개인정보보호위원회 - 개인정보 목적외 이용 ㈜우리카드 과징금 134억 5,100만 원 부과

개인정보위, 개인정보를 목적 외로 이용한 ㈜우리카드에 과징금 134억 5,100만 원 부과

- “내부통제 및 안전조치 강화, 직원에 대한 교육 및 관리‧감독 철저” 시정명령 병행

 

 개인정보위는 ’24년 4월 ㈜우리카드의 신고와 함께

“(주)우리카드 가맹점 대표자(이하 ‘가맹점주’)의

개인정보가 카드 신규 모집에 이용된다”는

언론보도 등에 따라 조사에 착수

조사 결과 ㈜우리카드가

가맹점주의 개인정보를 동의 없이 신규 카드발급 마케팅에 활용한 행위와

영업센터 직원이 카드 모집인에게 전달한 사실을 확인하였다.

 

 

<사실관계>

   ㈜우리카드 인천영업센터는

’22년 7월부터 ’24년 4월까지

카드가맹점의 사업자등록번호를

가맹점 관리 프로그램에 입력하여

가맹점주 최소 131,862명의 성명, 주민등록번호, 휴대전화번호, 주소 등

개인정보 조회

 

  카드발급심사 프로그램에서

가맹점주의 주민등록번호를 입력하여,

해당 가맹점주가

㈜우리카드에서 발급한 신용카드(이하 ‘우리신용카드’) 보유 여부 확인 후

출력된 가맹점 문서에 이를 기재 및 촬영하여

카드 모집인 등이 참여한 카카오톡 단체채팅방에 공유하였다.

 

  특히, ’23년 9월부터는 가맹점주 및 카드회원의 개인정보를 처리하는

데이터베이스(이하 ‘DB’)에서

가맹점주의 개인정보 및 우리신용카드 보유 여부를 조회한 후

개인정보 파일로 생성하였으며,

’24년 1월 8일부터 4월 2일까지 1일 2회 이상 총

100회에 걸쳐 가맹점주 75,676명의 개인정보를

카드 모집인에게 이메일로 전달하였다.

 

  이처럼 최소 207,538명의 가맹점주의 정보를 조회하여

카드 모집인에게 전달하였고

해당 정보는 우리신용카드 발급을 위한 마케팅에 활용되었지만

해당 내역의 가맹점주 중 74,692명은 마케팅 활용에 동의한 사실이 없었다. 

 

 

<위반행위>

  해당 행위는 개인정보 목적 외 이용‧제공 제한 규정(보호법 제18조제1항)을 위반한 것임

또 이 과정에서 법률에 근거하지 않고 

주민등록번호를 처리한 것은

주민등록번호 처리의 제한 규정(보호법 제24조의2제1항)도 위반

 

  또한, ㈜우리카드가 DB 접근권한, 파일 다운로드 권한 및

주민등록번호가 포함된 개인정보의 열람 권한 등을

사실상 개별 부서에 해당하는 영업센터에 위임하여 운영하고 있으면서,

접근권한 부여 현황 파악, 접속기록 점검 등 내부통제를 소홀히 한 것으로도 밝혀졌다.

 

영업센터에서 월 3천만 건 이상의

대량 개인정보 조회‧다운로드가 발생하였음에도

이를 점검‧조치하지 않는 등 사실상 가맹점주나 신용카드

회원 정보를 조회‧이용하는 것을 방치 함

 

<과징금 및 시정명령>

 과징금 : 134억 5,100만 원 부과

개인정보 오·남용을 방지하기 위한 내부통제 강화,

접근권한 최소화 및 점검 등 안전조치의무 준수,

개인정보취급자에 대한 관리·감독 강화 등을 시정명령

처분받은 사실을 홈페이지 등에 공표