- 지식재산
- 영업비밀ㆍ산업기술
- 59. 영업비밀 관리로서 보안서약서의 필요성과 작성 요령
59.영업비밀 관리로서 보안서약서의 필요성과 작성 요령
영업비밀 관리로서 보안서약서의 필요성과 작성 요령
보안서약서란 회사의 영업비밀 등의 정보를 관리하기 위하여 작성하는 서면으로서 통상 정보 접근자에게 비밀유지의무를 부과하기 위하여 작성된다. 보안서약서는 경우에 따라서는 영업비밀보호서약서, 영업비밀보안서약서, 회사비밀보안서약서, 기빌보호서약서 등의 명칭으로도 사용된다.
보안서약서가 필요한 법적 근거는 2가지 정도에서 찾을 수 있다.
첫째, 판례에 따르면 영업비밀은 비공지성, 경제적 유용성, 비밀관리성 등의 요건을 갖추어야 하고, 비밀관리성에 대하여 “정보가 비밀이라고 인식될 수 있는 표시를 하거나 고지를 하고, 정보에 접근할 수 있는 대상자나 접근 방법을 제한하거나 정보에 접근한 자에게 비밀준수의무를 부과하는 등 객관적으로 정보가 비밀로 유지ㆍ관리되고 있다는 사실이 인식 가능한 상태”라고 설명하고 있는바, 보안서약서는 정보 접근자에게 비밀준수의무를 부과하는 가장 일반적이고 전형적인 수단에 해당한다.
즉 보안서약서가 필요한 이유는, 기업이 스스로의 정보에 대하여 영업비밀로 인정을 받으려면 정보 접근자에게 비밀준수의무를 부과해야 하는데, 이 비밀준수의무를 부과하는 가장 일반적인 방법이 보안서약서 징구인바, 결국 기업은 보안서약서를 징구받아야만 스스로의 정보에 대하여 영업비빌로 보호를 받을 수 있다는 의미이다.
둘째, 영업비밀보호법 제3호 라목 내지 마목은 영업비밀 침해 행위를 열거하고 있다. 대표적으로 라목을 보면, ‘계약관계 등에 따라 영업비밀을 비밀로서 유지하여야 할 의무가 있는 자가 부정한 이익을 얻거나 그 영업비밀의 보유자에게 손해를 입힐 목적으로 그 영업비밀을 사용하거나 공개하는 행위’라고 규정하고 있는바, 이를 보안서약서에 대입하면, 보안서약서를 작성하여 비밀유지의무가 존재한 자에 대하여만 기업은 영업비밀 침해를 주장할 수 있다는 것이다.
반대로 하면, 보안서약서를 작성하지 않아 비밀유지의무가 없다면, 그 자가 회사의 영업비밀을 사용하거나 공개해도, 회사는 아무런 제재를 가할 수 없게 된다.
이처럼 영업비밀은 기업의 정보를 영업비밀로 인정받게끔 하기도 하고, 기업의 기업 정보의 무단 사용이나 공개하는 자에 대하여 영업비밀 침해를 주장할 수 있는 중요한 근거가 된다.
따라서 기업은 보안서약서를 정보 접근자 또는 정보 접근 가능한 자에게 반드시 징구받아야만 하고, 이것이 기업의 영업비밀 관리의 중요한 기초가 된다.
법적 근거 외에 보안서약서가 실무상 필요한 이유는 크다.
보안서약서는 민사상 계약이다. 계약은 일방이 타방에게 의무를 부과하는 과정인데, 보안서약서를 작성한 직원은 그렇지 않은 직원에 비교하여 자신이 관리하는 정보에 대하여 책임감과 심적 부담을 가지게 된다. 외부의 유혹이 있더라도 보안서약서 때문에 이겨내는 경우도 있고, 일탈을 꿈꾸다가도 자신의 서명한 보안서약서 때문에 일탈을 접기도 한다.
이러한 심리적 부담은 기술적 보안과 함께 작용하면 매우 큰 시너지 효과를 누릴 수 있다. 흔히 ‘보안은 심리다’라는 말이 있다. 기술적 보안만으로는 결코 완벽한 보안은 이룰 수 없는바, 보안서약서에 의하여 증진된 보안심리와 함께라면 그야말로 완벽한 보안에 근접할 수 있다.
다시 말하면, 보안서약서는 정보 접근자에 대하여 보안심리로 작용함으로써, 기술적 보안을 보완하는 결정적 역할을 하게 된다.
보안서약서에는 어떠한 내용이 들어가야 하는가? 많은 보안담당자의 초미의 관심사가 아닐 수 없다. 보안서약서에 포함되어야 하는 각 조항을 구체적으로 살펴보기로 한다.
1) 보유정보의 비밀유지 및 정보의 유출ㆍ누설ㆍ공개 금지 조항
보안서약서의 가장 기본적인 내용이라 할 수 있다. 다만 이 조항 작성시 주의해야 할 것은 비밀유지의 대상을 어느 정도 구체적으로 기술해야 한다는 것이다. ‘회사가 생성하는 모든 정보’ 등으로 추상적으로 기재하면 이 조항이 무효가 될 수 있기 때문이다. 비밀유지의 대상은 현재 보유정보뿐만 아니라 앞으로 보유할 수 있는 정보도 포함하는 것이 타당하다.
2) 외부 비밀정보의 보유ㆍ이용 금지 조항
특히 경력직 임직원의 경우 이전 직장에서의 비밀정보를 현재 직장 PC 등에 보관하고 사용하는 경우가 적지 않다. 이 경우 현재 직장은 본의 아니게 기술유출 사건의 공범으로 몰릴 수 있는바, 이러한 점을 미연에 차단하고자 외부의 비밀정보를 회사 PC 등에 보관하지 못하게 하고 이를 이용하지 못하도록 하기 위한 조항이다.
3) 권한 외 접근이나 출입 금지 조항
직원이 보유한 정보 외의 정보에 무단으로 접근하는 것을 막고, 시스템 오류 등으로 우연히 접근할 수 있더라도 열람하지 못하게 하며, 주어진 접근권한을 벗어나서 접근을 시도하거나 출입이 금지된 곳의 출입을 금지하지 못하게 하기 위한 조항이다. 접근하지 못하는 정보 등에 대하여도 비밀유지의무가 있음을 밝히고 있다.
4) 업무외 이용 및 사적 이용 금지 조항
직원이 보유한 정보나 우연히 취득한 회사의 정보 등을 업무 외적으로 이용하거나 개인적 용도나 사익을 추구하기 위하여 이용하는 것을 금지하기 위한 조항이다.
5) 퇴사시 반납 및 개인적 보유 금지 조항
불법적으로 정보 취득을 금지시키는 외에 적법하게 취득한 정보라도 퇴사시 반드시 반납하도록 의무를 부여하는 조항이다. 예컨대 회사가 업무를 위하여 준 정보라도 퇴사시 반드시 반납하여야 하는바, 이를 관철하기 위한 조항이다.
6) 회사의 보안정책 준수 및 관리상의 주의의무 조항
출입카드 상시 착용ㆍ정보 반출시 승인 절차ㆍ스마트폰 반입 금지ㆍ퇴사시 ID 반납 등의 보안정책 또는 영업비밀관리규정에 대한 준수의무를 부과하는 조항이다. 중요한 보안정책은 보안서약서의 조항 형식으로 만드는 것이 바람직하지만 모든 보안정책이 보안서약서에 포함될 수 없는바, 비록 보안서약서에 포함되지 않는 것이라도 회사의 보안정책을 따라야 한다는 의미이다. 보안서약서의 일반 조항이라 할 수 있다.
나아가 회사의 정보는 선량한 관리자의 주의의무를 다하여 관리하여야 하는바, 관리상의 주의의무 조항은 부주의한 관리를 막기 위한 조항이다.
7) 회사 정보의 자문이나 교육의 금지 조항
기술 유출은 서류나 전자파일 등의 유출 형식으로 이루어지기도 하지만, 경우에 따라서는 교육이나 자문 등의 형식으로 이루어지도 한다. 교육이나 자문 등을 통한 기술유출은 개념상 영업비밀 유출로 보기 어려운 점이 있는바, 이러한 문제점을 해결하기 위한 조항이다. 다만 통상적인 학술활동이나 교수활동까지 막는 것은 위헌적 소지가 있기 때문에 적절한 선을 지키는 것이 필요하다.
8) 생성 정보의 회사 소유 인정 조항
많은 근로자들은 자신이 생성한 정보나 파일은 자신의 것이라고 생각하는 경향이 있고, 이러한 생각 때문에 기술유출에 대한 죄책감을 느끼지 못하기도 한다. 생성 정보의 회사 소유 인정 조항은 근로자들의 잘못된 생각을 바로 잡고 기술유출의 근원적 동기를 원천적으로 차단하기 위한 조항이라 할 수 있다.
9) 모니터링ㆍ감사 수인 및 분쟁시 회사에 대한 협조 조항
보안 목적이라도 회사가 직원의 이메일, PC 등을 열어보고 디지털포렌식하며 모니터링하기 위해서는 그 직원의 사전 동의를 얻어야 하는바, 보안서약서에 이러한 조항이 들어 있으면 긴급한 감사나 평상시 점검시에 유용하게 활용할 수 있다. 분쟁시 회사에 대한 협조 조항은 분쟁시 회사에 대한 협조를 미리 구함으로써 묵시적 공모를 줄일 수 있게 하는 조항이다.
10) 전직금지 또는 겸직금지 조항
대표적인 인적보안 조항이다. 전직금지 조항은 퇴사 이후 경쟁업체나 동종업종에 취업 또는 창업 등을 하지 않겠다는 조항이고 겸직금지 조항은 재직 중 경쟁업체나 동종업종의 회사에서 일정한 직을 맡지 않겠다는 조항이다. 전직금지 조항의 경우 기간이 지나치게 장기이면 무효가 될 수 있다는 점의 유의하여야 한다.
11) 위약벌 또는 손해배상액의 예정
중대한 보안정책의 위반이나 보안서약서 미준수의 경우에, 위약벌을 부담시키거나 손해배상액의 예정을 미리 약정하는 조항이나, 이 조항은 자칫 근로자의 심리적 거부감을 줄 수 있다는 점에 유의하여야 한다.
이상 보안서약서에 들어갈 수 있는 조항에 대하여 살펴보았다. 다만 대상이 입사자 또는 재직자이냐 아니면 퇴사자이냐, 임원이냐 아니면 직원이냐, 내부인이냐 아니면 외부인이냐, 적용시점이 상시이냐 아니면 특정 프로젝트이냐 등의 각 사정에 따라 일부 조항을 배제하거나 일부 조항을 강조하여야 한다.
