Test Logo

저희 법인은 일본 소재 기업(이하 “고객사”)이B2B 거래관계에 따라 보유하던 대한민국 국민의 일부 정보가 해킹 공격으로 인해 유출된 사안에서 고객사가 대한민국의 개인정보 보호법에 따라 개인정보보호위원회 또는 한국인터넷진흥원(KISA)에 유출 신고를 진행해야 하는지에 대한 법률 자문을 수행하였습니다.

본 업무의 핵심은 대한민국 개인정보 보호법이 국외 소재 고객사에 역외 적용되는지 여부, 유출된 정보가 개인정보 보호법에서 정하는 '개인정보'에 해당하는지 여부를 판단하는 것이었습니다.

우선, 역외 적용 쟁점의 경우, 개인정보 보호법은 역외 적용 여부에 관한 명시적인 규정을 두고 있지 않습니다. 다만, 개인정보보호위원회는 서비스의 제공 상대방, 대한민국 정보주체에 미치는 영향, 국내 사업장 유무 등을 종합적으로 고려하여 역외 적용 여부를 판단하는 바, 이러한 입장과 유관기관의 실무적인 대응 방향을 고려하여 면밀히 검토하였습니다. 

다음으로, 해킹으로 유출된 정보의 구체적 항목을 검토한 결과 사안에 따라 법인의 정보로서 개인정보로 평가되지 않을 수도 있는 정보 역시 있었습니다. 

만약 개인정보로 평가되지 않는다면 신고 의무가 없을 수도 있는 점에서 ‘개인정보’ 해당 여부는 본 사안에서 중요한 검토 쟁점이었는 바, 본 법무법인은 이러한 점을 고려하여 고객사가 채택하여야 할 효율적이고도 적절한 방안을 검토하였습니다.

이상의 검토를 바탕으로 본 법무법인은 개인정보보호위원회와한국인터넷진흥원(KISA)의 실무적인 태도, 유출 신고를 하는 경우 실제 처리 절차, 처리 과정에서 유발될 수 있는 잠재적인 부담과 리스크 등을 종합적으로 고려하여, 고객사가 유출 신고 의무를 부담하는지 및 유출 신고 여부를 결정하심에 있어 의사결정에 고려하실 수 있는 자문의견을 제공하여 드렸습니다.

이는 개인정보보호법 등 명문의 법규로 확인할 수 있는 정보뿐 아니라 개인정보 보호 유관기관의조사절차에 대한 저희 법인의 실무적인 경험을 바탕으로, 해외의 고객사가 국내 개인정보 규제 리스크에 효과적으로 대응할 수 있던 사례라는 의의가 있습니다.