인터넷 포털 서비스 개인정보 유출사고에 대해 손해배상 책임 및 채무불이행 책임이 있다.
인터넷 포털서비스의 개인정보 유출 사고에 대한 손해배상 청구 사건(민사)
인터넷 포털서비스 사용 중 개인정보유출사고가 발생한 경우 서비스 이용자가 계약상 채무불이행에 따른 손해배상을 청구할 수 있는지가 쟁점인 판례
[사건번호]
대구지방법원 2014. 2. 13. 선고 2012나9865 판결(원심 : 대구지법 김천지원 구미시법원 2012. 4.26. 선고 2011가소17384 판결)
1) 쟁점 : 개인정보유출사고가 발생한 경우 서비스 이용자가 채무불이행에 따른 손해배상을 청구할 수 있는지
2) 사실관계 : 인터넷상에서 포털서비스사업을 하는 A 회사가 제공하는 온라인 서비스에 가입한 회원들의 개인정보가 해킹사고로 유출되었는데, 서비스 이용자인 B가 A 회사를 상대로 손해배상을 구하였다.
3) 판결내용 : 정보통신서비스 제공자는 이용자가 제공한 성명, 주민등록번호, 아이디, 비밀번호 등의 개인정보를 보호할 의무가 있다. 나아가 정보통신서비스 제공자가 서비스 이용약관을 통해 이용자로 하여금 개인정보를 필수적으로 제공하도록 요청하여 이를 수집하는 경우에는 위와 같이 수집한 이용자의 개인정보가 유출되지 않도록 적절한 보안시스템을 구축하고, 개인정보의 취급과정에서 안정성 확보에 필요한 합리적인 수준의 기술적 및 관리적 대책을 수립·운영할 계약상의 의무를 부담한다. 한편 서비스 이용자는 정보통신서비스 제공자 등이 구 정보통신망법상의 규정을 위반한 행위로 손해를 입으면 정보통신서비스 제공자 등에게 손해배상을 청구할 수 있고, 이 경우 해당 정보통신서비스 제공자 등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없으며(구 정보통신망법 제32조), 나아가 서비스 이용자는 정보통신서비스 제공자가 개인정보보호에 실패하여 개인정보유출사고가 발생했을 경우 계약상 채무불이행에 따른 손해배상을 청구할 수 있고, 이 경우 이용자로서는 정보통신서비스 제공자가 기술적·관리적 보호조치의무를 위반한 사실을 주장·증명하여야 하며, 정보통신서비스 제공자로서는 통상의 채무불이행에 있어서와 마찬가지로 채무불이행에 관하여 자기에게 과실이 없음을 주장·증명하지 못하는 한 책임을 면할 수 없다.
4) 결론 : A 회사는 안전성 확보에 필요한 합리적인 수준의 기술적 및 관리적 대책을 수립·운영할 계약상 의무가 있음에도 이를 위반하여 해킹사고를 방지하지 못하고, 그 때문에 B의 개인정보가 유출되도록 하였으므로 구 정보통신망법 제32조에 따른 손해배상책임은 물론 계약상 채무불이행에 따른 손해배상책임도 부담한다.
관련링크:
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)
'IT, 저작권 이야기 > [TS] 인터파크 유출사고' 카테고리의 다른 글
| 개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수는 없다. (0) | 2017.01.29 |
|---|---|
| 개인정보유출통지 (0) | 2017.01.29 |
| 인터파크 유출사례 (0) | 2017.01.26 |
| 인터파크 방통위 엄정제재 (0) | 2017.01.25 |
공개된 유명연예인 사진 등을 영리목적으로 사용한 경우 손해배상 책임이 있을 수 있다.
공개된 유명연예인 사진 등을 영리목적으로 사용한 사건(민사)
공개된 유명연예인의 사진 등을 동의 없이 모바일앱을 통하여 영리 목적으로 사용한 경우 불법행위에 해당하는 지가 쟁점인 판례
[사건번호]
서울고등법원 2014. 4. 3. 선고 2013나2022827 판결 (원심 : 서울중앙지방법원 2013. 10. 1. 선고 2013가합509239 판결)
1) 쟁점 : 휴대용기기 애플리케이션을 통하여 무단으로 유명연예인들의 사진과 성명을 사용한 행위가 자기정보에 대한 통제권, 초상권, 성명권을 침해하는 불법행위에 해당하는지 여부
2) 사실관계 : 피고들이 연예인인 원고들의 사진을 허락받은 범위를 벗어나 이용하였다.
3) 판결내용 : 이 사건 앱에서 사용한 사진이 원고들의 허락하에 이미 인터넷에 공개된 사진이라고 하더라도 이는 연예인인 원고들이 자신에 대한 홍보에 필요한 한도 내에서 인터넷 이용자들에게 이를 공개하여 이용하도록 한 것이라고 보아야 한다. 이 사건 앱과 같이 다른 기업이 영리 목적으로 그 사진을 함부로 사용하는 것은 원고들이 예상하거나 허락한 범위를 넘는 것으로서 원고들의 자기 정보에 대한 통제권 및 초상과 성명이 영리적으로 이용당하지 않을 권리를 정면으로 침해하는 위법한 행위이다. 이 사건 앱에서 원고들의 초상과 성명을 사용한 행위는 원고들의 자기 정보에 대한 통제권 및 초상·성명이 영리적으로 이용당하지 않을 권리를 침해하는 행위로서 그러한 사실만으로도 특별한 사정이 없으면 정신적 고통이 수반된다고 보아야 하고, 반드시 이 사건 앱을 통한 원고들 사진의 실제 현출 여부나 횟수가 특정되어야만 비로소 정신적 고통을 인정할 수 있게 되는 것이 아니다.
4) 결론 : 원고의 손해배상 청구 인용
출처: 개인정보보호위원회
'IT, 저작권 이야기' 카테고리의 다른 글
| 홈페이지에 회원가입과 개인정보는 관계가 있다. (0) | 2017.02.04 |
|---|---|
| 개인정보위험도분석 기준 및 해설서 (0) | 2017.01.30 |
| 네이버 경찰에 회원정보 제공과 관련하여 손해배상 책임이 없다. (0) | 2017.01.29 |
| 관리소장도 개인정보처리자에 해당할 수 있다. (0) | 2017.01.29 |
| 대학교수의 공개된 정보에 대한 개인정보 자기결정권 침해 사건(판례) (0) | 2017.01.27 |
개인정보위험도분석 기준 및 해설서
개인정보 위험분석은 가장 선행되어야 하는 절차중에 하나입니다.
참고하십시오
행정안전부 공고 제2012-112
개인정보보호법 제29조, 동법시행령 제30조 및 개인정보의 안전성 확보조치 기준 제7조(행정안전부 고시 제2011-43호)에 따라 개인정보처리시스템의 보호수준을 진단하여 암호화에 상응하는 조치를 분석할 수 있는 "개인정보 위험도 분석 기준 및 해설서"를 붙임과 같이 공고합니다.
※ 개인정보 위험도 분석 기준 및 해설서 문의 : (국번없이) 118
2012년 4월 4일
행정안전부 장관
출처: 개인정보보호위원회
'IT, 저작권 이야기' 카테고리의 다른 글
| 홈페이지에 회원가입과 개인정보는 관계가 있다. (0) | 2017.02.04 |
|---|---|
| 공개된 유명연예인 사진 등을 영리목적으로 사용한 경우 손해배상 책임이 있을 수 있다. (0) | 2017.01.30 |
| 네이버 경찰에 회원정보 제공과 관련하여 손해배상 책임이 없다. (0) | 2017.01.29 |
| 관리소장도 개인정보처리자에 해당할 수 있다. (0) | 2017.01.29 |
| 대학교수의 공개된 정보에 대한 개인정보 자기결정권 침해 사건(판례) (0) | 2017.01.27 |
개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수는 없다.
연계된 시스템에서의 제한된 개인정보 유출 사건(민사)
제3자가 인터넷 사이트를 통해 정보통신서비스 제공자가 보관하고 있는 개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수 있는지가 쟁점인 판례
[사건번호]
대법원 2014. 5. 16. 선고 2011다2455, 2011다24562 판결 (원심 : 서울고등법원 2011. 2. 10. 선고 2009나 119131, 2009나 119148 판결, 서울중앙지방법원 2009. 11. 6. 선고 2008가합75268, 2009가합91281 판결)
1) 쟁점 : 정보통신망법상 개인정보 유출 개념 2) 사실관계 : 피고 통신회사 A는 콘텐츠 제공업체들로부터 받은 모바일 콘텐츠를 이용자들에게 제공하고 있기에 서비스 제공을 위하여 콘텐츠 제공업체가 부여받은 아이디와 패스워드를 통해 통신회사 A의 고객정보 시스템에 접속할 수 있게 하고 있었다. 한편 피고 통신회사 A의 CP인 피고 B는 피고통신회사 A에 ‘mive’라는 연예인 화보 및 풍경 서비스를 제공하기 위하여 피고 통신회사 A로부터 아이디 및 패스워드를 부여받았다. 그런데 피고 통신회사 A의 CP로 가입하려는 C는 아직 CP로 가입하지 않은 상태에서 C와 피고 통신회사 A의 연동을 시험하는 과정에서 인증이 이루어지지 않자, 피고 B에 요청하여 피고 B의 CP 아이디와 패스워드를 제공받았는데, 이후 아이디와 패스워드를 삭제하지 않음으로써 그 이후에도 C에서 휴대전화 번호를 입력하면 휴대전화정보 조회가 가능하게 되었다. 갑은 우연히 C에서 피고 통신회사 A에 가입된 자신의 휴대전화번호를 입력하면 주민등록번호, 가입 일자, 휴대전화 기종 등의 정보가 URL에 나타나는 사실을 알게 되자 친구인 을에게 위 사실을 알려 주었고, 을은 '휴대전화정보 조회' 페이지에서 키보드의 시프트 키를 누른 상태에서 휴대전화 번호를 입력하자 특정 URL이 나타났는데, 그 URL 뒷부분에 주민등록번호, 가입일, 휴대전화 기종 등이 그대로 표시되는것을 확인하게 되자, 위 URL의 소스를 확보한 다음 자신이 2001년경부터 운영하는 개인 홈페이지에 '휴대전화정보조회'라는 페이지를 만들었다.
3) 판결내용 : 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다)로 보호되는 개인정보의 유출이란 개인정보가 해당 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미하는바, 어느 개인정보가 정보통신서비스 제공자 의 관리·통제하에 있고 그 개인정보가 제3자에게 실제 열람 되거나 접근되지 아니한 상태라면 정보통신서비스 제공자의 기술적·관리적 보호조치에 미흡한 점이 있어서 제3자가 인터넷상 특정 사이트를 통해 정보통신서비스 제공자가 보관하고 있는개인정보에 접근할 수 있는 상태에 놓여 있었다고 하더라도 그것만으로 바로 개인정보가 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되었다고 할 수는 없다.
4) 결론 : C의 ‘휴대전화정보 조회’ 페이지에 원고들의 휴대전화번호를 입력하여야만 비로소 2G 서버로부터 C로 위와 같은 개인정보가 전송되어 유출되는 것이고, 휴대전화번호를 입력하기 전에는 위와 같은 개인정보는 2G 서버에 그대로 보관된 채 아무런 접근이 이루어지지 않으며 피고 통신회사 A가 관리·통제권을 행사하여 C와 2G 서버가 더는 연동하지 않도록 함으로써 원고들의 개인정보에 대한 접근과 전송 가능성을 없앨 수 있었던 상태에 있었으므로 달리 원고들의 휴대전화번호가 C의 '휴대전화정보 조회' 페이지에 입력되었는지가 확인되지 않은 이 사건에서 C와 2G 서버가 연동하고 있었다 하더라도 이를 가리켜 곧바로 원고들의 개인정보가 피고 통신회사 A의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되었다고 볼 수 없다.
관련링크
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)
표준개인정보보호지침(출처: 행자부 고시 제2016-21호)
'IT, 저작권 이야기 > [TS] 인터파크 유출사고' 카테고리의 다른 글
| 인터넷 포털 서비스 개인정보 유출사고에 대해 손해배상 책임 및 채무불이행 책임이 있다. (0) | 2017.01.30 |
|---|---|
| 개인정보유출통지 (0) | 2017.01.29 |
| 인터파크 유출사례 (0) | 2017.01.26 |
| 인터파크 방통위 엄정제재 (0) | 2017.01.25 |
네이버 경찰에 회원정보 제공과 관련하여 손해배상 책임이 없다.
[사건번호]
대법원, 2012다105482, 2016.3.10.
[사건개요]
2010년, 경찰이 네이버 카페에 게시물을 게재한 회원 A의 모든 인적사항 제공을 네이버에 요청하자, 네이버는 형식적?절차적 심사 후 해당회원의 아이디, 이름, 주민등록번호, 휴대폰번호, 가입일자, 이메일을 제공
[쟁점]
전기통신사업자가 전기통신사업법 §83③(사건당시 §54③)에 따라 수사기관의 통신자료 제공요청에 응해 제공한 것이 위법한지 여부
- 전기통신사업자가 개별 사안의 구체적 내용(범죄성립 여부, 범죄와 이용자의 관련성, 이익형량, 중대성, 긴급성 등)을 살펴 제공여부 등에 대해 실질적으로 심사할 의무가 있는지 및 민사상 책임이 있는지 여부
[판결내용]
대법원 판단 : 손해배상 책임없음
실질적 심사의무 및 민사상 책임 없음. 형식적·절차적 요건을 심사해 제공했다면, 수사기관이 통신자료 제공요청 권한을 남용해 정보주체 또는 제3자의 이익을 부당하게 침해하는 것이 객관적으로 명백한 경우가 아닌 한, 개인정보자기결정권 침해 아님
o 실질적 심사의무 부담은 현실적으로 어렵고 부작용 초래
- 사법기관이 아닌 전기통신사업자의 실질적 심사는 현실적으로 어렵고,
- 오히려 범죄사실 누설, 사생활 침해, 수사기관의 권한남용 통제를 국가 아닌 사인에게 전가시키는 결과가 발생
o 전기통신사업법 취지는 수사상 신속 위해 영장 없이 제공 가능케 한 것
- 통신비밀보호법 또는 형사소송법은 통신의 내용·외형적 정보에 대해 법원허가나 영장에 의하여만 제공 가능하도록 한 반면,
- 전기통신사업법이 인적사항에 속하는 통신자료에 대해 서면요청만으로 제공 가능하도록 한 것은 수사상 신속을 위해 개인정보의 성격에 따라 영장 없이도 제공 가능하도록 한 것
o 전기통신사업법에 따른 제공 시 사익에 비해 공익이 큼
- 제공정보는'인적사항'으로서 수사 초기단계에 피의자·피해자 특정을 위한 가장 기초적이고 신속히 확인해야 할 정보여서, 범죄에 대한 신속 대처 등 중요한 공익이 달성되나,'인적사항'에 한정되므로 사익 침해가 크지 않음
붙임 : 대법원판결 2012다105482(손해배상)
출처: 개인정보보호위원회
판례_2012다105482.hwp
'IT, 저작권 이야기' 카테고리의 다른 글
| 공개된 유명연예인 사진 등을 영리목적으로 사용한 경우 손해배상 책임이 있을 수 있다. (0) | 2017.01.30 |
|---|---|
| 개인정보위험도분석 기준 및 해설서 (0) | 2017.01.30 |
| 관리소장도 개인정보처리자에 해당할 수 있다. (0) | 2017.01.29 |
| 대학교수의 공개된 정보에 대한 개인정보 자기결정권 침해 사건(판례) (0) | 2017.01.27 |
| eu GDPR 대응 (0) | 2017.01.25 |
동업자에 대한 CCTV 감시에 대해 손해배상 책임이 있다.
동업자에 대한 CCTV를 통한 사생활 감시 사건(민사)
동업 관계에서 다른 동업자의 근무상태 등을 CCTV를 통하여 감시한 것에 대한 사건으로, CCTV의 목적 범위 내의 행위인지가 쟁점인 판례
[사건번호]
서울중앙지방법원 2014. 4. 10. 선고 2013가합60192 판결
1) 쟁점 : 동업관계에서 한 동업자가 다른 동업자의 근무상태 등을 CCTV를 통하여 감시하는 것이 CCTV의 목적 범위 내의 행위인지 아닌지
2) 사실관계 : 동업자 A와 B는 동업관계를 유지하면서 격월로 식당을 운영하기로 약정하였다. 한편 피고 B는 식당 매장에 설치된 CCTV를 통하여 원고 A의 사생활을 감시하였다.
3) 판결내용 : 피고는 영상정보처리장치를 「개인정보 보호법」상, 허용되는 범위 내 즉 영상정보처리장치의 설치 목적에 부합하는 방식으로 사용하여야 할 의무가 있으므로, 피고는 영상정보처리장치로 촬영된 피고의 개인정보가 담긴 영상자료의 경우 그 목적 즉 범죄 발생, 범죄 발생의 구체적 위험, 시설 안전 및 화재예방에 필요하지 않은 경우 이를 임의로 열람해서는 아니 된다. 한편 피고가 원고의 근태 현황이나 원고가 근무 시간 중에 애인과 식사하는지 여부 등을 CCTV 열람 방식으로 조사하여 이를 엑셀 파일로 정리한 후 피고에게 이메일로 발송한 사실이 있는바, 이는 영상정보처리장치의 설치와 그 운용 목적을 벗어나는 활용이라 할 것이고, 이러한 피고의 행위는 「개인정보 보호법」의 위반행위에 해당한다.
4) 결론 : 피고는 영상정보처리장치를 통해 취득 한 원고의 개인정보를 이용하여 생성한 원고의 개인정보가 담긴 엑셀 파일을 폐기하고, 원고에게 100만 원의 위자료를 지급하여야 한다.
출처: 개인정보보호위원회
관련 링크
정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다
'IT, 저작권 이야기 > [TS] 개인영상정보보호법' 카테고리의 다른 글
| 아파트 단지내 cctv, 공공기관 cctv (0) | 2017.01.23 |
|---|
관리소장도 개인정보처리자에 해당할 수 있다.
대법원, 2015도8766, 2016.3.10
[사건개요]
아파트 관리소장(피고인)은 아파트 선거관리위원장으로부터 입주민들의 동대표 해임청구의 적법성 검토를 의뢰받으면서 입주민들의 개인정보가 기재된 해임동의서를 교부받은 후 이를 동대표에게 제공
[쟁점]
아파트 관리소장이 법 제59조의‘개인정보를 처리하거나 처리하였던 자’에 해당하여 법 제59조 제2호 위반인지 여부
[판결내용]
o 법 제59조의 '개인정보를 처리하거나 처리하였던 자'는 법 제2조의 ‘개인정보처리자’에 한정되지 않음
- '개인정보처리자'의 개인정보 무단제공은 법 제17조에 의해 별도 규제되는 점,
- 법 제59조의 '개인정보를 처리하거나 처리하였던 자'는 법 제15조, 제17조, 제18조 등의 '개인정보처리자'와 법문에서 명백히 구별되는 점,
- 개인정보보호법이 일반적으로 개인정보처리자를 규율하고 있음에 따라 제8장 보칙에 따로 제59조를 두어 '개인정보처리자'외에도 '개인정보를 처리하거나 처리하였던 자'를 규율한 것은 개인정보처리자 이외의 자에 의한 개인정보 침해를 방지하기 위한 취지인 점을 고려,
o 아파트 관리소장은 아파트 질서유지, 관리비 수납 등의 관리업무를 위해 입주자들의 개인정보파일을 운용하고 있었을 것임이 명백하므로 ‘개인정보처리자’에 해당한다고 볼 여지도 많음
붙임 : 대법원 판결 2015도8766(개인정보보호법 위반)
'IT, 저작권 이야기' 카테고리의 다른 글
| 개인정보위험도분석 기준 및 해설서 (0) | 2017.01.30 |
|---|---|
| 네이버 경찰에 회원정보 제공과 관련하여 손해배상 책임이 없다. (0) | 2017.01.29 |
| 대학교수의 공개된 정보에 대한 개인정보 자기결정권 침해 사건(판례) (0) | 2017.01.27 |
| eu GDPR 대응 (0) | 2017.01.25 |
| 개인영상정보보호법 경실련 (0) | 2017.01.25 |
K통신사 기술적 보호조치상의 과실
통신사 해킹에 대한 기술적·관리적 보호조치 미흡 사건(민사)
통신사 고객정보 해킹 사건에 대해 개인정보처리자의 기술적·관리적 보호조치 여부 및 위자료 액수가 쟁점인 판례
[사건번호]
서울중앙지방법원 2014. 8. 22. 선고 2012가합83365 판결
1) 쟁점 : 통신회사 K의 기술적 보호조치 상에 과실이 있었는지 아닌지
2) 사실관계 : 피고 통신회사 K는 고객정보를 등록 관리하고 이용자의 이용명세를 정산하여 요금을 부과하는 등의 업무를 수행하기 위하여 N-STEP 시스템을 완성하였다. 사용자는 PC에서 'N-STEP portal 통합 로그인’을 실행하여 사용자별로 발급되어 있는 N-STEP ID와 비밀번호(이하 ID와 비밀번호를 포괄하여 지칭할 때 '사용자 계정'이라 한다)를 사용자 인증화면에 입력한다. 웹 브라우저는 입력받은 N-STEP ID와 비밀번호의 조합을 N-STEP 포털 서버로 전달하고, 이와 함께 PC별로 고유하게 부여된 정보인 MAC 주소(Media Access Control Address)도 N-STEP 포털 서버로 전송된다. N-STEP 포털 서버는 전달받은 계정의 정보를 다시 AUT라는 이름의 인증 서버로 전달한다. AUT 서버는 전달받은 사용자 계정이 정상적으로 접속이 허용된 사용자인지를 확인하여 접속이 허용된 사용자일 경우 '인증 토큰'을 N-STEP 포털 서버에 전달하는데, 이때 웹 브라우저는 별도의 실행 파일로 구성된 N-STEP UI라는 이름의 클라이언트용 프로그램을 실행하면서 전달받은 인증 토큰을 N-STEP UI에 부여한다. 사용자가 로그인 창에 ID와 비밀번호를 입력하여 인증을 거친 후 화면에 띄워지는 N-STEP UI에는 가입자 입력, 가입자 조회 등 각종 메뉴가 표시되어 있고, 사용자는 그 중 원하는 메뉴를 선택한다. 위와 같은 상황에서, 컴퓨터 프로그래머인 A는 여러 차례의 시도 끝에 N-STEP UI가 ESB 서버와 통신하는데 필요한 헤더 및 그 변숫값에 해당하는 임의의 값을 찾아내었다. A는 찾아낸 임의의 값으로 서비스 호출 규격에 맞는 데이터를 구성하여서 피고의 VPN에 접속되어 있기만 하면 N-STEP 포털의 인증과 N-STEP UI를 통한 AUT 서버의 인증을 거칠 필요 없이 곧바로 ESB 서버와 통신을 할 수 있는 이 사건 해킹프로그램을 제작하였다. A는 2012. 2. 20.경 B를 통해 피고의 VPN을 이용할 수 있는 피고의 대리점 PC에 설치된 원격제어프로그램의 ID와 비밀번호를 받은 후 위 대리점 PC에 원격에서 Nsteal(RUN.BAT) 프로그램을 설치한 다음 이를 실행하여 고객정보 8,730,435건(중복 제거 시 8,129,090건)을 A의 서버에 전송하여 오라클 DB에 저장하였다.
3) 판결내용 ① 접근통제의 불완전성에 대한 판단 : 고시 규정은 개인정보처리시스템에 접속권한을 제한하여 인가받지 않은 접근을 제한하라고 규정하고 있을 뿐, 개인정보처리시스템에 대한 접근통제장치가 반드시 협의의 개인정보처리시스템 내부에 존재하여야 한다고 정한 것은 아닌바, N-STEP 시스템이 N-STEP 포털 및 AUT 서버에만 접속권한의 인증절차를 두고 있고, 달리 ESB 서버 이후에 접속권한의 인증을 거치지 아니하는 구조가 이 사건 고시 제4조제5항에서 정하는 기술적·관리적 보호조치의무에 반한다고 보기는 어렵다. 또한 N-STEP 시스템의 N-STEP 포털 및 AUT 서버에 단계에서 피고가 갖추어 놓은 접근통제시스템이 불완전한가에 대하여 사용자가 소지하고 있는 MAC 주소를 통한 추가적인 인증절차를 두고 있고, N-STEP UI는 접속된 인증 토큰의 유효성을 10분에 한 번씩 확인하여 유효한 토큰이 아닐 경우에 접속을 차단하는 기능이 있으므로 이러한 접근통제장치가 이 사건 고시 규정에서 요구하는 기술적·관리적 보호조치에 반한다고 보기 어렵다.
② 이 사건 고시 제4조제2항 위반 여부 : 위 고시 규정은 개인정보처리시스템에 대한 접근권한을 말소하라는 것으로서 퇴직한 자의 계정으로는 개인정보처리시스템의 전 과정에서 식별되어 접근하지 못하도록 하는 조치를 해야 했을 것이므로 피고가 퇴직한 사용자의 N-STEP 사용자계정을 N-STEP UI에서 인증하지 못하도록 한 것만으로는 위 고시 규정이 요구하는 기술적·관리적 보호조치를 다 하였다고 보기 어렵다.
③ 모니터링 시스템에 관한 부분 : 이 사건 고시 제5조는 궁극적으로 개인정보의 유출 방지 등 보호를 위하여 개인정보처리시스템에서 개인정보를 처리한 내용을 확인하고 감독하여야 한다는 주의의무가 포함되는 규정이라 할 것인바, A는 이 사건 해킹프로그램을 실행할 당시 1주일에 한 번 10만 건 정도의 개인정보를 조회하였다고 진술한 점 등에 비추어보면 피고가 개인정보처리시스템의 사용 패턴에서 평상시의 상태와 다른 특이점을 발견하여 정보 유출의 지속 및 확대를 방지할 수 있었음에도 피고는 이러한 주의의무를 다 하지 못하였다.
④ 암호화에 관한 부분 : 피고는 OM DB 서버에 고객들의 주민등록번호를 암호화하지 아니하여서 이 사건 고시 제6조제2항을 위반한 점, 주민등록번호를 제외한 정보에 대하여 피고는 3-DES 방식으로 암호화를 하였는데, 방송통신위원회 등에서 발행한 암호기술 구현 안내서에서는 위 암호화 방식을 권고하지 아니한 점, 피고가 암호화키의 관리를 소홀히 한 점 등에 비추어 보면, 피고는 암호화에 관한 기술적·관리적 보호조치를 다 하지 못하였다.
4) 결론 : 원고들이 입게 된 피해가 분명하게 입증되지는 않았지만, 원고들이 받은 수많은 텔레마케팅, 스팸메시지 등을 추적하여 이 사건 정보유출 사고로 인한 것인지 밝히는 것은 사실상 불가능한바 이러한 사정은 위자료의 액수 산정에 참작하기로 하여 피고가 원고들에게 지급하여야 할 위자료의 액수를 100,000원으로 정한다.
출처: 개인정보보호위원회
관련글 더보기
개인정보안전성 확보조치 기준 개정,[시행 2016.9.1] [행정자치부고시 제2016-35호, 2016.9.1, 전부개정]
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 출판물에 저작자 이외에 감수자가 표기되어 있는 경우를 흔히 볼 수 있다. 의문은 이 감수자도 저작자인지의 여부이다. 이와 관련한 답변을 바란다. (0) | 2017.02.01 |
|---|---|
| 공동저작물상의 권리는 무엇이고, 어떻게 행사하는지에 대하여 자세히 알고 싶다. (0) | 2017.02.01 |
| 의료기관을 위한 정보보호 안내서 (0) | 2017.01.26 |
| 개인정보의 안전성 확보조치 기준 (0) | 2017.01.25 |
| 개인정보안전성 확보조치 기준 개정,[시행 2016.9.1] [행정자치부고시 제2016-35호, 2016.9.1, 전부개정] (0) | 2017.01.25 |
개인정보유출통지
개인정보 유출시 표준 통지문 안입니다.
구체적인 내용은 첨부파일을 참조하시기 바랍니다.
정보통신망법의 경우 1인의 정보가 유출되는 경우에도 신고,통지해야한다는 점을
주의하시기 바랍니다.
관련법령
⇨ 개인정보보호법 제
34조 제1항⇨ 개인정보보호법 제34조 제2항
⇨ 개인정보보호법 제34조 제3항
⇨ 개인정보보호법 시행령 40조 제3항
|
표준 통지문안 예시 |
부가 설명 |
|
개인정보 유출 사실을 통지해 드리며, 깊이 사과드립니다. |
<제목> - ‘유출 통지’ 문구 포함 |
|
고객님의 개인정보 보호를 위해 최우선으로 노력하여 왔으나, 불의의 사고로 고객님의 소중한 개인정보가 유출되었음을 알려 드리며, 이에 대하여 진심으로 사과를 드립니다. |
(사과문) - 유출 통지 사실 알림 - 사과문을 먼저 표현 |
|
고객님의 개인정보는 2010년 3월 5일 회원관리시스템 장애 처리를 위한 데이터 분석 과정에서 유지보수업체로 전달되었고, 유지보수업체는 자체 서버에 저장‧보관하다가 안전한 조치를 다하지 못해 2010년 4월경 해커에 의한 해킹으로 유출되었습니다.
유출된 정확한 일시는 서울지방경찰청에서 현재 수사가 진행 중이며, 확인되면 추가로 알려 드리도록 하겠습니다. |
<유출된 시점과 경위> - 유출된 시점과 경위를 누구나 이해할 수 있게 상세하게 설명 - ‘귀하’, ‘고객님’ 등으로 유출된 정보주체 명시 ※ 부적합한 표현 : 일부 고객, 회원정보의 일부 - 추가 확인된 사항은 반드시 추가로 통지 |
|
유출된 개인정보 항목은 이름, 아이디(ID), 비밀번호(P/W), 주민등록번호, 이메일, 연락처 등 총 6개입니다. |
<유출된 항목> - 유출된 항목을 누락 없이 모두 나열 ※ ‘등’으로 생략하거나, ‘회사전화번호’ 및 ‘집전화번호’를 합쳐서 ‘전화번호’로 표시 안됨 |
|
유출 사실을 인지한 후 즉시 해당 IP와 불법접속 경로를 차단하고, 취약점 점검과 보완 조치를 하였습니다. 또한, 유지보수업체 서버에 있던 귀하의 개인정보는 즉시 삭제 조치하였습니다. |
<개인정보처리자의 대응조치> - 접속경로 차단 등 예시된 항목 외에도 망 분리, 방화벽 설치, 개인정보 암호화, 인증 등 접근 통제, 시스템 모니터링 강화 등 조치한 내용 설명 |
관련글:
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)
출처: Priavcy.go.kr
개인정보_유출_시_필수_조치요령_및_표준_통지문안.pdf
'IT, 저작권 이야기 > [TS] 인터파크 유출사고' 카테고리의 다른 글
| 인터넷 포털 서비스 개인정보 유출사고에 대해 손해배상 책임 및 채무불이행 책임이 있다. (0) | 2017.01.30 |
|---|---|
| 개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수는 없다. (0) | 2017.01.29 |
| 인터파크 유출사례 (0) | 2017.01.26 |
| 인터파크 방통위 엄정제재 (0) | 2017.01.25 |
개인정보보호법령 지침 고시 해설
개인정보보호법 해설서입니다.
업무에 참고하시기 바랍니다.
출처: 행정자치부
▶ 본 해설서는 개인정보 보호법, 동법 시행령·시행규칙 및 표준지침·
고시의 해석기준을 제시하기 위한 목적으로 발간되었습니다.
▶ 법령에 대한 구체적인 유권해석은 행정자치부로 문의하여 주시기
바랍니다.
이 법의 입법 목적은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를
보호하고, 나아가 개인의 존엄과 가치를 구현하는 것이다. 이에 따라 개인정보의 수집·이용,
제공 등 개인정보 처리 기본원칙, 개인정보의 처리 절차 및 방법, 개인정보 처리의 제한, 개인
정보의 안전한 처리를 위한 관리·감독, 정보주체의 권리, 개인정보 권리 침해에 대한 구제 등에
대하여 규정하고 있다.
헌법재판소는 인간의 존엄과 가치 및 행복추구권을 규정하고 있는 「헌법」 제10조 제1문에서
도출되는 일반적 인격권과 「헌법」 제17조에 의하여 보호받고 있는 사생활의 비밀과 자유를 근거
규정으로 하여 우리나라 「헌법」상으로도 ‘개인정보자기결정권’이 기본권으로 보장되고 있다고
보고 있다.
개인정보자기결정권이란 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또
이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리, 즉 정보주체가 개인정보의
공개와 이용에 관하여 스스로 통제·결정할 수 있는 권리를 말한다.
출처: 행정자치부
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 소프트웨어 개발보안 가이드 (0) | 2017.02.04 |
|---|---|
| 개인정보 안전성 확보지치 기준 해설서가 배포되었다. (0) | 2017.02.01 |
| 정보보호공시 가이드라인 (0) | 2017.01.25 |
| 개인정보 최소수집 가이드라인 (0) | 2017.01.25 |
| 개인영상정보보호법 제정법률안 입법예고 (0) | 2017.01.25 |