가맹점주 20만명 개인정보 무단 활용에…우리카드 과징금 135억 부과

서울 중학동 우리카드 본사 전경. ⓒ우리카드

개인정보보호위원회(개보위)는 제7회 전체회의를 열고 개인정보 보호법을 위반한 우리카드에 134억5100만원의 과징금 부과와 함께 시정명령과 공표명령을 의결했다고 27일 밝혔다.

개보위 조사 결과 우리카드 인천영업센터는 신규 카드발급 마케팅을 통한 영업실적 증대를위해 2022년 7월부터 2024년 4월까지 카드가맹점의 사업자등록번호를 가맹점관리 프로그램에 입력해 가맹점주 최소 13만1862명의 ▲성명 ▲주민등록번호 ▲휴대전화번호 ▲주소 등 개인정보를 조회했다.

이어 카드발급심사 프로그램에서 가맹점주의 주민등록번호를 입력해 해당 가맹점주가 우리카드에서 발급한 신용카드를 보유하고 있는지 확인한 후 출력된 가맹점 문서에 이를 기재 및 촬영해 카드 모집인등이 참여한 카카오톡 단체채팅방에 공유했다.

또한 2023년 9월부터는 가맹점주 및 카드회원의 개인정보를 처리하는 데이터베이스(DB)에서 정보조회 명령어를 통해 가맹점주의 개인정보와 신용카드 보유 여부를 조회한 후 개인정보를 파일로 만들어 관리했다.

이후 지난해 1월 8일부터 4월 2일까지 1일 2회 이상 총 100회에 걸쳐 가맹점주 7만5676명의 개인정보를 카드 모집인에게 이메일로 전달했다.

이처럼 우리카드는 최소 20만7538명의 가맹점주의 정보를 조회해 이를 카드 모집인에게전달했다. 이 내역의 가맹점주 중 7만4692명은 마케팅 활용에 동의한 사실이 없었다.

개인정보보호법은 수집·이용 범위를 초과해 개인정보를 이용해서는 안 된다고 규정하고 있다.

개보위는 우리카드가 가맹점 관리 등 목적으로 수집한 개인정보를 신용카드 발급 등 마케팅에 활용한 것은 개인정보 목적 외 이용·제공 제한 규정(개인정보보호법 제18조제1항)을 위반했다고 판단했다.

또 이 과정에서 법률에 근거하지 않고 주민등록번호를 처리한 것은 주민등록번호 처리의 제한 규정(개인정보보호법 제24조의2제1항)도 위반했다고 봤다.

개보위 관계자는 "개인정보의 수집·이용 목적을 벗어난 개인정보의 처리는 위법"이라며 "직원 등 개인정보취급자의 개인정보 접근권한을 주기적으로 점검하고, 불필요한 개인정보 조회나 이용이 없는지 접속기록도 확인하는 등 내부통제 시스템을 잘 갖춰야 한다"고 당부했다.