개인정보보호법을 어겨 1천만원 이상 과태료 처분을 받은 항공사, 쇼핑, 저축은행, 사교육, 레저 등 기업 11곳 실명이 공개됐다.
행정자치부는 2016년 1~7월 162개 기업과 기관의 개인정보 보호실태 현장검사를 실시했다. 개인정보 안전성 확보조치 불이행 등으로 과태료, 시정조치 등 행정처분을 받은 100곳 중 과태료 1천만원 이상을 부과받은 11곳의 실명과 행정처분 결과를 공표하기로 했다. 개인정보보호법 제66조에 따라 개인정보보호위원회 심의 의결을 거쳐 지난 26일 공표했다.
공표된 기업(과태료 금액)은 대한항공(1천200만원), 롯데쇼핑(1천800만원), 이스타항공(1천200만원), 인천항만공사(1천200만원), 에이치케이저축은행(1천500만원), 비상교육(1천200만원), 정상제이엘에스(1천200만원), 파고다아카데미(1천800만원), 와이비엠에듀(1천800만원), 메가스터디교육(1천200만원), 일성레저산업(1천200만원), 총 11곳(1억5천300만원)이다.
기업마다 1~3가지 적발된 위반사항은 제각각이지만 해당 업종별 위반사례에서 유사성을 띠기도 한다.
대한항공은 탑승객 개인정보 처리시 개인정보 수집 및 이용 동의와 마케팅 및 광고 활용 동의를 일괄로 받았고, 개인정보취급자 비밀번호를 저장할 때 암호화지 않았다. 이스타항공은 승객 여권번호를 암호화하지 않고 저장했고, 개인정보처리시스템 접속기록에 포함돼야 하는 IP와 수행업무를 누락했다. 일성레저산업은 대표홈페이지 회원정보관리시스템에 주민등록번호를 저장하며 암호화하지 않았고, 접속기록에 포함돼야 하는 ID와 IP항목을 누락했다.
인천항만공사는 공사를 견학한 인물의 개인정보를 '견학일로부터 18개월'이라는 보유기간 이후 파기하지 않았고, 개인정보처리시스템 접근권한 부여 및 말소 내역을 관리하지 않았다.
롯데쇼핑은 탈퇴회원 개인정보 86만건을 파기 대상이 아닌 개인정보와 분리하지 않고 함께 보관했고, 법정대리인의 동의 없이 만14세 미만 인물의 개인정보를 수집했다. 에이치케이저축은행은 주부대출 신청을 받을 때 불필요한 배우자 개인정보를 동의 없이 수집했다.
비상교육은 홈페이지 탈퇴 회원 개인정보 26만건을 파기하지 않았고, 로그인시 전송되는 비밀번호를 암호화하지 않았다. 정상제이엘에스는 홈페이지 탈퇴 회원 개인정보 3만건을 파기하지 않았고, 로그인시 전송되는 비밀번호를 암호화하지 않았다. 메가스터디교육은 홈페이지 탈퇴 회원 개인정보 24만건을 파기하지 않고 보관했고, 홈페이지 비밀번호 변경시 전송구간 비밀번호를 암호화하지 않았다.
관련기사
- "유럽진출기업, GDPR 어기면 연매출 4% 벌금"2017.04.27
- 무주군, 개인정보 접속기록 관리솔루션 도입2017.04.27
- BNK부산銀, 고객정보 암호화 완료2017.04.27
- 행자부, 공공기관 개인정보 관리실태 현장점검2017.04.27
파고다아카데미는 홈페이지 탈퇴 회원 개인정보 1만4천건을 파기하지 않았고, 근로자 수강신청시 전송되는 주민등록번호를 암호화하지 않았으며, 저장되는 회원 비밀번호를 암호화하지 않았다. 와이비엠에듀는 보존 기간이 만료된 과거 유학 및 어학캠프 참가자 개인정보 596건을 파기하지 않았고, 홈페이지 로그인시 전송되는 비밀번호를 암호화하지 않았고, 업무담당자 PC에 저장된 주민번호도 암호화하지 않았다.
김성렬 행정자치부 차관은 "개인정보보호법 위반 기업 및 기관 행정처분 결과 공표는, 개인정보 관리 조직들이 세심하게 개인정보를 관리하도록 하기 위한 조치"라며 "국민들의 소중한 개인정보가 안전하게 보호될 수 있도록 법을 위반한 기업 및 기관에 대해서는 공표 요건에 해당될 경우 예외 없이 공표해 나갈 것"이라고 말했다.
