내부통제, 안전조치 강화, 직원교육, 관리감독 시행 명령
[인더스트리뉴스 이주엽 기자] 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 지난 26일 제7회 전체회의를 열고 개인정보보호법(이하 ‘보호법’)을 위반한 ㈜우리카드에 134억 5100만원의 과징금과 시행명령을 부과하기로 의결했다.
개인정보위는 지난해 4월 ㈜우리카드의 신고 등에 따라 조사에 착수해 가맹점 대표자의 정보를 본인 동의 없이 신규 카드발급 마케팅에 활용한 행위와 영업센터 직원이 이를 카드모집인에게 전달한 사실을 확인했다.
㈜우리카드 인천영업센터는 2022년 7월부터 2024년 4월까지 카드가맹점의 사업자등록번호를 통해 가맹점주 13만여명의 개인정보를 조회하여 신용카드 보유 여부를 확인하는 등 보호법을 위반한 것으로 나타났다.
개인정보위는 가맹점 관리 등의 목적으로 수집한 개인정보를 신용카드 신규발급 등 마케팅에 활용한 것은 개인정보 목적 외 이용·제공 제한 규정(제18조제1항)을 위반한 것이고 이 과정에서 주민등록번호 처리의 제한 규정(제24조의2제1항)을 위반했으며 DB 접근 권한, 파일 다운로드 권한 및 표시 제한된 개인정보의 열람 권한 등을 영업센터에 위임하여 운영하는 등 내부통제를 소홀히 한 것으로 판단했다.
다만, ㈜우리카드는 사고 직후 신속하게 원인으로 지적된 영업센터 직원의 내부단말거래 시스템에 대한 접근권한을 정리하고 DB 접근권한을 일괄 회수했다. 더불어 모든 외부메일 반출 시 정보보호부 승인을 거치도록 하는 등 추가 조치를 취했다.
개인정보위는 ㈜우리카드에 과징금을 부과하는 한편 개인정보 오·남용 방지를 위한 내부통제 강화, 접근권한 최소화 등 안전조치의무 준수, 개인정보취급자에 대한 관리·감독 강화 등을 시정명령하고, 처분받은 사실을 홈페이지 등에 공표하도록 했다.
우리카드 관계자는 “개인정보위의 지적사항에 대해 깊이 반성하고 있다"며 "재발 방지를 위해 DB 접근 통제 강화, DB 권한 분리 개선, 외부메일 통제 강화 등 시스템을 개선했다”고 강조했다.
이 관계자는 이어 “재발 방지를 위해 임직원 교육 및 정보보호 시스템 상시점검 등 내부통제를 더욱 강화할 것"이라며 "외부메일 개인정보 검출시스템 구축 등 정보보호 관리 시스템 구축 역시 진행하고 있다”고 밝혔다.
