개인정보 보호위원회

개인정보위, 식음료 분야 사업자 개인정보 처리 실태 조사 결과 발표 

- 개인정보 목적 외 이용, 법정대리인 동의 위반 등으로 총 15억 6,600만 원 과징금, 1억 1,130만 원 과태료, 시정명령 및 공표명령 부과

- 프라이버시 중심 설계 및 파기 등 개인정보 유출 사고 사전 예방 당부, 아동·청소년 개인정보 보호 강화 필요성 강조  

  개인정보보호위원회(위원장 송경희, 이하 ‘개인정보위’)는 2월 11일(수) 제3회 전체회의를 열고, 식음료 분야 10개 사업자*의 ｢개인정보 보호법｣(이하 ‘보호법’) 위반 행위에 대하여 총 15억 6,600만원의 과징금과 1억 1,130만 원의 과태료를 부과하고 시정명령 및 공표명령하기로 의결하였다. 

  * (플랫폼) ㈜와드(캐치테이블), 테이블링㈜(테이블링), ㈜야놀자에프앤비솔루션(도도포인트, 나우웨이팅)

    (프랜차이즈) ㈜에스씨케이컴퍼니(스타벅스), ㈜비케이알(버거킹), ㈜엠지씨글로벌(메가MGC커피),   한국맥도날드(유)(맥도날드), 투썸플레이스㈜(투썸플레이스), ㈜이디야(이디야), ㈜더본코리아(빽다방)

  개인정보위는 최근 음식점, 카페 등에서 정보통신기술(ICT)을 접목한 원격 예약·대기 및 키오스크(KIOSK) 주문 방식 등 대규모 개인정보 처리를 수반하는 서비스가 확산됨에 따라, 식음료 분야의 개인정보 처리실태를 조사하였다. 

  앱 서비스 이용률 및 안전조치의무 등 개인정보 보호법(이하 ‘보호법’) 위반 이력을 고려하여 원격 예약·대기 플랫폼 앱 및 프랜차이즈 사업자를 선정하였으며, 구체적인 조사 결과는 다음과 같다. 

< 조사 결과(종합) >

  대부분의 식음료 사업자들이 대량의 개인정보를 보유기간이 경과하거나 처리목적을 달성한 후에도 파기하지 않는 등 미흡하게 관리하고 있었다. 

  또한, 앱 등 온라인 서비스 제공과정에서 개인정보를 동의 없이 홍보·마케팅에 이용하거나, 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용하는 등 보호법 준수를 소홀히 한 사례를 확인하였다.

  분야별로 살펴보면, 플랫폼 사업자의 경우 온·오프라인에서 수집한 개인정보를 연동하면서, 원격 예약 및 현장 대기 고객의 개인정보가 외부에 노출된 상태로 운영하는 등 다수의 안전조치 의무를 위반한 사실을 확인하였다. 

  프랜차이즈 사업자의 경우, 개인정보 처리업무를 제3자에게 위탁하면서, 수탁자에 대한 관리·감독을 소홀히 하거나 100만 명 이상의 정보주체의 개인정보를 처리하면서 개인정보 수집·이용·제공 내역을 주기적으로 정보주체에게 통지하지 않는 등 보호법 위반 사실을 확인하였다. 

< 사업자별 위반내용 및 처분 결과 >

   조사 대상 사업자의 주요 위반 내용과 처분 결과는 다음과 같다. 

  ㈜비케이알(버거킹)은 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용하였으며, ㈜엠지씨글로벌(메가MGC커피)은 회원가입 시 마케팅 활용에 동의하지 않은 경우에도 자동으로 동의 처리가 되도록 설정하여, 미동의 회원에게 마케팅 메시지(앱푸시)를 발송하였다. 

  또한, ㈜와드(캐치테이블)와 테이블링㈜(테이블링), ㈜야놀자에프앤비솔루션, 한국맥도날드(유)는 응용프로그램 인터페이스(API)* 설계·운영을 미흡하게 하는 등 접근통제를 소홀히 한 사실을 확인하였다. 

   * API(Application Programming Interface) : 데이터 제공기관이 사전에 정의한 표준 규격에 따라 인증·권한 절차를 거쳐 필요한 정보를 안정적으로 연계·전송하는 방식

  투썸플레이스㈜는 매장 주문 시 휴대전화번호를 입력하지 않으면 주문·결제가 불가능하도록 서비스를 운영하였으며, ㈜더본코리아(빽다방)는 회원가입시 마케팅 동의, 맞춤형 서비스 동의 등 별도 동의 받아야 할 사항을 포괄적으로 동의 받았고, 개인정보처리 수탁자에 대한 관리·감독을 소홀히 하였다.    그 밖에 대부분의 사업자가 보유기간이 경과하거나 처리목적이 달성된 개인정보를 파기하지 않고 보관하고 있었으며, 접근권한 관리 및 접근통제, 접속기록 보관 등의 안전조치의무를 소홀히 한 사실이 확인되었다.

  개인정보위는 법정대리인의 동의없이 만 14세 미만 아동의 개인정보를 수집·이용한 행위(보호법 제22조의2 위반)에 대하여, ㈜비케이알에 9억2천4백만 원의 과징금을 부과하고, 동의 없이 목적 외로 회원의 개인정보를 이용(보호법 제18조 위반)한 ㈜엠지씨글로벌에 6억4천2백만 원의 과징금을 부과하였다.

  또한, 사업자들의 기타 보호법 위반행위에 대하여 총 과태료 1억 1,130만 원을 부과하고, 재발방지를 위하여 시정명령과 공표명령도 함께 처분하였다.

< 이번 조사·처분의 의의 >

  이번 조사·처분은 일상에서 매일 접하는 식음료 서비스의 전반적인 개인정보 관리 체계를 면밀히 점검함으로써, 잠재된 개인정보 침해 요인을 선제적으로 제거하고, 유출사고로 인한 사회적 비용과 피해를 최소화하였다는 점에서 의미가 크다. 

  개인정보위는 아동·청소년의 개인정보는 특별한 보호가 필요하며, 다양한 참여자가 연결된 플랫폼 생태계에서 적법 처리 근거, 필요·최소한의 정보 수집 등 프라이버시 중심의 서비스 설계가 중요하다고 강조하였다. 아울러, 디지털 환경에서 처리 목적 등을 달성한 개인정보의 미파기는 잠재적 유출 사고의 핵심 변수로 작용할 수 있는 만큼 불필요한 개인정보의 즉시 파기를 당부하였다. 

  개인정보위는 앞으로도 국민 실생활과 직결된 분야를 중심으로, 상시 점검 및 사전 예방 활동을 강화해 나갈 방침이다. 

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 채리(02-2100-3159)