개인정보위는 전날 제4회 전체회의를 열어 롯데카드의 주민등록번호 처리 위반과 관련해 이같이 의결했다.
|
이번 조사는 지난해 9월 22일 금융감독원이 롯데카드의 개인신용정보 누설 신고 사실을 개인정보위에 통보하면서 시작됐다.
관련 법 적용은 금융당국과 개인정보위가 역할을 나눠 진행했다. 개인신용정보 처리에 관한 사항은 신용정보의 이용 및 보호에 관한 법률이 우선 적용되는 반면, 해당 법에 규정되지 않은 개인정보 처리 사항은 개인정보 보호법이 적용된다.
이에 금융당국은 개인신용정보 유출과 관련한 안전조치 의무 위반 여부를 중심으로 조사했고, 개인정보위는 주민등록번호 처리 과정에서의 보호법 위반 여부를 집중적으로 살폈다.
개인정보위 조사에 따르면 롯데카드는 온라인 결제와 관련된 로그에 주민등록번호를 포함한 다수의 개인정보를 평문 형태로 기록하는 등 법에서 허용한 범위를 넘어 주민등록번호를 처리한 것으로 나타났다. 또 로그 파일에 대한 암호화 조치도 충분히 하지 않은 것으로 조사됐다.
특히 로그 파일에는 불가피한 경우 최소한의 개인정보만 기록해야 하지만, 롯데카드는 별도의 검토 없이 주민등록번호를 포함한 여러 개인정보를 저장해온 것으로 파악됐다. 개인정보위는 이러한 관행이 해킹 사고 당시 대규모 개인정보 유출로 이어진 주요 원인 중 하나로 판단했다.
개인정보위는 법적 근거 없이 주민등록번호를 처리한 행위와 충분한 암호화를 적용하지 않은 행위를 보호법 위반으로 보고 과징금 96억2000만원과 과태료 480만원을 부과했다. 또 처분 사실을 회사 홈페이지에 공표하도록 했다.
아울러 롯데카드에 대해 개인정보 처리 현황 전반을 점검하고 개인정보 보호책임자(CPO)의 책임성과 독립성을 강화하는 등 개인정보 보호 체계를 전반적으로 정비하라는 시정명령도 내렸다.
개인정보위는 이번 사건을 계기로 금융권의 주민등록번호 처리 관행에 대한 점검도 추진한다는 계획이다.
개인정보위는 “법적 근거가 없거나 불필요한 주민등록번호 처리가 관행적으로 이뤄지고 있는지 확인하기 위해 금융 분야 사업자를 대상으로 이달에 사전 실태점검을 진행할 예정”이라고 밝혔다.
|
