김경환 법무법인 민후 대표변호사는 전자신문에 '개인정보처리시스템의 범위에 대한 대법원 판결과 의미'에 대해 기고했습니다.

개인정보 유출 문제가 발생하였을 경우, 기술적 보호조치 또는 안전성 확보조치가 이루어졌는가를 기준으로 사업자에 대한 법적 책임 여부와 내용 등이 결정됩니다.

이와 같은 기술적 보호조치 또는 안전성 확보조치 여부를 판단함에 있어서 개인정보처리시스템의 범위를 어떻게 해석할 것인가는 오랜 기간 논란의 중심에 있는 문제입니다.

개인정보처리시스템은 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스 시스템’으로 규정되어 있으며, 개인정보처리자는 이에 대한 보호조치를 다할 의무를 부담하게 됩니다.

따라서 안전성 확보조치 의무를 이행해야할 범위를 결정하는 것은 매우 중요한 절차에 해당하며, 최근까지 데이터베이스 서버와 연동된 웹서버 또는 웹페이지를 개인정보처리시스템에 포함시켜야 하는가에 대한 논란이 이어져 왔습니다.

그러나 최근 2014년 KT 개인정보 유출 사건에 대한 상고심 판결을 통해 오랜 논란의 결론이 도출되었습니다.

대법원은 ‘개인정보처리시스템은 개인정보의 생성과 기록, 저장, 검색 등 데이터베이스 시스템 전체를 의미하는 것으로, 데이터베이스와 연동돼 개인정보의 처리과정에 관여하는 웹서버 등을 포함한다고 봄이 타당하다.’라고 판시하며, 웹서버 및 웹페이지를 개인정보처리시스템에 포함시켜야 한다는 판결을 내렸습니다.

법무법인 민후 김경환 변호사는 기고를 통해 개인정보처리시스템의 범위에 대한 대법원 판결을 소개함은 물론, 해당 판결이 가지는 법적 의미에 대해 자세히 설명하였습니다.

기고 전문은 기사를 통해 확인할 수 있습니다.