(포탈뉴스통신) 개인정보보호위원회는 3월 26일 제7회 전체회의를 열고, '개인정보 보호법'을 위반한 ㈜우리카드에 134억 5,100만 원의 과징금 부과와 더불어 시정명령·공표명령을 의결했다.

 

개인정보위는 2024년 4월 ㈜우리카드의 신고와 함께 “(주)우리카드 가맹점 대표자의 개인정보가 카드 신규 모집에 이용된다”는 언론보도 등에 따라 조사에 착수했고, 조사 결과 ㈜우리카드가 가맹점주의 개인정보를 동의 없이 신규 카드발급 마케팅에 활용한 행위와 영업센터 직원이 이를 카드 모집인에게 전달한 사실을 확인했다.

 

㈜우리카드 인천영업센터는 신규 카드발급 마케팅을 통한 영업실적 증대를 위해 2022년 7월부터 2024년 4월까지 카드가맹점의 사업자등록번호를 가맹점 관리 프로그램에 입력하여 가맹점주 최소 131,862명의 성명, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회했고, 카드발급심사 프로그램에서 가맹점주의 주민등록번호를 입력하여, 해당 가맹점주가 ㈜우리카드에서 발급한 신용카드를 보유하고 있는지 확인한 후, 출력된 가맹점 문서에 이를 기재 및 촬영하여 카드 모집인 등이 참여한 카카오톡 단체채팅방에 공유했다.

 

특히, 2023년 9월부터는 가맹점주 및 카드회원의 개인정보를 처리하는 데이터베이스에서 정보조회 명령어를 통해 가맹점주의 개인정보 및 우리신용카드 보유 여부를 조회한 후 개인정보 파일로 생성했으며, 2024년 1월 8일부터 4월 2일까지 1일 2회 이상 총 100회에 걸쳐 가맹점주 75,676명의 개인정보를 카드 모집인에게 이메일로 전달했다.

 

이처럼 최소 207,538명의 가맹점주의 정보를 조회하여 이를 카드 모집인에게 전달했고 해당 정보는 우리신용카드 발급을 위한 마케팅에 활용됐는데, 해당 내역의 가맹점주 중 74,692명은 마케팅 활용에 동의한 사실이 없었다.

 

보호법은 수집‧이용 범위를 초과하여 개인정보를 이용하여서는 안 된다고 규정하고 있는바, ㈜우리카드가 가맹점 관리 등 목적으로 수집한 개인정보를 우리신용카드 발급 등 마케팅에 활용한 것은 개인정보 목적 외 이용‧제공 제한 규정(보호법 제18조제1항)을 위반한 것이다. 또 이 과정에서 법률에 근거하지 않고 주민등록번호를 처리한 것은 주민등록번호 처리의 제한 규정(보호법 제24조의2제1항)도 위반한 것이다.

 

또한, ㈜우리카드가 DB 접근권한, 파일 다운로드 권한 및 주민등록번호가 포함된 개인정보의 열람 권한 등을 사실상 개별 부서에 해당하는 영업센터에 위임하여 운영하고 있으면서, 접근권한 부여 현황 파악, 접속기록 점검 등 내부통제를 소홀히 한 것으로도 밝혀졌다.

 

구체적으로 ㈜우리카드는 영업센터 직원 업무와 무관하게 DB 접근권한을 부여하여 가맹점주 정보를 조회할 수 있게 했다. 심지어 영업센터에서 월 3천만 건 이상의 대량 개인정보 조회‧다운로드가 발생했음에도 이를 점검‧조치하지 않는 등 사실상 가맹점주나 신용카드 회원 정보를 조회‧이용하는 것을 방치하고 있었다.

 

이에 따라, 개인정보위는 ㈜우리카드가 가맹점주의 개인정보를 목적 외로 이용한 행위 등에 대해 과징금 134억 5,100만 원을 부과하는 한편, 개인정보 오·남용을 방지하기 위한 내부통제 강화, 접근권한 최소화 및 점검 등 안전조치의무 준수, 개인정보취급자에 대한 관리·감독 강화 등을 시정명령하고, 처분받은 사실을 홈페이지 등에 공표하도록 했다.

 

개인정보위는 당초 개인정보의 수집·이용 목적을 벗어난 개인정보의 처리는 위법이라는 점을 강조하는 한편, 직원 등 개인정보취급자의 개인정보 접근권한을 주기적으로 점검하고, 불필요한 개인정보 조회나 이용이 없는지 접속기록도 확인하는 등 내부통제 시스템을 잘 갖추어야 한다고 당부했다.

 

아울러, 지난해 12월 손해보험사에 대한 조사‧처분에 이어 카드사에 대한 이번 처분을 통해 금융회사 또한 보호법이 적용될 수 있으므로, 보호법 준수 여부를 다시 한번 점검할 필요가 있다고 말했다.

[뉴스출처 : 개인정보보호위원회]