[법무법인 민후 김도윤 변호사] 퇴사자가 재직 당시 관리하였던 고객의 개인정보를 퇴사 이후 외부에 유출한 경우, 개인정보 유출행위를 한 퇴사자만이 그 책임을 지는 걸까?

기업은 고객 개인정보에 관하여 개인정보처리자이고, 기업의 임직원은 개인정보취급자에 해당한다. 개인정보 보호법상 개인정보처리자는 개인정보가 안전하게 관리될 수 있도록 개인정보취급자를 적절히 관리·감독하여야 하고, 정기적으로 필요한 교육을 실시하여야 하는 의무를 진다(개인정보 보호법 제28조). 뿐만 아니라 개인정보가 유출되지 않도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적·관리적·물리적 조치를 해야 할 안전조치의무도 진다(개인정보 보호법 제29조).

이처럼 기업이 개인정보 유출행위를 한 것이 아니라고 하여도 아무런 책임을 지지 않는 것은 아니고, 개인정보처리자이므로 그에 상응하는 개인정보 보호법상 책임을 지게 되며, 그러한 책임에는 손해배상책임, 과징금 등이 있다(개인정보 보호법 제39조, 제39조의2, 제64조의2).

물론 기업이 개인정보 유출에 고의 또는 과실(또는 중대한 과실)이 없음을 증명하거나 개인정보가 유출되지 않도록 개인정보 보호법 제29조에 따른 안전성 확보 조치를 다한 경우에는 손해배상 및 과징금으로 면책될 가능성이 있고(개인정보 보호법 제39조 제3항 단서, 제39조의2 제1항 단서, 제64조의2 제1항 제9호), 손해배상책임의 경우 개인정보처리자가 정보주체의 개인정보 유출 후 해당 개인정보를 회수하기 위하여 노력한 정도, 정보주체의 피해구제를 위하여 노력한 정도가 배상액 산정시 고려되며(개인정보 보호법 제39조 제4항), 과징금의 경우 개인정보 유출 행위와의 관련성 및 유출의 규모, 피해의 회복 및 피해 확산 방지 조치의 이행 여부 등이 과징금액 산정시 고려되므로(개인정보 보호법 제64조의2 제4항), 기업은 개인정보처리자로서 취하여야 할 조치가 있다면 이를 다하여야 할 것이다.

그럼에도 불구하고 고객 개인정보 유출사건이 발생한 경우 기업은 어떻게 대처해야 할까?

기업이 퇴사자로부터 사과 내지 서약서를 받고 고객 개인정보 유출사건을 더 이상 문제삼지 않고자 하더라도 고객 개인정보 유출사건은 단순히 기업이 용인한 것만으로 치유되지는 않으므로 기업은 신속하게 적절한 대처를 하여야 한다.

개인정보 보호법은 개인정보처리자가 개인정보 유출을 알게 되었을 때에는 지체 없이 해당 정보주체에게 ① 유출된 개인정보 항목, ② 유출된 시점과 그 경위, ③ 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보, ④ 개인정보처리자의 대응조치 및 피해 구제절차, ⑤ 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처를 알려야 하는 통지의무를 규정하고 있다(개인정보 보호법 제34조 제1항). 이러한 통지의무는 유출된 개인정보의 수량, 종류, 시기 등을 따지지 않으므로 단 1건의 개인정보가 유출되었더라도 해당 정보주체에게 그 사실을 통지해야 한다(「개인정보 보호 법령 및 지침·고시 해설」 354면 참조).

만약 개인정보 유출 규모가 1천명 이상의 정보주체에 관한 경우에 해당하거나, 유출된 개인정보의 유형이 민감정보 또는 고유식별정보일 경우에 해당하거나, 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출이 된 경우에 해당한다면, 기업은 통지뿐만 아니라 위 ①~⑤의 사항을 지체 없이 한국인터넷진흥원에 신고해야 할 의무도 진다(개인정보 보호법 제34조 제3항).

개인정보 유출 통지 및 신고의무 외에 개인정보 유출 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 할 의무도 있다(개인정보 보호법 제34조 제2항). 이러한 조치로 임시 대응조치(예컨대 시스템 일시정지, 암호 등의 변경, 유출 원인 분석, 기술적 보안조치 강화, 시스템 변경, 기술지원 의뢰 및 복구 등)에서부터 장래의 피해 예방조치(유사 사고 발생 방지대책 수립 및 시행 등)도 강구될 필요성이 있다. 우선적으로 개인정보 유출 사실을 지체없이 피해 고객에게 통지하고, 피해 고객으로부터 개인정보 유출로 인한 피해 현황을 접수받을 수 있는 창구를 마련해야 하고, 신속하고 적절한 피해확산을 방지하고 피해를 복구하기 위하여 개인정보 유출을 야기한 직·간접적인 사고발생 원인을 즉시 제거하고, 미비한 기술적·관리적·물리적 보호조치를 보완하며, 유출된 개인정보의 악용 또는 도용을 막을 수 있는 대책 마련 등의 조치를 취해야 할 것이다(「개인정보 보호 법령 및 지침·고시 해설」 355-356면 참조).

<김도윤 변호사> 법무법인 민후

<기고와 칼럼은 본지 편집방향과 무관합니다.>