개인정보위, '25년 상반기 시정명령 등 이행점검 결과 발표

- 총 108건 이행실태 점검 결과, 약 95.3% 이행 완료

- 메타, 손해보험사, 대학 등도 개인정보위의 시정명령 이행 완료

  개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 12월 10일(수) 제26회 전체회의에서 '25년 상반기 중 이행 기간('24.10월~'25.6월 중 의결)이 도래한 108건*의 시정명령(권고), 개선권고, 공표명령 등 내용에 대한 이행실태를 점검한 결과, 103건(약 95.3%)이 이행되거나 이행계획이 제출됐다고 밝혔다. (기업·기관별 점검 결과 붙임 참고)

  * 보호법 상 안전조치 의무(58.3%, 62건), 개인정보 파기(20.3%, 22건), 합법처리 근거(14.8%, 13건) 순

 <합법처리근거(동의 등) 관련>

  이번 이행점검에는 "이용자의 적법한 동의 없이 종교·정치관, 동성애 등 민감정보를 수집·생성하고 이를 맞춤형(타겟팅) 서비스·광고 등에 활용한 메타(Meta) 처분* 건"이 포함되었다. 개인정보위의 시정명령 처분에 대해 메타는 민감정보 기반 맞춤형 광고 타겟팅 옵션을 삭제하였다.

  * 2024년 제18회 위원회 전체회의 심의·의결(과징금 216억, 시정명령 등 처분, '24.11.4.)

  또한, 정보주체의 개인정보 수집·이용 동의 위반으로 처분('24.12월)을 받은 손해보험사*의 경우, 보험료 계산 시 상품소개·혜택안내 미동의자에 대한 동의 재유도 팝업 화면 삭제 등 동의 절차를 개선하고, 보험료 계산을 중단하거나 미계약한 경우는 개인정보 자동 파기 조치도 병행하였다.

  * 현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험 등 12개 社

 <개인정보 안전조치 관련>

  올해 6월 안전조치 의무 소홀로 개인정보가 유출되어 과징금, 시정명령 등 처분을 받은 대학 2곳에 대한 시정조치는 이행된 것으로 확인되었다.

  전북대의 경우, 주요 정보시스템 대상 모의해킹 훈련 및 취약점 점검·조치, 사이버 위협 탐지·대응 시스템 적용, 보안관제 플랫폼 구축하는 등 안전조치를 강화하였다. 이화여대는 학사행정 시스템 인증 강화, 24시간 원격 보안관제 시스템 도입, 모의해킹 실시 및 취약점 조치 등 보안을 강화하였다.

  아울러, 클라우드 사업자*에 대한 사전 실태점검 결과 이루어진 개선권고도 모두 이행된 것으로 밝혀졌다. 해당 사업자는 이용사업자가 보호법 상 안전조치 의무 준수할 수 있도록 클라우드 서비스 내 추가 설정 및 별도 솔루션 구독 내용 등이 담긴 '이용사업자용 가이드라인'을 마련하였다.

  * 아마존(AWS), 마이크로소프트(Azure), 네이버클라우드(Naver Cloud Platform)

 <개인정보 파기 관련>

  보유기간이 경과된 비회원의 개인정보를 파기하지 않아 대규모 개인정보 유출에 영향을 끼쳐 올해 3월 처분받은 모두투어도 개인정보위의 시정조치에 대해 ERP(전사적 자원관리) 시스템의 정기점검 시 파기 사항을 추가하여 개인정보가 자동 파기될 수 있도록 조치하였다. 또한 모두투어는 파기현황 점검과 함께 개인정보 보호책임자(CPO) 내부 결재 체계 마련 등 개인정보 파기 프로세스를 개선한 것으로 확인되었다.

  작년 11월까지 실시된 소셜로그인 서비스에 대한 사전 실태점검과 관련하여, 올해 2월에 개선권고 받은 소셜로그인 5개 사업자*도 적극적인 개선 노력이 확인됐다. 주요 내용으로는 이용자가 소셜로그인 계정을 탈퇴(연동 해지)하거나 소셜로그인 이용사업자의 웹·앱 탈퇴 시 해당 정보주체의 개인정보가 적시에 파기될 수 있도록 소셜로그인 사업자는 소셜탈퇴 및 연동 해지 방법·기능(Callback URL, 토큰만료 API 등)을 개발자 문서 등에 안내하는 등 조치하였다.

  향후, 개인정보위는 시정조치 점검 중인 피심인(3개, 5건)*에 대한 이행 여부를 추가 확인 및 이행 독려를 철저히 하는 한편, 시정명령 유형화·구체화, 이행점검 체계 강화 등 시정명령 실효성 제고를 위한 제도개선도 병행할 예정이다.

* 유출통지 의무 관련 시정권고 건(노원구), 안전조치 의무 관련 시정명령 건(컴티), 아동 연령확인 절차 도입 등 개선권고 건(월드코인) 등

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사총괄과 허재형(02-2100-3093)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”