개인정보위원회(이하 개인정보위)가 개인정보 유출 사고에 대해 수탁자 외에 위탁자에게도 과징금을 부과했다. 개인정보위는 개인정보 처리업무 위탁 시 업무 내용 및 목적, 보호조치 등을 명확히 해야 한다고 강조했다
개인정보위는 지난 22일 제22회 전체회의를 열어 개인정보 보호 법규를 위반한 한양컨트리클럽(이하 한양CC)과 서울컨트리클럽(이하 서울CC)에 총 2억110만원의 과징금과 2220만원의 과태료를 부과했다고 23일 밝혔다. 개인정보위는 두 사업자에 시정명령, 공표명령 및 개선권고를 의결했다.
골프장을 운영하는 한양CC와 서울CC는 2023년 12월4일 회원으로부터 골프장 이름이 적힌 스팸 문자를 수신했다는 민원 전화를 받고 개인정보 유출 사실을 인지했다. 이에 양사는 같은 달 6일 개인정보위에 유출 신고 및 통지했다.
해커는 사전에 획득한 관리자 계정정보로 한양CC 홈페이지에 로그인해 총 8만7923명의 서울CC와 한양CC 회원들에게 스팸문자를 발송했다. 사고 당시 서울CC는 위·수탁 계약을 통해 한양CC에 회원 정보 처리를 위탁하고 있었는데, 한양CC가 같은 시스템으로 골프장 회원 정보를 관리하다 보니 서울CC 회원에게도 스팸 문자가 발송된 것이다.
개인정보위는 서울CC도 개인정보 처리업무 위탁에 필요한 사항을 준수하지 않았다고 판단했다. 한양CC와 서울CC가 체결한 위·수탁 계약서에 개인정보 처리업무 위탁 범위와 안전조치 등 세부 내용이 포함되지 않아서다. 또 서울CC의 개인정보 처리방침은 개인정보 처리 수탁자로 한양CC가 아닌 골프장 운영시스템을 유지보수하는 IT업체를 명시하는 등 부정확한 정보를 담고 있었다.
개인정보위는 서울CC와 한양CC 모두 골프장 회원권 양도·양수에 따른 명의개서(주주 교체 시 취득자를 주주명부에 기재하는 것) 명세서를 세무서에 제출하기 위해 수집한 회원 주민등록번호 등을 목적 달성 이후에도 파기하지 않고 보관해 보호법을 위반한 사실도 확인했다.
개인정보위는 수탁자인 한양CC에는 과징금 1억4800만 원과 과태료 1230만원을, 위탁자인 서울CC에는 과징금 5310만원과 과태료 990만원을 부과했다.
독자들의 PICK!
개인정보위는 "이번 처분은 개인정보 안전조치 의무에 대한 책임이 명확하게 수탁자에게 있는 경우, 수탁자에 대한 관리·감독을 소홀히 한 위탁자도 처분한 사례라는 의미가 있다"고 했다.
