法 "사회통념상 합리적 보호조치 다하지 않아" 원고패소
|
서울행정법원 행정2부(고은설 부장판사)는 10일 건강기능식품 제조·판매 업체 A사가 개인정보보호위원회를 상대로 낸 과징금 부과처분 취소 소송에서 원고 패소로 판결했다.
건강기능식품을 판매하는 A사는 온라인 쇼핑몰을 운영하면서 2022년 10월을 기준으로 64만 4431명의 개인정보를 수집해 보관해왔다. 그러던 중 같은 해 9월 경 해커의 공격으로 11만9856명의 개인정보가 유출돼 개인정보종합포털에 유출 신고를 했다.
신고를 받은 개인정보보호위원회는 같은 해 10월부터 이듬해 2월까지 A사의 개인정보 취급·운영 실태 및 법 위반 여부를 조사한 뒤 안전조치의무위반 및 개인정보유출 등의 통지 신고에 대한 특례위반을 이유로 과징금 4억 6457만원 상당을 부과했다.
이에 A사는 "업종·영업규모에 상응하는 통상적인 주의의무를 다했고, 대표 도메인이 아닌 관리용 도메인의 문제로 인해 발생한 사고"라며 "악화된 경영실적과 시장·산업 환경에 따른 부담 능력 등을 적절히 고려하지 않은 과징금 산정"이라고 주장하며 취소소송을 냈다.
법원은 그러나 A사의 손을 들어주지 않았다.
재판부는 "해당 온라인 쇼핑몰은 A사가 운영·관리하는 쇼핑몰로서 수집·보관하는 개인정보에 대해서는 A사에게 개인정보보호법령상 안전조치의무가 있다"며 "A사가 개인정보에 대한 불법적인 접근을 차단하기 위한 침입 차단·탐지 시스템의 설치 운영 및 기타 접근 통제 조치를 이행하지 않았음 등을 고려하면 사고 당시 해당 쇼핑몰에서 수집·보관하는 개인정보에 대해 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했다고 볼 수 없다"고 판단했다.
부과된 과징금 또한 "법 위반에 따른 과징금은 관련 매출액을 기초로 기준금액을 산출한 후 중대성 등의 가중·감경을 거쳐 결정되는 점 등을 고려했을 때 형평에 반해 위법하다고 볼 수 없다"며 나아가 "과징금 납부로 인해 예상되는 자금사정의 어려움은 과징금의 감경의 고려요건이 아니다"고 부연했다.