과징금 부과처분 취소청구

1. 사건개요 가. 청구인은 자격증 교육, 학위 취득 등을 위한 교육부 인가 원격기반 교육훈련기관으로서 온라인 회원 및 학적 등을 관리하는 학사관리시스템을 운영하면서 총 61,688명의 개인정보를 보유하고 있다. 나. 행정안전부장관은 2020. 7. 29. 청구인에게 학사관리시스템에서 처리하는 2,641명의 주민등록번호 유출 및 고유식별정보처리시스템에 대한 안전성 확보조치 위반을 이유로 과징금 21,250천원을 부과(이하 ‘이 사건 처분’이라 한다)하였다. 다. 2020. 2. 4. 법률 제16930호로 개정된「개인정보보호법」이 2020. 8. 5. 시행되면서 이 사건 처분을 포함하여 행정안전부의 소관 사무 중 개인정보 보호에 관한 사무를 「개인정보보호법」(2020. 2. 4. 법률 제16930호로 일부개정되어 2020. 8. 5. 시행된 것)에 따라 피청구인이 승계하였다. 2. 청구인 주장 가. 청구인은 개인정보 유출사실 인지 후 즉시(40분 이내) 관련 서버를 폐쇄하고 필수 조치사항을 모두 이행하였고 추가피해가 없었으며, 이번 개인정보 유출사건 이전까지는 개인정보 보호와 관련하여 고의로 주의의무를 게을리 한 적이 없었기에 학습자들에게 손해와 피해를 끼친 적도 없다. 나. 이 사건 처분을 유사하거나 규모가 큰 다른 기관들과 비교할 때 더 큰 금액의 과징금이 적용되어 부당하므로 과징금을 경감해 주고, 일시납이 아닌 분납방식도 가능하도록 선처해 주기를 바란다. 3. 관계법령 구 개인정보보호법(2020. 2. 4. 법률 제16955호로 일부개정되어 2020. 8. 5. 시행되기 전의 것. 이하 같다) 제24조제3항, 제29조, 34조의2 구 개인정보보호법 시행령(2020. 3. 3. 대통령령 제30509호로 일부개정되어 같은 날 시행되기 전의 것. 이하 같다) 제21조, 제30조, 제40조의2, 별표 1의2 구 개인정보의 안전성 확보조치 기준(2020. 8. 11. 개인정보 보호위원회 고시 제2020-2호로 시행되기 전의 것. 이하 같다) 제3조, 별표 4. 인정사실 청구인과 피청구인이 제출한 행정처분(과징금 등) 통지서, 사실확인서, 과태료 및 과징금 부과위원회 의결서 등 각 사본의 기재내용을 종합하면 다음과 같은 사실을 인정할 수 있다. 가. 행정안전부가 2020. 1. 29.부터 2020. 1. 31.까지 청구인의 개인정보 처리실태에 대하여 현장조사를 실시하고 청구인의 대표이사(권○○)가 확인하여 작성한 사실확인서의 주요 내용은 다음과 같다. - 다 음 - <img src="/LSA/flDownload.do?flSeq=104467541"> </img> 나. 이 사건 처분서에 기재된 처분이유의 주요 내용은 별지와 같다.<별지 생략> 다. 2020. 7. 22. 과태료 및 과징금 부과위원회 심의ㆍ의결 내용 중 이 사건 처분인 과징금 산정 내역의 주요 내용은 다음과 같다. - 다 음 - ○ 산정 기준액: 고의성이 없는 경과실, 10만건 미만의 주민등록번호 유출로써 1억원 적용(위반정도: 일반 위반행위) <img src="/LSA/flDownload.do?flSeq=104468815"> </img> 라. 피청구인의 2020. 11. 24. 보도자료에 따르면, 코로나19 방역 심각단계기간(2020. 2. 4. 심각단계 격상하여 현재까지 계속 유지 중)에 개인정보 보호 법규 위반으로 과태료와 과징금을 납부해야 하는 기업들 대상으로 납부기한은 9개월이 일괄 유예되고, 피청구인에게 연장 신청서를 제출하여 코로나19 관련 피해를 입증하면 3개월이 추가 유예될 수 있는 등 최대 1년 내 범위에서 과태료와 과징금의 납부기한 연장, 징수유예 등 지원책을 시행한다고 되어 있다. 5. 이 사건 처분의 위법·부당 여부 가. 관계법령의 내용 1) 구「개인정보보호법」 제24조제3항에 따르면, 개인정보처리자가 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 하고, 같은 법 제29조에 따르면, 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 하며, 같은 법 제34조의2제1항ㆍ제2항에 따르면, 행정안전부장관은 개인정보처리자가 처리하는 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과ㆍ징수할 수 있되, 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 개인정보처리자가 제24조제3항에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다고 되어 있고, 제1항에 따른 과징금을 부과하는 경우에는 제24조제3항에 따른 안전성 확보에 필요한 조치 이행 노력 정도(제1호), 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 주민등록번호의 정도(제2호), 피해확산 방지를 위한 후속조치 이행 여부(제3호)를 고려하여야 한다고 되어 있다. 2) 구「개인정보보호법 시행령」 제21조제1항 및 제30조제1항ㆍ제3항에 따르면, 법 제24조제3항에 따른 고유식별정보의 안전성 확보 조치에 관하여는 제30조를 준용하고, 이 경우 "법 제29조"는 "법 제24조제3항"으로, "개인정보"는 "고유식별정보"로 본다고 되어 있고, 개인정보처리자는 법 제29조에 따라 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행(제1호), 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치(제2호), 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치(제3호), 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치(제4호), 개인정보에 대한 보안프로그램의 설치 및 갱신(제5호), 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치(제6호) 등 안전성 확보 조치를 하여야하며, 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 행정안전부장관이 정하여 고시한다고 되어 있다. 3) 구「개인정보보호법 시행령」 제40조의2제1항에 따르면, 법 제34조의2제1항에 따른 과징금의 부과기준은 별표 1의2와 같다고 되어 있는데, 별표 1의2에 따르면 과징금은 법 제34조의2제2항 각 호의 사항과 위반행위의 내용 등을 종합적으로 고려하여 그 부과 여부를 결정하되, 법 제24조제3항에 따른 안전성 확보에 필요한 조치를 다한 경우에는 과징금을 부과하지 아니한다고 되어 있고, 과징금은 법 제34조의2제2항 각 호의 사항과 이에 영향을 미치는 사항을 종합적으로 고려하여 산정하되, 위반 정도에 따른 산정기준액에 안전성 확보에 필요한 조치 이행 노력 정도, 피해를 최소화하기 위한 대책 마련 등 피해확산 방지를 위한 후속조치 이행 여부를 고려하여 산정기준액의 100분의 50의 범위에서 가중하거나 감경(1차 조정)하고, 위반행위의 기간 및 횟수, 위반 행위에 대한 조사 협조 여부, 위반행위에 따른 추가적 피해 발생 여부, 평소 개인정보 보호를 위한 노력 정도 등을 종합적으로 고려하여 1차 조정된 금액의 100분의 50의 범위에서 가중하거나 감경(2차 조정)하며, 개인정보처리자의 현실적 부담능력이나 그 위반행위가 미치는 효과, 위반행위로 인하여 취득한 이익의 규모 등을 고려하여 볼 때 과중하다고 인정되는 경우에는 2차 조정된 금액의 100분의 50의 범위에서 감액하여 부과과징금으로 정할 수 있다고 되어 있고, 산정된 과징금이 5억원을 초과하는 경우에는 5억원으로 한다고 되어 있다. 4) 구「개인정보보호법 시행령」 제40조의2제3항에 따르면, 제2항에 따라 통지를 받은 자는 통지를 받은 날부터 30일 이내에 보호위원회가 정하는 수납기관에 과징금을 납부해야 하되, 천재지변이나 그 밖에 부득이한 사유로 인하여 그 기간 내에 과징금을 납부할 수 없는 경우에는 그 사유가 없어진 날부터 7일 이내에 납부해야 한다고 되어 있다. 5) 구 「개인정보의 안전성 확보조치 기준」(이하 ‘구 확보조치 기준’이라 한다) 제3조에 따르면, 개인정보처리자가 개인정보의 안전성 확보에 필요한 조치를 하는 경우에는 별표 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준을 적용하여야 하고, 이 경우 개인정보처리자가 어느 유형에 해당하는지에 대한 입증책임은 당해 개인정보처리자가 부담한다고 되어 있고, 같은 구 확보조치 기준 제6조제2항, 제4항 및 제7조제2항에 따르면, 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 하고, 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 하며, 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 하는데, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다고 되어 있다. 나. 판단 청구인은 학사관리시스템(LMS)의 도메인을 변경하기 위해 새로운 서버로 이전하면서 구 관리자페이지에 안전한 접속수단 등 접근통제 수단을 미 설정하고 웹페이지 파라미터(매개변수)가 노출되게 하여 비인가자의 접근이 가능하게 됨으로써, 청구인에게 가입한 수강생 및 홈페이지 회원 53,345명의 한글이름, ID, 생년월일 등의 개인정보와 2,641명의 주민등록번호가 이미 유출되었는바, 고유식별정보처리시스템에 대한 안전성 확보조치를 위반하여 상당한 규모의 개인정보가 유출된 사실이 인정되는 점, 피청구인은 청구인의 개인정보처리자 유형, 개인정보 보유량에 따른 안전조치 기준과 위반정도 등을 고려하여 구 「개인정보 보호법 시행령」 제40조의2, 같은 영 별표 1의2에서 정한 과징금의 부과기준에 따라 1억원으로 산정한 후 1차, 2차 및 최종 조정 등을 거쳐 감경된 과징금으로 이 사건 처분을 한 점, 청구인은 피청구인의 과징금 징수유예 지원대상으로서 최대 1년 내 범위에서 과징금의 납부기한 연장이 될 수 있는 점, 「개인정보 보호법」 위반자에 대한 엄한 제재를 통해 국민의 신뢰확보라는 공익적 필요가 결코 작다고 할 수 없는 점, 달리 피청구인이 이 사건 처분을 함에 있어 관련 법령을 위반하였다거나 사실 관계를 오인하는 등 재량권을 현저히 일탈ㆍ남용하였다고 볼 만한 객관적인 자료나 구체적인 사정도 보이지 않는 점 등을 종합적으로 고려할 때, 이 사건 처분이 위법ㆍ부당하다고 할 수 없다. 6. 결 론 그렇다면 청구인의 주장을 인정할 수 없으므로 청구인의 청구를 받아들이지 않기로 하여 주문과 같이 재결한다.