개인정보보호법을 위반한 우리카드가 과징금 부과 명령을 받았다.

개인정보보호위원회(개인정보위)는 제7회 전체회의를 열고 개인정보보호법을 위반한 우리카드에 대해 134억5100만원의 과징금과 시행명령을 부과하기로 의결했다고 27일 밝혔다.

개인정보위는 지난해 4월 우리카드에 대한 조사에 착수, 가맹점 대표자의 정보를 본인 동의 없이 신규 카드발급 마케팅에 활용한 행위와 영업센터 직원이 이를 카드 모집인에게 전달한 사실을 확인했다고 설명했다.

개인정보위에 따르면 우리카드 인천영업센터는 지난 2022년 7월부터 지난해 4월까지 카드 가맹점의 사업자등록번호를 통해 가맹점주 13만1862명의 개인정보(성명, 주민등록번호, 휴대전화번호, 주소)를 조회했다.

인천영업센터는 카드발급심사 프로그램에 가맹점주의 주민등록번호를 입력, 해당 가맹점주가 우리카드를 보유하고 있는지 확인한 후 관련 내용을 카드 모집인 등이 모인 카카오톡 단체 채팅방에 공유했다.

특히 지난 2023년 9월부터는 가맹점주 및 카드회원의 개인정보를 처리하는 데이터 베이스(DB)에서 정보조회 명령어를 통해 가맹점주의 개인정보 및 우리신용카드 보유 여부를 조회한 후 개인정보 파일로 생성, 지난해 1월부터 4월까지 1일 2회 이상 총 100회에 걸쳐 가맹점주 7만5676명의 개인정보를 카드 모집인에게 이메일로 전달했다.

개인정보위는 가맹점 관리 등의 목적으로 수집한 개인정보를 신용카드 신규 발급 등 마케팅에 활용한 것은 개인정보 목적 외 이용·제공 제한 규정(제18조제1항)을 위반한 것이고, 이 과정에서 주민등록번호 처리의 제한 규정(제24조의2제1항)도 위반했다고 의결했다.

또 DB 접근 권한, 파일 다운로드 권한 및 표시 제한된 개인정보의 열람 권한 등을 영업센터에 위임해 운영하는 등 우리카드가 내부통제를 소홀히 했다고 판단했다.

개인정보위는 가맹점주의 개인정보를 목적 외로 이용한 행위 등에 대해 우리카드에 과징금 134억 5100만원을 부과하는 한편 개인 정보 오·남용을 방지하기 위한 내부통제 강화, 접근 권한 최소화 및 점검 등 안전조치의무 준수, 개인정보 취급자에 대한 관리·감독 강화 등을 시정명령하고, 처분받은 사실을 홈페이지 등에 공표하도록 했다.

이번 개인정보위 조사 결과와 관련, 우리카드 측은 “개인정보위의 지적사항에 대해 깊이 반성하고 있다"면서 "재발 방지를 위해 DB 접근 통제 강화, DB 권한 분리 개선, 외부메일 통제 강화 등 시스템을 개선했다”라고 밝혔다.

이어 “재발 방지를 위해 임직원 교육 및 정보보호 시스템 상시점검 등 내부통제를 더욱 강화할 것이며, 외부메일 개인정보검출 등 정보보호 관리 시스템 구축 역시 진행하고 있다”라고 덧붙였다.