개인정보를 부적절하게 수집한 손해보험사(손보사)에게 과징금 ‘철퇴’가 내려졌다.
12일 개인정보보호위원회(개인정보위)에 따르면 전날인 11일 전체회의를 열고 다이렉트 자동차 판매 손보사 12곳에 대한 제재를 의결했다. 제재 대상은 현대해상화재보험과 악사손해보험, 하나손해보험, 엠지손해보험, 롯데손해보험, 삼성화재해상보험, DB손해보험, KB손해보험, 메리츠화재해상보험, 한화손해보험, 흥국화재해상보험, 캐롯손해보험 등이다.
개인정보위는 지난해 8월부터 자동차 손보사들이 불필요하거나 과도한 고객 개인정보를 요구한다는 보호에 따라 조사를 실시해왔다. 조사 결과, 적법한 동의 없이 개인정보를 수집해 마케팅에 활용한 현대해상화재보험, 악사손해보험, 하나손해보험, 엠지손해보험 등 4개 손보사는 과징금 92억 770만원이 부과됐다. 개인정보보호책임자(CPO)의 내부통제 역할 강화 등 시정명령도 내려졌다.
세부적으로 살펴보면 현대해상화재보험은 61억9800만원의 가장 큰 과징금을 떠안게 됐다. 악사손해보험 27억1500만원, 하나손해보험 2억7300만원, 엠지손해보험 2170만원 등이다.
남석 개인정보위 조사조정국장은 “과징금 부과 기준은 관련 매출에 따라 부과하도록 돼 있다”면서 “다만 가중 감경요소를 반영할 때 먼저 시작했거나 비난 가능성이 더 높다거나 하는 점 등도 고려됐다”고 설명했다.
이들 4개 손보사는 상품 소개를 위한 동의에 명백히 미동의 의사를 표시한 이용자에게 동의 변경을 유도하는 재유도창을 다시 띄웠다. 재유도하는 꼼수를 부린 것이다. 이같은 재유도창을 통해 개인정보 수집·이용과 제공에 동의를 받으면서도 ‘개인정보 처리’ 표현이나 동의에 필요한 법정 고지사항은 없었다. 이로 인해 이용자는 마케팅 활용을 위한 개인정보 처리라는 사실을 알 수 없었다.
현대해상화재보험은 지난 2022년 7월 이같은 재유도창을 가장 먼저 도입했다. 확인과 취소 버튼의 효과를 변경, 정보주체가 오인하도록 유도했다. 또한 확인 버튼을 누르는 경우 동의 내역이 변경된 것을 알 수 없도록 했다. 이후 다른 3개 사업자들이 이를 벤치마킹해 도입했다. 4개 손보사가 재유도 창을 운영한 기간 동안, 이용자의 마케팅 동의율이 기존 31.42%에서 61.71%로 최대 30% 이상 급증했다.
이로 인한 부차적 피해도 있다. 적법하지 않게 동의받은 개인정보를 이용해 자동차보험뿐 아니라 운전자보험, 건강보험, 치아보험 등 해당 보험사에서 운영하는 다른 보험 마케팅에 이용했다. 자동차보험에만 국한해도 문자, 전화 등 약 3000만건의 마케팅을 실시한 것으로 확인됐다. 위반기간 스팸 신고 규모도 컸다. KISA에 따르면 지난 2022년 7월1일부터 지난해 9월30일까지 현대해상화재보험 1만3645건, 악사손해보험 548건, 하나손해보험 822건의 스팸신고가 있었던 것으로 파악됐다.
CPO의 내부 통제도 미흡했다. 재유도창을 통해 이뤄진 동의 절차는 마케팅 부서에서 기획했는데 CPO의 검토 등이 제대로 이뤄지지 않았다.
개인정보 파기도 허술했다. 나머지 8개 손보사를 포함한 12개 손보사는 보험료 계산서비스에 활용된 이용자의 개인정보를 1년간 보유했다. 계산을 중단하거나 계약을 체결하지 않은 경우도 포함됐다. 이에 12개 손해보험사는 손해보험협회와 협의해 개선방안을 마련, 오는 2025년 초까지 자진 시정할 계획을 밝히고 보유기간 개선 이행에 대한 시정명령을 이행했다. 다만 롯데손해보험의 경우 동의 유효기간인 1년이 만료됐음에도 32만명의 개인정보를 파기하지 않아 과태료 540만원이 부과됐다.
개인정보위는 “이번 조사 및 처분에서 적법한 동의를 받기 위해서는 정보주체에게 명확히 알리고 자유로이 결정권을 행사할 수 있도록 해야 한다는 점을 강조했다”며 “금융기관의 개인정보 처리라 하더라도 명백히 신용정보법상 개인 신용정보에 해당하지 않는 경우 개인정보 분야의 기본법인 보호법의 대상이 된다는 점을 명확히 했다는 점에서도 의의가 있다”고 설명했다.
