결제대행 사업자 개인정보에 관한 조치위반 (접근통제 미흡 등 ) 과태료
[No. 1] 결제대행 사업 A사, B사 등을 포함한 총 8개사가 고객의 개인정보에 관한 조치를
제대로 이행하지 않아 각 1000만원 과태료 처분을 받았다.
결제대행사란 온라인 쇼핑몰이나 통신사 등에서 사용자가 돈을 낼 때 결제를 중계하는 정보통신 사업자를 뜻한다.
15일(2017.03) 방송통신위원회는 전체회의를 열고 이같은 내용의 국내 8개 결제대행사에 대해 각각 1천만원의 과태료를 부과하는 시정조치(개인정보 보호 법규 위반 사업자에 대한 시정조치 안건)를 의결했다.
이에 따라 A사, B사등 8개 사업자는 과태료1000만원을 각각 내야한다.
(사업자의 법인 대표와 개인정보보호 책임자, 개인정보취급자 등은 정기적 교육을 진행해야 하며 교육결과와 재발방지책 등을 마련해 보고해야 한다.)
조사결과, 이번 과태료 1000만원 처분을 받은 8개사들은 자사들의 결제서비스를 이용하는 가맹점들이 접속할 때 아이디와 비밀번호만으로 접근이 가능하도록 허술한 관리를 했다.
(이 업체들은 외부 가맹점이 고객 개인정보가 저장된 자사 시스템에 접속할 때 '보안토큰' '휴대전화 인증' '일회용 비밀번호' 등 관련 법이 정한 보안 조처를 적용하지 않은 것으로 조사됐다.)
가맹점 편의만 생각해 단순히 ID와 PW(비밀번호)만 치면 개인정보 시스템에 접속할 수 있게 해 해킹이나 개인정보 유출 등 위험을 키웠다는 것이다.
방통위 관계자는 "보안 조처를 강화하면 가맹점이 서비스가 불편하다며 다른 결제대행사로 옮겨갈 수 있어
보안이 부실해진 측면이 있었다"며 "모든 결제대행사가 같은 보안 조처를 이행할 수 있도록 모니터링하겠다"고 설명했다.
[관련법령] 국가법령정보센터(http://www.law.go.kr/main.html)
▶ 개인정보의 기술적 관리적 보호조치 기준 [시행 2015.5.19] [방송통신위원회고시 제2015-3호, 2015.5.19, 일부개정] ~생략~ 제4조(접근통제)
① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다.
② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다. ③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다. ④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다. ~ 생략 ~ |
[No. 2] 정보통신망법 위반사항이 적발된 C회계법인은 시정명령을 받았다.
C회계법인은 자격증 응시 등을 위한 홈페이지를 영리목적으로 운영하는 정보통신망법 사업자로서,
'마케팅 광고 활용' 에 이용자들이 동의하지 않으면 회원가입을 불가능하게 한 사실이 드러나 시정명령을 받게 됐다.
[관련법령] 국가법령정보센터(http://www.law.go.kr/main.html)
개인정보 보호법[시행 2016.9.30.] [법률 제14107호, 2016.3.29., 일부개정]
제3장 개인정보의 처리 제1절 개인정보의 수집, 이용, 제공 등 제16조(개인정보의 수집 제한) ① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다. ② 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.<신설 2013.8.6.> ③ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.<개정 2013.8.6.>
[ 개인정보_보호법_해설서(20160329)]
4. 재화 등 제공 거부 금지 필요 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스 제공을 거부해서는 안 된다. 서비스 제공에는 회원 가입도 포함된다. 유료의 경우는 물론이고 무료의 경우도 마찬가지이다. 이는 개인정보 수집·이용에 대해 강요된 동의를 막기 위한것이다. 따라서 정보주체의 동의를 받으면서 선택정보에 대한 동의를 거부할 경우 재화 또는 서비스의 이용이 제한될 수 있다고 알리는 것은 가능하다. 5. 벌칙 규정 - 위반행위 필수정보 이외의 정보 수집에 동의하지 않는다는 이유로 재화 또는 서비스의 제공을 거부한 자 (제16조제3항 위반) - 벌칙 3천만원 이하 과태료 (제75조제2항제2호) |
개인정보보호/ISMS/PIMS/ISO27001 컨설팅
댓글 없음:
댓글 쓰기