"버거킹·투썸 등 10곳 소비자 정보보호 미흡"
투썸플레이스 등 유명 식음료 프랜차이즈를 운영하는 회사 7곳과 캐치테이블 등 3개 플랫폼 사업자 등 총 10곳이 소비자의 개인정보보호 미흡으로 과징금과 과태료를 부과 받았다. 이들 10곳 중 가장 유명한 식음료 프랜차이즈인 스타벅스 운영사는 시정명령만 받아, 10곳 중 처분이 가장 약했다. 반면 버거킹은 9억2400만원으로 과징금이 가장 많았다. 개인정보보호위원회는 11일 제3회 전체회의를 열고, 식음료 분야 10개 사업자의 '개인정보 보호법' 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만 원의 과태료를 부과했다. 아울러 시정명령 및 공표명령도 함께 의결했다. 처분을 받은 10개 식음료 사업자는 플랫폼 분야에서 ▲와드(캐치테이블) ▲테이블링(테이블링) ▲야놀자에프앤비솔루션(도도포인트, 나우웨이팅) 등 3사와 프랜차이즈 분야 ▲에스씨케이컴퍼니(스타벅스) ▲비케이알(버거킹) ▲엠지씨글로벌(메가MGC커피) ▲한국맥도날드(맥도날드) ▲투썸플레이스(투썸플레이스) ▲이디야(이디야) ▲더본코리아(빽다방) 등 7개사다. 개인정보위는 최근 음식점, 카페 등에서 정보통신기술(ICT)을 접목한 원격 예약·대기 및 키오스크(KIOSK) 주문 방식 등 대규모 개인정보 처리를 수반하는 서비스가 확산됨에 따라, 식음료 분야의 개인정보 처리실태를 조사했다. 앱 서비스 이용률 및 안전조치의무 등 개인정보 보호법 위반 이력을 고려해 원격 예약·대기 플랫폼 앱 및 프랜차이즈 사업자를 선정했고, 구체적인 조사 결과는 다음과 같다. 조사 결과(종합) 대부분의 식음료 사업자들이 대량의 개인정보를 보유기간이 경과하거나 처리목적을 달성한 후에도 파기하지 않는 등 미흡하게 관리했다. 또 앱 등 온라인 서비스 제공과정에서 개인정보를 동의 없이 홍보·마케팅에 이용하거나, 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용하는 등 보호법 준수를 소홀히 한 사례를 확인했다. 분야별로 살펴보면, 플랫폼 사업자의 경우 온·오프라인에서 수집한 개인정보를 연동하면서, 원격 예약 및 현장 대기 고객의 개인정보가 외부에 노출된 상태로 운영하는 등 다수의 안전조치 의무를 위반한 사실을 확인했다. 프랜차이즈 사업자의 경우, 개인정보 처리업무를 제3자에게 위탁하면서, 수탁자에 대한 관리·감독을 소홀히 하거나 100만 명 이상의 정보주체의 개인정보를 처리하면서 개인정보 수집·이용·제공 내역을 주기적으로 정보주체에게 통지하지 않는 등 보호법 위반 사실을 확인했다. 사업자별 위반내용 및 처분 결과 조사 대상 사업자의 주요 위반 내용과 처분 결과는 다음과 같다. 비케이알(버거킹)은 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집·이용했고, 엠지씨글로벌(메가MGC커피)은 회원가입 시 마케팅 활용에 동의하지 않은 경우에도 자동으로 동의 처리가 되도록 설정, 미동의 회원에게 마케팅 메시지(앱푸시)를 발송했다. 또 와드(캐치테이블)와 테이블링(테이블링), 야놀자에프앤비솔루션, 한국맥도날드는 응용프로그램 인터페이스(API) 설계·운영을 미흡하게 하는 등 접근통제를 소홀히 한 사실을 확인했다. API(application Programming Interface)는 데이터 제공기관이 사전에 정의한 표준 규격에 따라 인증·권한 절차를 거쳐 필요한 정보를 안정적으로 연계 및 전송하는 방식을 말한다. 투썸플레이스는 매장 주문 시 휴대전화번호를 입력하지 않으면 주문·결제가 불가능하도록 서비스를 운영했고, 더본코리아(빽다방)는 회원가입시 마케팅 동의, 맞춤형 서비스 동의 등 별도 동의 받아야 할 사항을 포괄적으로 동의 받았고, 개인정보처리 수탁자에 대한 관리·감독을 소홀히 했다. 그 밖에 대부분의 사업자가 보유기간이 경과하거나 처리목적이 달성된 개인정보를 파기하지 않고 보관했고, 접근권한 관리 및 접근통제, 접속기록 보관 등의 안전조치의무를 소홀히 한 사실이 확인됐다. 이에, 개인정보위는 법정대리인 동의없이 만 14세 미만 아동의 개인정보를 수집·이용한 행위(보호법 제22조의2 위반)에 대해, 비케이알에 9억2천4백만 원의 과징금을 부과하고, 동의 없이 목적 외로 회원의 개인정보를 이용(보호법 제18조 위반)한 엠지씨글로벌에 6억4천2백만 원의 과징금을 부과했다. 또, 사업자들의 기타 보호법 위반행위에 대해 총 과태료 1억 1130만 원을 부과하고, 재발방지를 위하여 시정명령과 공표명령도 함께 처분했다. 이번 조사 및 처분 의의 이번 조사·처분은 일상에서 매일 접하는 식음료 서비스의 전반적인 개인정보 관리 체계를 면밀히 점검 잠재된 개인정보 침해 요인을 선제적으로 제거하고, 유출사고로 인한 사회적 비용과 피해를 최소화하였다는 점에서 의미가 크다고 개보위는 밝혔다. 또 개보위는 아동·청소년의 개인정보는 특별한 보호가 필요하며, 다양한 참여자가 연결된 플랫폼 생태계에서 적법 처리 근거, 필요·최소한의 정보 수집 등 프라이버시 중심의 서비스 설계가 중요하다고 강조했다. 아울러, 디지털 환경에서 처리 목적 등을 달성한 개인정보의 미파기는 잠재적 유출 사고의 핵심 변수로 작용할 수 있는 만큼 불필요한 개인정보의 즉시 파기를 당부했다. 개인정보위는 앞으로도 국민 실생활과 직결된 분야를 중심으로, 상시 점검 및 사전 예방 활동을 강화해 나갈 방침이다.
