개인정보보호법위반 | 카드 가맹점주 개인정보 무단 활용한 W카드사, 과징금 134억원

개인정보보호법위반으로 과징금 처분을 받은 W카드사입니다.

개인정보보호위원회는 2024년 4월, W카드사가 가맹점 대표자(이하 가맹점주)의 개인정보를 카드 신규 모집에 활용되고 있다는 언론보도를 계기로 조사에 착수했습니다.

조사 결과, W사는 가맹점주의 개인정보를 동의 없이 신규 신용카드 발급을 위한 마케팅에 활용했으며, W사 인천영업센터 소속 직원이 이 정보를 카드 모집인에게 전달한 사실이 확인되었습니다.

W사 인천영업센터는 영업실적을 높이기 위해, 2022년 7월부터 2024년 4월까지 가맹점 관리 프로그램에 가맹점의 사업자등록번호를 입력하여, 최소 131,862명의 가맹점주 개인정보(성명, 주민등록번호, 휴대전화번호, 주소 등)를 조회했습니다.

또한 카드발급 심사 프로그램을 통해 가맹점주의 주민등록번호를 입력한 뒤, 해당 가맹점주가 W사 신용카드를 보유하고 있는지 여부를 확인하고, 그 내용을 출력물에 기재하거나 촬영하여 카드 모집인 등이 참여한 카카오톡 단체 채팅방에 공유했습니다.

특히 2023년 9월부터는, 가맹점주 및 카드회원의 개인정보를 보유한 데이터베이스(DB)에서 정보조회 명령어를 통해 가맹점주의 개인정보 및 카드 보유 여부를 조회하고 파일로 생성한 뒤, 2024년 1월 8일부터 4월 2일까지 총 100회에 걸쳐 75,676명의 개인정보를 이메일로 카드 모집인에게 전달한 것으로 확인됐습니다.

이처럼 최소 207,538명의 가맹점주 개인정보가 조회되어 카드 모집인에게 전달되었으며, 해당 정보는 W카드 발급 마케팅에 활용되었습니다.

그러나 이 중 74,692명의 가맹점주는 마케팅 활용에 대해 어떠한 동의도 하지 않은 상태였습니다.

W사의 🔗개인정보보호법위반 행위에 대해 개인정보보호위원회는 총 134억 5,100만 원의 과징금을 부과하고 ▲개인정보 오·남용 방지를 위한 내부 통제 강화 ▲접근 권한 최소화 및 점검 등 안전조치 의무 준수 ▲개인정보취급자에 대한 관리·감독 강화 등을 시정명령 했습니다.

이에 W사 측은 직원의 내부단말 시스템 접근 권한을 정리하고, 외부 메일 반출 시 정보보호부 승인을 거치도록 관리 시스템을 구축할 것으로 밝혔습니다.

또한 유사 사례 재발 방지를 위해 임직원 교육 및 정보보호 시스템 상시 점검 등 내부통제를 강화할 것으로 보입니다.

개인정보위는 “당초 개인정보 수집 때 동의를 받더라도 그 동의받은 범위를 벗어나 개인정보를 처리하는 것은 위법”이라며, 주기적으로 취급자의 권한이 제대로 부여되어 있는지, 정당하게 관리되어 불법적인 조회가 있는지 점검하는 자세가 필요하다고 강조했습니다.

개인정보위가 카드사에 과징금 처분을 한 것은 처음입니다.

개인정보위는 카드사의 정식 시정명령 통보일로부터 90일 이내 제출받은 대응방안을 검토하고, 과태료 부과 및 형사 고발로 이어질지 검토할 것이라고 덧붙였습니다.

이처럼 개인정보보호법위반은 수억~수백억 원 단위 과징금이 부과될 수 있으며, 위반 행위가 고의적이거나 반복된다면 형사처벌로까지 이어질 수 있는 사안입니다.

또한 행정처분 외에도 민사 손해배상 청구, 형사 고발, 공표 명령까지 받을 수 있기 때문에 전문 변호사의 도움을 받아 사건 초기부터 대응하는 것이 가장 중요합니다.

W사의 이번 처분은 개인정보의 수집∙이용 목적을 벗어난 개인정보 처리는 명백한 위법이라는 점을 보여준 사례였습니다.

또한 직원 등 개인정보취급자의 개인정보 접근권한을 주기적으로 점검하고, 불필요한 개인정보 조회나 이용이 없는지 접속기록도 확인하는 등 내부통제시스템을 잘 갖추어야 함을 보여주는 사례이기도 합니다.

법무법인 대륜은 관련 다수의 사건을 경험한 전문 변호사들이 팀을 이루어 개인정보 유출 사고 대응 전략 수립에 나서고 있습니다.

또한 기업 내 개인정보 컴플라이언스 체계 구축을 위한 개인정보 보호 조직·절차 설계, 내부 감사 프로세스 및 점검 항목 설계, 개인정보 보호책임자 지원 체계 구축 도움을 제공하고 있습니다.