산업,통상 ·IT‧ICT ·개인정보
조회수 : 52 | 2021.06.07 질문 작성됨

개인정보 처리 수탁사의 귀책사유 여부

개인정보 처리 위/수탁 시 아래와 같은 상황에서 수탁사의 귀책사유 여부 문의 드립니다.

1. A업체가 B업체에게 서비스 운영 업무를 위탁.
2. B업체는 운영하던 서비스(C서비스)에 A업체가 위탁한 서비스(D서비스)를 추가하여 운영.
2. B업체는 D서비스에서 수집된 개인정보의 조회 및 다운로드 권한을 A업체에게 제공.
3. B업체는 A업체가 개인정보 처리시스템의 접근 시,VPN을 통해서 접근하도록 제한은 하지만 A업체가 망분리 환경 상에서만 접근 하도록 강제하지는 못함.
(A업체의 업무 특성상 외부인터넷에서 개인정보 처리시스템에 접속이 필요)

이런 상황에서 A업체에서 다운로드한 D서비스의 개인정보가 유출됐을 경우, 충분한 안정성 확보조치(망분리 등)를 하지 않은 A업체에게 개인정보 처리시스템의 다운로드 권한을 제공했다는 이유로 B업체에도 개인 유출에 대한 귀책 사유가 발생하는 건가여?

2021.06.09 답변 작성됨

망분리 되지 않은 상태에서 A업체에 대한 다운로드 권한을 부여한 B업체의 책임을 묻기 위해서는 관련 법령과 위・수탁사간의 계약을 각 위반하였는지가 문제됩니다. 위탁사 및 수탁사가 모두 개인정보보호법 제29조, 시행령 제30조에 정한 안전조치의무를 이행한 것이라면 특별한 사정이 없는 한 B업체에게 책임을 물을 없다고 판단됩니다.

망분리 되지 않은 상태에서 A업체에 대한 다운로드 권한을 부여한 B업체의 책임을 묻기 위해서는 관련 법령과 위・수탁사간의 계약을 각 위반하였는지가 문제됩니다. 위탁사 및 수탁사가 모두 개인정보보호법 제29조, 시행령 제30조에 정한 안전조치의무를 이행한 것이라면 특별한 사정이 없는 한 B업체에게 책임을 물을 없다고 판단됩니다.


※ 위 의견은 귀하의 질의 내용만을 전제로 검토한 것으로서, 보다 면밀히 검토하기 위해서는 구체적인 사실관계 및 자료 확인이 필요합니다.


박응현 변호사
서울 강남구 손해배상,금융분야,스타트업‧창업,회사일반,교통범죄,개인...
댓글쓰기
0/1500

법률메카법률QA 하이브리드 플랫폼