근 권한을 가진 IP가 이 사건 서비스 DB에 접속할 수 있게 허용함. 그러나 이 사건 서비스의 DB서버 입장에서는 A법인의 네트워크가 실질적으로 외부망에 해당하므로, 여기서 들어오는 트래픽을 필터링하여 개인정보처리시스템에 대한 인가받지 않은 접근을 차단하여야 함에도 원고는 이를 차단하지 않아 개인정보처리시스템에 대한 접근통제를 소홀히 한 것으로 평가할 수 있음
- 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」의 2014. 5. 28. 개정이유, 「개인정보 보호법」의 규정 형식과 내용을 고려하면, 「개인정보 보호법」상 과징금 부과규정은 그 요건으로 서비스제공자의 같은 법 제29조에 따른 안전조치의무 위반행위와 개인정보 유출 사이에 인과관계를 명시적으로 요구하지 않음. 안전조치 의무 위반과 개인정보 유출 사이에 ‘관련성’이 있어야 한다고 보더라도 이 사건에서 관련성이 충분히 인정됨
- ① 개인정보 유출사고와 관련하여 적어도 원고에게 중과실이 있는 점, ② 구 「개인정보보호 법규 위반에 대한 과징금 부과기준」(2022. 10. 20. 개인정보보호위원회 고시 제2022-3호로 개정되기 전의 것) 제5조 제3항 제2호의 ‘정보통신서비스 제공자 등이 보유하고 있는 개인정보’는 서비스제공자 등이 보유한 모든 개인정보가 아니라 위반행위와 관련된 개인정보로 해석해야 하고, 이 사건 서비스와 중ㆍ고등온라인학습 서비스는 별개이므로 피해규모가 원고가 보유한 개인정보의 5% 이내에 불과하다고 할 수 없는 점, ③ 원고의 위반행위는 해커가 A법인의 웹 서버에 웹 셸을 업로드한 때 개시되어 위반기간이 2년을 초과하는 장기인 점, ④ 피해규모가 작지 않고, ⑤ 위반행위와 관련된 서비스의 직전 3개 사업연도의 연평균 매출액이 과징금 액수 결정에 상당한 영향을 미치므로 매출액에 차이가 있는 다른 사안과 단순 비교하기 어려운 점 등을 고려하면, 과징금 부과처분이 재량권을 일탈ㆍ남용하여 위법하다고 볼 수 없음 [항소기각(원고패)]