현대해상화재보험, 악사손해보험 등 4개 다이렉트 자동차보험 판매사에 과징금 92억 부과
내부통제 기능을 제대로 수행하지 못한 CPO의 기능 강화와 개인정보 파기 중요성 강조
[보안뉴스 권준 기자] 현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험 등 4개사에 과징금 92억원을 비롯해 롯데손해보험, 삼성화재해상보험, DB손해보험, KB손해보험, 메리츠화재해상보험, 한화손해보험, 흥국화재해상보험, 캐롯손해보험 등 총 12개 보험사가 개인정보 보호법 위반으로 제재처분을 받았다.
[이미지=gettyimagesbank]
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 11일 제21회 전체회의를 열고, 다이렉트 자동차보험 판매 손해보험사(이하 보험사)에 대해 제재를 의결했다.
개인정보위는 자동차 손해보험사들이 불필요하거나 과도한 고객 개인정보를 요구한다는 보도 등에 따라, 작년 8월부터 조사를 실시했다. 조사 결과, 적법한 동의 없이 개인정보를 수집해 마케팅에 활용한 현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험 등 4개 보험사는 과징금 92억 770만 원을 부과하기로 했다. 이 과정에서 개인정보 보호책임자(CPO)의 내부통제 역할도 강화하도록 시정명령을 내렸다.
아울러 조사 대상 12개 보험사 모두 보험료 계산을 중단하거나 보험 계약을 체결하지 않은 이용자 정보를 파기하지 않고 1년간 보유하고 있어 보유기간을 개선하도록 시정 명령하는 한편, 1년이 넘어도 이용자 정보를 파기하지 않은 롯데손해보험에는 과태료 540만 원을 부과했다.
보험사 4곳, 적법한 동의 없이 개인정보를 수집해 보험 마케팅에 이용했다
현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험 등 4개 보험사는 상품소개를 위한 동의에 명백히 미동의 의사를 표시한 이용자에게 동의의 변경을 유도하는 팝업창 이른바 재유도 창을 운영하면서도, 이를 통한 동의의 변경은 오인할 수 있는 표현 및 개인정보 자기결정권을 제한함으로 인해 이용자의 의사에 따른 것으로 볼 수 없었다는 게 개인정보위 측의 설명이다.
특히, 이러한 재유도 창으로 개인정보 수집·이용과 제공에 동의를 받으면서도 재유도 창에는 ‘개인정보 처리’ 표현이나 동의에 필요한 법정 고지사항이 없어 이용자는 마케팅 활용을 위한 개인정보 처리라는 사실을 알 수 없었다는 것.
이러한 재유도 창은 2022년 7월 현대해상화재보험이 종전의 재유도 창에서 ‘확인’과 ‘취소’ 버튼의 효과를 변경해 정보주체가 오인하도록 유도하고, ‘확인’ 버튼을 누르는 경우 동의 내역이 변경된 것을 알 수 없도록 했는데, 이를 다른 사업자들이 벤치마킹해 도입한 것으로 확인됐다.
종전에는 ‘확인’ 버튼을 누르는 경우 ‘미동의’ 상태로 다음 절차로 넘어가고, ‘취소’ 버튼을 누르면 재유도 창 이전 화면으로 돌아가서 정보주체가 직접 ‘상품 소개 항목에 동의’할 수 있도록 했는데, 이를 변경한 것이다.
이렇게 4개 보험사가 재유도 창을 운영한 기간 동안 이용자의 마케팅 동의율은 최대 30%p(31.42%→61.71%) 급증했다.
또한, 이렇게 적법하지 않게 동의받은 개인정보를 이용해서 자동차보험뿐 아니라 운전자보험, 건강보험, 치아보험 등 해당 보험사에서 운영하는 다른 보험 마케팅에도 활용했으며, 이중 자동차보험에만 국한해도 문자, 전화 등 약 3천만 건의 마케팅을 실시한 것으로 확인됐다.
그 결과 위반기간 동안 이와 관련한 스팸 신고 규모도 적지 않았다. 한국인터넷진흥원(KISA)의 스팸신고 접수내역을 확인한 결과, 2022년 7월 1일부터 2023년 9월 30일까지 현대해상화재보험 13,645건, 악사손해보험 548건, 하나손해보험 822건의 스팸신고가 있었던 것으로 파악됐다.
통상 보험사들이 자동차 보험료 계산 과정에서 상품소개 동의 시 1건당 5천 원∼1만 원 상당의 상품권이나 쿠폰을 지급하는 이벤트를 실시하는 것을 고려하면, 재유도 창을 이용한 적법하지 않은 동의 절차를 통해 해당 기업들은 상당한 마케팅 비용 절감 이익을 얻은 것으로 추정된다.
개인정보 보호법에서 요구하는 정보주체의 적법한 동의는 ①자신의 개인정보가 개인정보처리자에 의해 처리된다는 사실을 충분히 인지한 상태에서, ②자유로운 의사에 따라 개인정보의 처리 여부 및 동의의 범위 등을 결정할 수 있어야 성립한다.
그러나 과징금이 부과된 4개 보험사의 경우, 개인정보 수집·이용 및 제공에 대한 표현뿐만 아니라 법정 고지사항도 확인할 수 없어 이용자가 개인정보 처리 사실을 충분히 인지하기 어려웠다는 지적이다.
▲보험사들의 시정조치 사항[자료=개인정보보호위원회]
CPO의 내부통제 미흡과 처리목적 달성 개인정보를 파기하지 않은 행위도 적발
4개 보험사의 경우 재유도 창을 통해 이루어진 동의 절차는 마케팅 부서에서 기획했는데, 그 과정에서 CPO의 검토 등 내부통제가 제대로 작동하지 않은 것이 확인됐다. 이에 따라 개인정보위는 4개 보험사에 대해 CPO의 내부통제 절차가 적정하게 이루어지고 독립적으로 역할을 수행할 수 있도록 시정명령했다고 개인정보위는 밝혔다.
또한, 이번 조사 대상 12개 보험사는 다이렉트 자동차 보험을 판매하기 위해 보험료 계산서비스를 제공하고 있는데, 이때 이용자의 이름, 주민등록번호, 휴대전화번호 등을 필수로 수집하게 된다. 이들 보험사들은 이렇게 수집한 개인정보를 이용자가 계산을 중단하거나 계산 후 계약을 체결하지 않더라도 1년간 보유하고 있는 사실을 확인했다.
다만, 12개 보험사는 손해보험협회와 협의하여 개선방안을 마련해 개인정보위에 공식 의견으로 제출하고 2025년 초부터 자진 시정할 계획임을 밝혀 보유기간 개선 이행에 대한 시정명령을 했다고 설명했다. 그러나 롯데손해보험의 경우 동의 유효기간인 1년이 만료됐음에도 32만 명의 개인정보를 파기하지 않아 과태료 540만 원이 부과됐다.
개인정보위 측은 “개인정보 처리 관련 이번 자동차 보험사에 대한 조사·처분은 적법한 동의를 받기 위해서는 정보주체에게 명확히 알리고 자유로이 결정권을 행사할 수 있도록 해야 한다는 점을 강조했다”며, “또한, CPO는 개인정보 유출을 방지하기 위한 안전조치뿐만 아니라 적법한 개인정보 처리를 위한 내부통제시스템 구축 등의 역할을 해야 한다는 점을 분명히 했다”고 밝혔다. 아울러 “비록 금융기관의 개인정보 처리라 하더라도 명백히 신용정보법상의 개인신용정보에 해당하지 않는 경우 개인정보 분야의 기본법인 보호법의 적용대상이 된다는 점을 다시 한번 명확히 했다”고 이번 조사·처분의 의의를 설명했다.
[권준 기자(editor@boannews.com)]
내부통제 기능을 제대로 수행하지 못한 CPO의 기능 강화와 개인정보 파기 중요성 강조
[보안뉴스 권준 기자] 현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험 등 4개사에 과징금 92억원을 비롯해 롯데손해보험, 삼성화재해상보험, DB손해보험, KB손해보험, 메리츠화재해상보험, 한화손해보험, 흥국화재해상보험, 캐롯손해보험 등 총 12개 보험사가 개인정보 보호법 위반으로 제재처분을 받았다.
[이미지=gettyimagesbank]
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 11일 제21회 전체회의를 열고, 다이렉트 자동차보험 판매 손해보험사(이하 보험사)에 대해 제재를 의결했다.
개인정보위는 자동차 손해보험사들이 불필요하거나 과도한 고객 개인정보를 요구한다는 보도 등에 따라, 작년 8월부터 조사를 실시했다. 조사 결과, 적법한 동의 없이 개인정보를 수집해 마케팅에 활용한 현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험 등 4개 보험사는 과징금 92억 770만 원을 부과하기로 했다. 이 과정에서 개인정보 보호책임자(CPO)의 내부통제 역할도 강화하도록 시정명령을 내렸다.
아울러 조사 대상 12개 보험사 모두 보험료 계산을 중단하거나 보험 계약을 체결하지 않은 이용자 정보를 파기하지 않고 1년간 보유하고 있어 보유기간을 개선하도록 시정 명령하는 한편, 1년이 넘어도 이용자 정보를 파기하지 않은 롯데손해보험에는 과태료 540만 원을 부과했다.
보험사 4곳, 적법한 동의 없이 개인정보를 수집해 보험 마케팅에 이용했다
현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험 등 4개 보험사는 상품소개를 위한 동의에 명백히 미동의 의사를 표시한 이용자에게 동의의 변경을 유도하는 팝업창 이른바 재유도 창을 운영하면서도, 이를 통한 동의의 변경은 오인할 수 있는 표현 및 개인정보 자기결정권을 제한함으로 인해 이용자의 의사에 따른 것으로 볼 수 없었다는 게 개인정보위 측의 설명이다.
특히, 이러한 재유도 창으로 개인정보 수집·이용과 제공에 동의를 받으면서도 재유도 창에는 ‘개인정보 처리’ 표현이나 동의에 필요한 법정 고지사항이 없어 이용자는 마케팅 활용을 위한 개인정보 처리라는 사실을 알 수 없었다는 것.
이러한 재유도 창은 2022년 7월 현대해상화재보험이 종전의 재유도 창에서 ‘확인’과 ‘취소’ 버튼의 효과를 변경해 정보주체가 오인하도록 유도하고, ‘확인’ 버튼을 누르는 경우 동의 내역이 변경된 것을 알 수 없도록 했는데, 이를 다른 사업자들이 벤치마킹해 도입한 것으로 확인됐다.
종전에는 ‘확인’ 버튼을 누르는 경우 ‘미동의’ 상태로 다음 절차로 넘어가고, ‘취소’ 버튼을 누르면 재유도 창 이전 화면으로 돌아가서 정보주체가 직접 ‘상품 소개 항목에 동의’할 수 있도록 했는데, 이를 변경한 것이다.
이렇게 4개 보험사가 재유도 창을 운영한 기간 동안 이용자의 마케팅 동의율은 최대 30%p(31.42%→61.71%) 급증했다.
또한, 이렇게 적법하지 않게 동의받은 개인정보를 이용해서 자동차보험뿐 아니라 운전자보험, 건강보험, 치아보험 등 해당 보험사에서 운영하는 다른 보험 마케팅에도 활용했으며, 이중 자동차보험에만 국한해도 문자, 전화 등 약 3천만 건의 마케팅을 실시한 것으로 확인됐다.
그 결과 위반기간 동안 이와 관련한 스팸 신고 규모도 적지 않았다. 한국인터넷진흥원(KISA)의 스팸신고 접수내역을 확인한 결과, 2022년 7월 1일부터 2023년 9월 30일까지 현대해상화재보험 13,645건, 악사손해보험 548건, 하나손해보험 822건의 스팸신고가 있었던 것으로 파악됐다.
통상 보험사들이 자동차 보험료 계산 과정에서 상품소개 동의 시 1건당 5천 원∼1만 원 상당의 상품권이나 쿠폰을 지급하는 이벤트를 실시하는 것을 고려하면, 재유도 창을 이용한 적법하지 않은 동의 절차를 통해 해당 기업들은 상당한 마케팅 비용 절감 이익을 얻은 것으로 추정된다.
개인정보 보호법에서 요구하는 정보주체의 적법한 동의는 ①자신의 개인정보가 개인정보처리자에 의해 처리된다는 사실을 충분히 인지한 상태에서, ②자유로운 의사에 따라 개인정보의 처리 여부 및 동의의 범위 등을 결정할 수 있어야 성립한다.
그러나 과징금이 부과된 4개 보험사의 경우, 개인정보 수집·이용 및 제공에 대한 표현뿐만 아니라 법정 고지사항도 확인할 수 없어 이용자가 개인정보 처리 사실을 충분히 인지하기 어려웠다는 지적이다.
▲보험사들의 시정조치 사항[자료=개인정보보호위원회]
CPO의 내부통제 미흡과 처리목적 달성 개인정보를 파기하지 않은 행위도 적발
4개 보험사의 경우 재유도 창을 통해 이루어진 동의 절차는 마케팅 부서에서 기획했는데, 그 과정에서 CPO의 검토 등 내부통제가 제대로 작동하지 않은 것이 확인됐다. 이에 따라 개인정보위는 4개 보험사에 대해 CPO의 내부통제 절차가 적정하게 이루어지고 독립적으로 역할을 수행할 수 있도록 시정명령했다고 개인정보위는 밝혔다.
또한, 이번 조사 대상 12개 보험사는 다이렉트 자동차 보험을 판매하기 위해 보험료 계산서비스를 제공하고 있는데, 이때 이용자의 이름, 주민등록번호, 휴대전화번호 등을 필수로 수집하게 된다. 이들 보험사들은 이렇게 수집한 개인정보를 이용자가 계산을 중단하거나 계산 후 계약을 체결하지 않더라도 1년간 보유하고 있는 사실을 확인했다.
다만, 12개 보험사는 손해보험협회와 협의하여 개선방안을 마련해 개인정보위에 공식 의견으로 제출하고 2025년 초부터 자진 시정할 계획임을 밝혀 보유기간 개선 이행에 대한 시정명령을 했다고 설명했다. 그러나 롯데손해보험의 경우 동의 유효기간인 1년이 만료됐음에도 32만 명의 개인정보를 파기하지 않아 과태료 540만 원이 부과됐다.
개인정보위 측은 “개인정보 처리 관련 이번 자동차 보험사에 대한 조사·처분은 적법한 동의를 받기 위해서는 정보주체에게 명확히 알리고 자유로이 결정권을 행사할 수 있도록 해야 한다는 점을 강조했다”며, “또한, CPO는 개인정보 유출을 방지하기 위한 안전조치뿐만 아니라 적법한 개인정보 처리를 위한 내부통제시스템 구축 등의 역할을 해야 한다는 점을 분명히 했다”고 밝혔다. 아울러 “비록 금융기관의 개인정보 처리라 하더라도 명백히 신용정보법상의 개인신용정보에 해당하지 않는 경우 개인정보 분야의 기본법인 보호법의 적용대상이 된다는 점을 다시 한번 명확히 했다”고 이번 조사·처분의 의의를 설명했다.
[권준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
