1. 법원이 제시한 비밀관리성 기준
영업비밀은 실무에서 철저한 관리가 되어야만 비로소 영구적인 보호를 받을 수 있다. 이는 비밀유지에 철저한 관리가 뒤따르지 않는다면 비밀이 공개되어 더 이상의 비밀이 될 수 없는 영업비밀의 불안정성이라는 특징 때문이다. 따라서 기업은 영업비밀 요건에 맞는 보호기준을 준수하며 피해를 최소화 할 수 있는 내부통제체계를 마련해야 한다. 아울러 계약관계에 있는 상대와의 관계에서 영업비밀 탈취 혐의를 받지 않기 위해서 상대와의 비밀유지에 만전을 기해야 한다.
이에 법원이(판결문 또는 결정문을 통하여) 비밀관리성을 인정한 기준은 아래 <표1>과 같다.
<표1> 법원이 제시한 비밀관리성 인정 판단기준 1)
① | 입 · 퇴사 시 비밀유지계약서 2) 작성 · 제출 |
①-1 | 퇴사 시 전직금지 및 비밀유지서약서 및 손해배상 이행각서 |
② | 회사 내 중요시설에 대한 물리적 보안을 위한 출입통제시스템 설치 |
③ | 중요시설에 대한 회사 내부 인원 통제 |
④ | 회사 내 노트북이나 저장매체 반출의 엄격한 관리 및 통제 |
⑤ | CCTV 등 영상장비를 통한 영업비밀 유출행위 감시 |
⑥ | 연구개발 사항에 대한 접근대상자의 제한 및 통제 |
⑦ | 회사 컴퓨터에 대한 해킹이나 자료유출 방지를 위한 백신프로그램 설치 |
⑧ | 직원들에 대한 정기적인 보안교육 |
⑧-1 | 비정기적이라도 직원들에게 외부 유출을 차단하기 위한 보안교육 |
⑧-2 | 이메일을 통해 정보유출 및 정보의 개인적인 사용을 경고 |
⑧-2-Ⓐ | 발각 시 그에 따른 징계조치를 한다고 공지하는 등 비밀준수의무 부과 |
⑨ | 비밀문서임을 알리는 표시와 더불어 문서(정보)를 비밀로 적시하여 분류 |
⑩ | 문서나 파일 등의 정보자산에 대한 관리기준 |
⑪ | 보안규정 마련 및 보안담당자의 배치 |
⑫ | 정기적인 보안검사 실시 |
⑬ | 영업비밀로 관리하고 있던 정보 유출 후 그에 따른 신속한 법적조치 |
⑭ | 포괄적, 개략적, 추상적인 분류가 아닌 중요도에 따른 체계적 분류 |
⑮ | 취업규칙에 업무상 지득한 비밀의 누설을 금지 |
반면 법원이 비밀관리성을 부정하면서 그 이유에 대해 판결문 또는 결정문에 판시한 기준은 아래 <표2>와 같다.
<표2> 법원이 제시한 비밀관리성 부정 판단기준 3)
Ⓐ | 문서가 별도 관리되지 않고 혼재되어 보관된 점 |
Ⓑ | 내부정보 유출방지시스템을 갖추지 않은 점 |
Ⓒ | 퇴사 시 회사 내 소지물품 확인 및 삭제하는 등의 조치를 취하지 않은 점 |
Ⓓ | 협업자들의 공유상태 파일을 다운로드 하는데 제한이 없었던 점 |
Ⓔ | 회사에서 제공되지 아니한 저장매체로 회사 컴퓨터 이용이 통제되지 않은 점 |
Ⓕ | 대외비나 비밀자료 표시가 없는 점 |
Ⓖ | 사용자 계정과 비밀번호 설정 외 파일비밀을 위한 별도 보안장치가 없는 점 |
Ⓗ | 중요도에 따라 비밀등급을 분류하거나 표시가 없는 점 |
Ⓘ | 중소기업이라도 보안관리 규정의 제정 및 시행을 하지 않은 점 |
Ⓘ-1 | 보안담당부서 내지 보안담당자 지정하지 않은 점 |
Ⓘ-2 | 정기적인 보안검사 내지 보안교육 등을 실시하지 않은 점 |
Ⓙ | 네트워크를 통한 물리적인 접근가능성 |
Ⓙ-1 | 접근할 수 있는 대상자나 접근방법을 제한하는 조치를 취하지 않은 점 |
Ⓚ | 특허출원된 발명의 경우 출원된 내용 이외의 정보가 비밀로 관리되었는지 |
- 김성용 · 정관영, “법조(法曹)영역으로의 인공지능 도입에 대한 제언”-영업비밀 침해사건을 중심으로-, LAW & TECHNOLOGY, 서울대학교 기술과 법센터, 제15권 제2호(2019). 참조
- 영업비밀유지 의무를 부담시키고 또 그 비밀유지의무를 실질적으로 담보하기 위해 퇴직 후 일정기간 경업금지의무를 부담시키는 내용 포함. 단, 직업선택의 자유에 관한 헌법규정에 반하지 않는 범위에서.
- 김성용 · 정관영, supra note 2.
2. 기업이 꼭 준수해야하는 기업정보의 관리방법(영업비밀 침해 방지를 위한 컴플라이언스)
기업은 자사의 영업비밀보호를 위해 크게 3가지 즉 ① 제도적 장치(ex, 관리규정 제정, 영업비밀 분류, 영업비밀 지정 및 표시, 접근권한자 지정) ② 물리적 보안 장치(ex, 보안시스템, 통제구역 설정, 컴퓨터 보안 및 통신 보안, 보안서류 표시) ③ 인적 장치(ex, 종업원 관리, 거래처 및 협력업체의 관리)와 같은 전략을 갖추어야 한다. 이를 항목별로 구체화 하면 아래와 같이 정리할 수 있다.
정보시스템 보안 강화 및 감시체계구축
- 메일의 송수신처의 제한
- web메일로의 접근제한
- web사이트 열람제한
- 로그 감시체계
비밀관리규칙 제정
- 모든 직원이 영업비밀의 존재를 인식할 수 있도록 교육하고 표시
- 영업비밀 ‘관리규칙’ 또는 ‘문서관리규칙’을 제정하여 비밀로 관리하는 문서의 관리 및 분류, 파기 등의 절차를 명문화
접근통제 및 개발부서의 분리
- 기업기밀과 연관된 연구개발 및 생산공정은 장소적 분리 및 보안 필요
- 기업정보에 대해 특정 관계자 외의 접근 통제
- 출입 시 영업비밀 취급 부서의 회사 ID카드와 별도의 ID카드로 출입하도록 설정
- 내부 네트워크상 공유파일에도 영업비밀 표시
비밀유지의무 부과
- 내부적 정보를 다루는 모든 사원과 대외적 용역개발 모두 일정한 비밀유지의무가 발생함을 유의하여야 함(용역개발계약서에 비밀유지조항을 포함)
- 고용계약서 또는 서약서에 비밀유지의무를 명시(신입 직원에게는 전직 회사의 영업비밀을 의무기간 동안 비밀로 유지하도록 주의)필요
전직금지의무 부과
- 연구개발부서의 직원이 경쟁기업으로 옮겨 비밀을 유출할 것을 대비하여 당해 직원과 전직금지 계약 체결 필요(다만 과도한 기간 설정은 약정자체가 무효가 될 수 있으니 유의)
재직 종업원 관리
- 청렴윤리경영 가이드라인 수립 및 이에 대한 지속적인 교육
- Monitoring/Auditing
- 징계 기준 마련
퇴사자 관리
- 연구개발부서의 직원 또는 영업비밀 관리부서의 직원이 퇴직 할 경우 영업비밀에 대한 인수인계를 철저히 한다.
- 영업비밀 관련 서류 및 프로그램 등 일체를 반납토록 하며 파일 삭제를 요구하여야 한다.
- 영업비밀유지 의무 또는 전직금지 의무 사항을 상기시켜 위반 시 처벌될 수 있음을 설명한다.
이상 살펴본 바와 같이 기업은 자사의 중요 정보를 소중하게 관리하기 위해 법원이 제시한 비밀관리성 기준과 기업정보의 관리방법을 참고하여 내부통제강화를 위한 자체시스템 확보에 최선을 다하여야 한다. 특히 벤처회사 등 소수의 인적구성과 끈끈한 신뢰를 토대로 운영되는 소위 ‘가족과 같은 분위기의 회사’는 비밀유지서약서 및 전직금지약정을 체결하지 않는 것이 문제이므로, 종업원 관리(서약서 및 지속적인 교육) 및 퇴사자 관리에 주의를 기울여야 한다.