개인정보위, 개인정보를 목적 외로 이용한 ㈜우리카드에 과징금 134억 5,100만 원 부과

- "내부통제 및 안전조치 강화, 직원에 대한 교육 및 관리·감독 철저" 시정명령 병행

  개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 3월 26일(수) 제7회 전체회의를 열고, ｢개인정보 보호법｣(이하 '보호법')을 위반한 ㈜우리카드에 134억 5,100만 원의 과징금 부과와 더불어 시정명령·공표명령을 의결하였다.

  개인정보위는 '24년 4월 ㈜우리카드의 신고와 함께 "(주)우리카드 가맹점 대표자(이하 '가맹점주')의 개인정보가 카드 신규 모집에 이용된다"는 언론보도 등에 따라 조사에 착수하였고, 조사 결과 ㈜우리카드가 가맹점주의 개인정보를 동의 없이 신규 카드발급 마케팅에 활용한 행위와 영업센터 직원이 이를 카드 모집인에게 전달한 사실을 확인하였다.

  <사실관계>

  ㈜우리카드 인천영업센터는 신규 카드발급 마케팅을 통한 영업실적 증대를 위해 '22년 7월부터 '24년 4월까지 카드가맹점의 사업자등록번호를 가맹점 관리 프로그램에 입력하여 가맹점주 최소 131,862명의 성명, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회하였고,

  카드발급심사 프로그램에서 가맹점주의 주민등록번호를 입력하여, 해당 가맹점주가 ㈜우리카드에서 발급한 신용카드(이하 '우리신용카드')를 보유하고 있는지 확인한 후, 출력된 가맹점 문서에 이를 기재 및 촬영하여 카드 모집인 등이 참여한 카카오톡 단체채팅방에 공유하였다.

  특히, '23년 9월부터는 가맹점주 및 카드회원의 개인정보를 처리하는 데이터베이스(이하 'DB')에서 정보조회 명령어를 통해 가맹점주의 개인정보 및 우리신용카드 보유 여부를 조회한 후 개인정보 파일로 생성하였으며, '24년 1월 8일부터 4월 2일까지 1일 2회 이상 총 100회에 걸쳐 가맹점주 75,676명의 개인정보를 카드 모집인에게 이메일로 전달하였다.

  이처럼 최소 207,538명의 가맹점주의 정보를 조회하여 이를 카드 모집인에게 전달하였고 해당 정보는 우리신용카드 발급을 위한 마케팅에 활용되었는데, 해당 내역의 가맹점주 중 74,692명은 마케팅 활용에 동의한 사실이 없었다. 

  <위반행위>

  보호법은 수집·이용 범위를 초과하여 개인정보를 이용하여서는 안 된다고 규정하고 있는바, ㈜우리카드가 가맹점 관리 등 목적으로 수집한 개인정보를 우리신용카드 발급 등 마케팅에 활용한 것은 개인정보 목적 외 이용·제공 제한 규정(보호법 제18조제1항)을 위반한 것이다. 또 이 과정에서 법률에 근거하지 않고 주민등록번호를 처리한 것은 주민등록번호 처리의 제한 규정(보호법 제24조의2제1항)도 위반한 것이다.

  또한, ㈜우리카드가 DB 접근권한, 파일 다운로드 권한 및 주민등록번호가 포함된 개인정보의 열람 권한 등을 사실상 개별 부서에 해당하는 영업센터에 위임하여 운영하고 있으면서, 접근권한 부여 현황 파악, 접속기록 점검 등 내부통제를 소홀히 한 것으로도 밝혀졌다.

  구체적으로 ㈜우리카드는 영업센터 직원 업무와 무관하게 DB 접근권한을 부여하여 가맹점주 정보를 조회할 수 있게 했다. 심지어 영업센터에서 월 3천만 건 이상의 대량 개인정보 조회·다운로드가 발생하였음에도 이를 점검·조치하지 않는 등 사실상 가맹점주나 신용카드 회원 정보를 조회·이용하는 것을 방치하고 있었다.

  이에 따라, 개인정보위는 ㈜우리카드가 가맹점주의 개인정보를 목적 외로 이용한 행위 등에 대해 과징금 134억 5,100만 원을 부과하는 한편, 개인정보 오·남용을 방지하기 위한 내부통제 강화, 접근권한 최소화 및 점검 등 안전조치의무 준수, 개인정보취급자에 대한 관리·감독 강화 등을 시정명령하고, 처분받은 사실을 홈페이지 등에 공표하도록 하였다.

  <이번 조사·처분의 의의>

  개인정보위는 당초 개인정보의 수집·이용 목적을 벗어난 개인정보의 처리는 위법이라는 점을 강조하는 한편, 

  직원 등 개인정보취급자의 개인정보 접근권한을 주기적으로 점검하고, 불필요한 개인정보 조회나 이용이 없는지 접속기록도 확인하는 등 내부통제 시스템을 잘 갖추어야 한다고 당부하였다.

  아울러, 지난해 12월 손해보험사에 대한 조사·처분에 이어 카드사에 대한 이번 처분을 통해 금융회사 또한 보호법이 적용될 수 있으므로, 보호법 준수 여부를 다시 한번 점검할 필요가 있다고 말했다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사1과 신혜영(02-2100-3120), 최우석(02-2100-3113), 이상훈(02-2100-3150)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”