개인정보위 제7회 전체회의 결과

<이정아 개인정보보호위원회 분쟁조정과장>
개인정보 손해배상책임 보장제도는 개인정보 유출 피해 발생 시 기업의 배상능력이 부족한 경우에도 피해구제가 가능하도록 보험·공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 의무화하는 제도입니다.

그동안 동 제도는 매출액이 10억 원 이상이면서 정보주체 수가 1만 명 이상인 개인정보처리자를 의무 가입 대상으로 했습니다.

하지만 전체 의무 대상 파악이 어려워 실질적 점검·관리를 위해 합리적 범위 조정이 불가피하고, 보험료 납입 대비 보장 범위가 좁으며, 제도에 대한 인식 부족으로 지급사례가 부족해 보험상품 개선 및 인지도 제고가 필요하다는 지적이 계속 되어 왔습니다.

이에 개인정보보호위원회는 정책 연구와 전문가·유관 협단체 의견 수렴을 통해 합리적 제도 정비, 보험료 및 보장범위 개선, 인지도 제고의 세 가지 방향에서 개선방안을 마련했습니다.

정책 목표는 개인정보 손해배상책임 보장제도 합리화로 피해구제 기반 마련입니다.

먼저, CPO 지정 기준 등 개인정보보호법상 타 제도의 기준을 고려해 의무 대상을 합리적으로 조정하겠습니다.

매출액 10억 원 이상, 정보주체 수 1만 명 이상을 매출액 1,500억 원 이상, 정보주체 수 100만 명 이상으로 조정할 계획입니다. 이를 위해 개인정보보호법 시행령을 개정할 계획입니다.

이와 더불어 의무 대상이 아닌 기업에 대해서는 인센티브 활성화 등을 통해 자발적으로 보험 가입 등 필요한 조치를 할 수 있도록 지원을 병행해 나갈 예정입니다.

두 번째로, 보헙 업계와 협의를 통해 보험료 인하, 보험 보장범위 확대 등 보험상품을 지속적으로 개선해 나갈 방침입니다. 2025년부터 약 50%의 인하 효과가 있었습니다.

구체적으로 단체 보험 활성화 등을 통해 보험료를 인하할 수 있도록 유도하고, 보험금이 지급되는 법률상 손해배상금의 범위에 개인정보보호위원회의 분쟁 조정을 통한 합의금이 포한된다고 명시하는 등 보험 약관상 보장 범위를 명확하게 할 예정입니다.

또한, 과징금 보험 특약상품을 확대하는 방안도 추진할 계획입니다. 지금은 일부 보험 상품에서만 특약으로 과징금을 보장하고 있었습니다.

마지막으로, 손해배상책임 보장제도를 통해 분쟁조정 손해배상금(합의금) 포함된 것도 보장된다는 사실을 적극적으로 알릴 계획입니다.

개인정보 분쟁조정 제도를 활용하면 소송에 비해서 시간과 비용을 줄일 수 있다는 큰 이점이 있습니다. 아울러, CPO 협의회, 유관 협단체 등과 의견 수렴, 설명회 등을 통해 개인정보 손해배상책임 보장제도를 적극 안내할 계획입니다.

이상입니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하세요? 지금 10억 원에서 1만 명 기준에서 얼마냐, 범위가 이렇게 변화가 되면 실제 대상이 몇 개 기업 정도에서 몇 개 기업으로 바뀌는 건가요?

<답변> 의무 대상의 변경 전과 변경 후가 어떻게 다른지 물으신 것 같은데요. 매출액 10억 원 이상의 경우 저희가 통계청 조사 결과를 추산해 봤을 때 63만 개가 됩니다. 그런데 and 기준으로 이 중에 1만 명 이상이라고 했을 때 정보주체 수를 공개 공시하는 제도가 없기 때문에 다른 조사 결과, 예를 들어서 보호조사, 개인정보보호 활용조사 결과를 가지고 추산해 봤을 때는 8만 3,000개 정도 그리고 금감원에서 이번에 저희가 협조 요청해서 손해보상보험협회에서 가입한 현황을 받은 자료에 따르면 38만 개가 됩니다. 현재로서는 의무 대상이 8만 3,000에서 38만 개로 굉장히 광범위하고 추정의 대상이 굉장히 넓습니다.

이를 다른 보호법상 여러 제도들을 참고해서 매출액 1,500억 이상의 월 100만 명의 정보주체 수를 추산해 보니 200여 개 정도가 나옵니다.

<질문> 그러면 이번 조치로 8만 3,000개에서 38만 개로 확대됐다, 이렇게 봐도 되는 거예요?

<답변> 아닙니다. 반대입니다.

<질문> 반대예요?

<답변> 현재 의무 대상이 8만 3,000에서 38만 개로 너무 브로드하고 추정이 곤란한 것에 비해서 이번 조치로 의무 대상을 1,500억 원 이상에 100만 명으로 상향 조정할 경우에 대상은 200개 정도로 줄어듭니다.

<질문> 의무 대상이 아닌 기업에 대해서 인센티브 활성화를 한다는데 인센티브는 어떤 게 나가는지 그거 좀 궁금하거든요.

<답변> 의무 대상이 좁아지게 되면 의무 대상에서 벗어난 사업자에 대해서는 어떤 인센티브를 줄 수 있는지에 대해서도 여쭙... 물으신 것 같은데요. 개인정보 유출로 인한 과징금 산정 시에 과징금 지급 기준이 있습니다. 과징금 산출 기준이 있습니다. 거기에도 현재에도 피해구제를 한 경우에는 과징금을 감경하는 기준이 있는데요. 그것이 가장 대표적인 사례가 될 수 있을 것 같습니다.

그리고 할 수 있는 인센티브뿐만 아니라 보험료를 인하하고 그다음에 과징금도 보장되는 특약상품이 현재 시중 보험 상품 10개사의 약관을 확인해 봤을 때 한두 개 정도가 과징금도 보장하는 특약상품이 있습니다. 보험업계와도 협의를 통해서 이런 과징금도 보장될 수 있다는 다양한 상품으로, 상품을 확대하는 것을 협조 요청할 예정입니다.

그렇게 되면 굳이 의무가 아니더라도 자발적으로 이 조치를 취함으로써 일반 국민들이 개인정보 유출로 인한 피해를 받을 때 피해구제에 문제가 없을 수... 문제없게끔 할 수 있도록 정부가 조치하겠습니다.


<김해숙 개인정보보호위원회 조사1과장>
안녕하세요? 조사1과장 김해숙입니다.

제가 말씀드릴 내용은 어제 전체회의에서 의결되었던 ㈜우리카드에 대한 처분 내용에 대해서 말씀드리겠습니다.

저희 개인정보위원회는 2024년 4월부터 우리카드가 개인정보 유출에 대한 신고를 했고 또 언론 보도에서 '우리카드 가맹점 대표자의 개인정보가 카드 모집에 이용됐다.'라는 언론 보도 등이 있어서 조사에 착수했고 그 결과는 다음과 같습니다.

먼저, 조사 결과에서 드러난 행동 방식... 행위 사실은 크게 두 가지가 있습니다.

첫 번째는 우리카드 인천영업센터에서 신규 카드 발급 마케팅을 통해서 영업실적을 증대하기 위해서 2022년 7월부터 2024년 4월까지 카드가맹점의 사업자등록번호를 기준으로 가맹점 관리 프로그램에 사업자등록번호를 입력한 다음에 가맹점주의 정보를 최소 13만 명의 정보를 조회를 했고, 그 조회한 정보를 카드발급심사 프로그램에 입력해서 해당 가맹점주가 우리카드를 가지고 있는지 여부를 확인한 다음에 그거를 출력물에 표시해서 카드 모집인에게 공유를 한 사실이 있습니다.

그다음에 두 번째는 2023년 9월부터, 이렇게 하는 방식이 조금 불편하다 보니까 2023년 9월부터는 가맹점주 정보와 카드 회원 정보를 처리하는 데이터베이스에 정보를 조회하는 명령어를 통해서 가맹점주의 개인정보와 우리카드 보유 여부를 조회한 다음에 그거를 파일로 생성을 해서 2024년 1월부터 4월까지 총 100회 이상을 우리카드 모집인에게 전달한 사실을 확인했습니다.

그래서 이렇게 전달한 정보들을 저희가 확인해 보니 최소 20만 명의 가맹점주 정보가 조회된 사실을 확인했고, 이렇게 해서 전달된 정보들은 우리카드를 발급하는 마케팅에 활용이 되었는데 이렇게 활용된 가맹점주들 중에서 약 7만 4,000명은 마케팅에 동의한 사실이 없다는 점을 저희가 확인을 했습니다.

그래서 저희 보호법상으로는 개인정보를 수집·이용한 범위를 초과해서 개인정보를 이용해서는 안 된다고 규정하고 있는데 우리카드가 가맹점을 관리할 목적으로 수집한 가맹점주의 개인정보를 우리카드 발급하는 마케팅에 활용을 했기 때문에 이 부분은 저희가 개인정보의 목적 외 이용 제한 규정, 18조에서 규정을 하고 있습니다. 이 규정을 위반한 것으로 저희는 판단을 했고, 또 이 과정에서 아까 보셨듯이 가맹점 관리 프로그램에서 확인한 주민등록번호를 카드 발급 시스템에 입력했기 때문에 이 과정은 저희가 법률상에 근거가 없는 주민등록번호 처리다, 라고 해서 저희 보호법 24조의2 위반으로 판단을 했습니다.

또 이 과정에서 저희가 확인을 한 내용은 이렇게 개인정보를, 가맹점주의 정보를 마구잡이로 조회를 할 수 있었던 것이 DB 접근권한이라든지 파일을 생성해서 다운로드하는 권한, 또는 주민등록번호가 화면에 표출될 수 있었던 이런, 열람을 할 수 있었던 이런 것들에 대해서 실질적인 통제가 어떻게 이루어졌느냐 확인을 해보니까 그게 본부에서 통제를 하는 것이 아니고 개별 부서에 해당하는 영업센터에서 직접 통제를 하고 있었고, 그렇게 통제를 하면서도 그 본부에서는 이 접근권한이 적절하게 부여가 되었는지, 또는 과도한 개인정보의 조회가 있었는지 이런 것들을 점검하지 않았기 때문에 내부 통제가 소홀히 했다, 라고 저희는 판단을 했고요.

실제 내부 통제 소홀로 드러난 사실 중에는 월 3,000만 건 이상의 개인정보를 조회했음에도 불구하고 왜 이렇게 많은 개인정보가 조회됐었는지 그거에 대한 확인한 사실이 없었기 때문에 내부 통제 소홀로 저희는 판단을 한 것입니다.

그래서 저희 개인정보위원회는 우리카드가 가맹점주의 개인정보를 목적 외로 이용한 행위 등에 대해서 과징금을 134억 5,100만 원을 부과했고, 조금 전에 보셨던 내부 통제를 강화하고 안전조치 의무를 준수해라, 라는 지금 측면에 대해서 시정명령을 하는 동시에 저희 보호법상의, 개정보호법상에서 시행되고 있는 홈페이지에 실제 우리카드 홈페이지에 이런 처분을 받았다, 라는 사실을 공표할 수 있도록 공표 명령을 내리게 되었습니다.

그래서 저희가 본 내용은 당초에 개인정보를 수집할 때 동의를 받더라도 그 동의받은 범위를 벗어나서 개인정보를 처리하는 것은 일단 위법이다, 라고 하는 점이고, 두 번째는 직원이나 이런 개인정보를 처리하는 개인정보취급자들에게 접근권한을 부여하더라도 주기적으로 그 권한이 제대로 부여가 되어 있고 정당하게 관리가 되고 있는지를 확인하고 불법적인 조회가 있었는지 이런 것들에 대해서 점검을 하는 것이 필요하다, 라는 점을 다시 한번 저희는 말씀드리고 싶고요.

이번 처분은 잘 아시는 것처럼 지난해 12월에 저희가 보험사에 대해서 처분을 한 적이 있었습니다. 그때 크게 4개 보험사에 과징금 부과 처분이 있었는데 그때 이어서 이번에 카드사를 저희가 처분하면서 금융회사 등도 물론 신용정보법을 준수해야 되지만 저희 보호법상의 규정들도 적용될 수 있기 때문에 이 점을 한 번 더 상기할 수 있는 계기가 되기를 바랍니다.

이상입니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하세요? 질문 두 가지가 있는데 이게 인천영업센터에서 무단으로 정보를 조회할 때 우리카드 본사에서는 아예 확인하는 절차 자체가 없었던 건지와, 그다음에 이번 검사는 인천센터에만 했는지 아니면 우리카드 전체를 했는지, 그리고 이번을 계기로 혹시 다른 카드사에도 검사를 확대하실 계획이 있는지까지 궁금합니다.

<답변> 네, 내용 말씀드리겠습니다. 일단은 본사에 확인 절차가 있었냐, 라는 부분은 이렇게 과도하게 점검을... 조회를 할 때 그 조회한 이력에 대해서 뭔가 본사에서 통제가 있었느냐, 라는 질문으로 이해가 되는데 아까 말씀드렸듯이 사후적으로라도 이 기록들을 점검해서 문제가 있게 이렇게 과도하게 조회하는 부분에 대해서 뭔가 이유를 확인하고 문제가 있을 때는 하지 못하도록 조치가 있었어야 되는데 그런 부분이 없었다, 라고 저희는 확인을... 확인된 내용으로는 없었다는 것을 확인했고요.

이게 인천센터만의 문제냐, 우리카드 전 사의 문제냐, 라고 말씀을 주신 것 같은데 저희가 확인한 것은 일단 인천영업센터에서의 내용을 확인했고, 하지만 이 부분에 있어서 아까 내부통제가 소홀했다는 점, 그러니까 본사에서의 뭔가 점검이라든지 확인이 없었다, 라는 이런 점을 들어서 우리카드 전체의 문제다, 라고 저희는 판단을 했고요.

타 카드사에 대해서는 저희가 인지조사를 할 수 있는 것은 아니고, 그렇기 때문에 타 카드사에 대해서 현재는 조사 계획은 없습니다.

<질문> (온라인 질의 대독) 질문이 없으시면 말씀드린 것처럼 문자로 보내주신 질문을 제가 대신 읽도록 하겠습니다. 머니투데이 기자의 질문이고요. 두 가지입니다. 첫 번째입니다. 어제 전체회의에서 사무처가 원안으로 제시한 과징금 액수가 궁금합니다. 회의 도중 가중되었다면 위원들께서는 어떠한 취지로 상향되었는지도 부탁드립니다.

그리고 두 번째 질문입니다. 우리카드사 건은 과징금 산정기준 중 고의가 인정되었는지요. 두 가지입니다.

<답변> 먼저, 두 번째 거부터 답을 드리겠습니다. 고의가 인정이 됐었기 때문에 저희가 과징금을 부과할 수 있었고 고의 인정 부분은 아까 내부통제 소홀이나 관리통제가 안 된 부분, 관리·감독이 안 된 부분을 중심으로 해서 저희가 고의가 있었다, 라고 판단을 했고, 이 고의에 대해서 저희는 일부 참작 사유가 있다고 해서 과징금 산정에서 그 부분을 고려했었는데 위원회에서 위원님들 논의하는 과정에서는 이거는 뭔가 참작할 만한 사유가 있다, 라고 보기 어려우니 고의에 대해서는 좀 더 중하게 판단을 해야 할 필요가 있다, 라고 해서 저희 원안보다는 과징금이 조금 더 상향되긴 했습니다. 그 규모는 그렇게 크지는 않습니다.

<질문> 그럼 이번에 조회된 게 가맹점주만이지 일반 회원들은 없었던 건가요?

<답변> 여기 우리카드에서 한 것은 가맹점주들에게 정확하게 신용카드 발급을 하기 위해서 정보를 조회했던 것이고 그래서 가맹점 관리 프로그램에서 먼저 조회를 해서 그 정보를 카드가 있는지, 없는지 여부만 확인하기 위해서 카드 발급 시스템을 확인하는 절차로 이용됐기 때문에 주 대상이 가맹점주였습니다.

<질문> 그럼 참작한 사유가 있다고 했었는데 이거는 우리카드 입장에서 참작을 해달라고 요청을 하는 거잖아요. 그거에 대해서 어떤 사유로 참작해 달라고 요청한 건지 그것 좀 여쭤보려고요.

<답변> 우리카드의 입장에서는 이게 외부에 공개적으로, 공중에 노출된 것도 아니고 우리카드 입장에서 이게 일부 영업센터에서만 일어난 일이니 그 부분을 참작해 달라, 라고 얘기를 했었고 저희 위원회 입장에서는 그 부분은 참작 사유에 해당하지 않는다, 라고 판단했던 겁니다.

<질문> (온라인 질의 대독) 지금 문자로 또 질의가 하나 들어왔습니다. 추가로 들어왔고요. 이번 질의는 문화일보의 기자의 질의입니다. 두 가지입니다. 첫 번째는 '우리카드 측이 데이터베이스를 통해 가맹점주의 정보를 파일로 생성했다는 내용은 가맹점주의 개인정보와 카드 보유 여부를 추출해 별개로 목록화했다고 이해하면 될까요?'라는 질의이고요.

두 번째입니다. 인천영업센터의 독단적인 행동인지 혹은 본사의 묵인이 있었던 점인지도 궁금합니다. 이렇게 두 가지 질의가 들어왔습니다.

<답변> 먼저, 첫 번째부터 말씀드리면 DB를 조회해서 파일을 생성한 것은 DB에 명령어들을, SQL문이라고 해서 보통 명령어들이 있는데 그 명령어를 이용해서 양쪽에 있는 데이터, 가맹점주의 정보가 있는 곳과 플러스 카드 보유 여부를 해서 파일 하나에 컬럼별로 가맹점주, 가령 저 같은 경우는 김해숙이면 김해숙 가맹점 및 가맹점주가 주소는 어떻게 되고 휴대전화 번호는 뭔데 우리카드를 가지고 있다, 이렇게 다 표시가 된 그러한 파일을 생성했던 것이고요. 그래서 파일이 2개가 별도로 생성된 건 아니었습니다.

그다음에 두 번째 질문은 인천센터의 독단적인 행동이냐, 일단 저희가 확인한 것은, 저희 행정조사이기 때문에 저희가 확인한 것은 인천영업센터에서 이런 일이 있었다, 라는 것을 확인한 것이고 이게 독단적이었는지 여부까지는 저희는 일단 확인하지는 못했지만 본사에도 책임이 있다, 라고 판단을 했습니다.

<답변> (사회자) 추가 질의가 있으실까요? 없으시면 이상으로 오늘 브리핑을 마치도록 하겠습니다. 참석해 주신 기자분들께 감사드립니다.

<끝>