우리카드, 개인정보보호법 위반 134억 과징금

1. 사건 개요

• 위반 내용: 우리카드가 가맹점주의 개인정보를 동의 없이 마케팅에 활용하여 개인정보보호법 위반
• 처분
  • 과징금 134억 5100만 원 부과
  • 시정명령 및 공표 명령 부여
• 발표 기관: 개인정보보호위원회(개인정보위)
• 발표 일자: 2025년 3월 26일

 

2. 위반 행위 상세

• 개인정보 수집 및 활용 경위
  • 기간: 2022년 7월 ~ 2024년 4월
  • 방법
    • 우리카드 인천영업센터는 신규 카드발급 마케팅을 통한 영업실적 증대를 위해 가맹점 관리 프로그램에 사업자등록번호 입력하여 최소 13만1862명의 개인정보 조회
    • 카드발급심사 프로그램에서 주민등록번호를 통해 카드 보유 여부 확인
    • 조회된 개인정보를 카카오톡 단체 채팅방 및 이메일로 카드 모집인에게 전달
• 개인정보 조회 및 전송
  • 2023년 9월~2024년 4월
    • 가맹점주 및 카드회원 개인정보를 DB에서 직접 조회
    • 하루 2회 이상 총 100회에 걸쳐 7만5676명의 개인정보를 이메일로 전송
  • 전체 피해 규모: 최소 20만7538명
  • 동의 여부
    • 마케팅 활용 동의하지 않은 가맹점주 7만4692명

 

3. 법적 위반 사항

• 목적 외 이용 위반
  • 개인정보보호법 제18조제1항: 수집 목적 외 이용 및 제공 금지
• 주민등록번호 처리 제한 위반
  • 개인정보보호법 제24조의2제1항: 법적 근거 없는 주민등록번호 처리 금지
• 내부통제 미비
  • DB 접근권한 관리 소홀
  • 월 3천만 건 이상의 대량 개인정보 조회 및 다운로드에 대한 점검 미흡
  • 접근권한 최소화 및 점검 의무 위반

 

4. 개인정보보호위원회 조치

• 과징금 부과: 134억 5100만 원
• 시정명령
  • 내부통제 강화
  • 접근권한 최소화 및 정기 점검
  • 개인정보취급자 관리·감독 강화
• 공표 명령: 처분 사실을 홈페이지 등에 공표

 

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11092