위탁사인 통신사 책임 물은 첫 사례
LG유플러스가 대리점인 ㈜엘엔씨ㆍ우정텔레콤, 매집점(중개대리점)인 ㈜아이티엘과 고객의 개인정보 처리 과정에서 개인정보 보호 규정을 위반한 것으로 드러났다. 이들 4개 사업자는 총 7500만 원의 과징금 및 과태료를 부과받았다.
개인정보보호위원회(개인정보위)는 9일 전체회의를 열고 LG유플러스와 대리점 등 4개사에 총 7500만 원의 과징금 및 과태료를 부과했다고 밝혔다. 이번 제재는 통신사 대리점의 개인정보 보호 규정 위반에 대해 위탁사인 통신사의 관리·감독 책임을 물어 제재한 첫 사례다.
개인정보위는 지난해 1월 통신사 대리점 등의 개인정보 불법거래에 대한 조사를 요청하는 민원을 접수 받았다. 이에 올해 6월까지 조사를 진행했다.
조사 결과 LG유플러스가 개인정보 처리를 위탁한 대리점에 대한 관리·감독을 소홀했고, 이로 인해 대리점 등이 개인정보 보호 규정을 위반한 사실이 드러났다. 해당 민원을 조사해 보니 LG유플러스의 2개 대리점(㈜엘엔씨ㆍ우정텔레콤)은 초고속인터넷 회원가입 업무를 LG유플러스의 동의 없이 매집점(㈜아이티엘)에 재위탁했다. 이들 대리점은 고객정보시스템 접속 계정을 권한이 없는 ㈜아이티엘과 공유한 것으로 밝혀졌다. 매집점은 유선인터넷 서비스 가입 희망 고객 정보를 각종 광고 등으로 자체수집하거나 타 판매점으로부터 제공 받아 통신사의 대리점 등에 판매하는 사업자를 뜻한다. 개인정보위는 이에 LG유플러스가 수탁자에 대한 관리·감독을 소홀히 한 행위를 중대한 위반행위로 보고, 1160만 원의 과징금을 부과했다.
LG유플러스는 접속 권한이 없는 ㈜아이티엘이 2016년 9월부터 2019년 6월까지 고객정보시스템에 접속했는데도 접속 장소와 기록에 대한 점검을 소홀히 하는 등 적절한 관리·감독을 하지 않은 것으로 확인됐다. 이 건에 대해 개인정보위는 과태료 1000만 원을 부과하고, 시정조치를 명령했다.
개인정보위는 수탁자인 2개 대리점에도 △개인정보 처리를 매집점에 재위탁시 위탁사의 동의를 얻지 않은 행위 △권한 없는 자의 이름으로 고객정보시스템 접속계정을 부여받고, 이를 매집점과 공유한 행위 △개인정보 암호화를 위반한 행위 등에 대해 총 2320만 원의 과태료를 부과했다.
매집점은 △주민등록번호를 법적 근거 없이 수집·이용한 행위 △정보 주체의 동의 없이 개인정보를 제3자에게 제공한 행위 △개인정보 처리시스템에 대한 보호조치를 소홀히 한 행위 등과 관련하여 총 3020만 원의 과징금과 과태료를 부과받았다.
윤종인 개인정보위 위원장은 “대리점의 개인정보 오남용에 대해 위탁사인 통신사의 관리·감독을 강화하도록 경종을 울릴 필요가 있다”며 “이번 제재뿐 아니라 통신사와 대리점의 개인정보 규정 위반행위에 대한 지속적인 점검으로 국민의 개인정보를 보호할 것”이라고 말했다.
LG유플러스는 향후 이 같은 위반 사례가 발생하지 않도록 노력하겠다는 입장을 밝혔다.
LG유플러스는 “더 철저하게 개인정보 관리 감독을 수행해 유통망에서의 위반사례가 발생하지 않도록 만전을 다할 것”이라며 “현재 통신사 중 유일하게 ‘ISMS-P(개인정보 업무위탁 법적 요구사항 및 보호대책 명시)’ 인증을 실시하고 있으며 앞으로도 유통망 위반행위 방지를 위한 노력을 지속하겠다”고 설명했다.