개인정보위, 개인정보보호 위반 2개 사업자 제재

개인정보보호위원회(이하 개인정보위)는 개인정보보호 법규를 위반한 2개 사업자에 대하여 8천297만 원의 과징금과 360만 원의 과태료 부과 및 시정명령 조치를 의결했다고 28일 밝혔다.

개인정보위는 이번 처분과 관련하여 언론보도 및 개인정보 유출신고로 사실조사에 착수했다고 밝혔다. 이를 통해 개인정보 처리 업무 수탁자의 위탁업무 범위 외 개인정보 처리 제한 위반 및 개인정보처리자의 안전조치의무 위반 등 개인정보 관리를 소홀히 한 사실을 확인했다.

사업자별 위반내용을 살펴보면, 바로고는 2014. 4월부터 2022. 4월까지 음식점에서 주문 이력이 없는 주문자의 전화번호를 입력하면 주문자가 이전에 타 음식점에서 이용했던 배달지 주소가 자동 조회·출력할 수 있었다. 

음식점의 주문배달을 대행하기 위해 개인정보를 처리하는 수탁자로서 주문배달 정보는 해당 음식점의 배달업무에만 이용해야 한다.

이는 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)제5항 위반에 해당하여 시정명령을 의결하였다.

여행·숙박 중개 누리집을 운영하는 디아스타코리아는 해킹 공격으로 이용자 예약 내역이 유출됐다. 해커는 쿠키 변조 보안취약점을 이용하여 관리자 권한을 획득한 후 관리자페이지에 무단접속하여 개인정보를 유출한 것으로 확인되었다.

관련기사

디아스타코리아는 개인정보처리시스템을 운영하면서 취약점 점검을 소홀히 하고 안전성 확보를 위한 적절한 개선조치를 하지 않아 과징금 8,297만 원, 과태료 360만 원 부과 및 시정명령을 하기로 의결하였다.

양청삼 개인정보위 조사조정국장은 “음식점, 판매점, 부동산 등으로부터 개인정보 업무를 위탁받아 처리하는 수탁자는 위탁받은 업무 범위를 초과하여 개인정보를 이용해서는 안된다”라고 강조하며 “향후 수탁자의 개인정보보호 법규 위반에 대해 과징금·과태료를 부과할 수 있도록 한 보호법 개정안이 입법 완료되면, 수탁자의 개인정보보호에 대한 책임성이 한층 강화될 것으로 기대한다”라고 말했다.