다이렉트 자동차보험을 판매하는 손해보험사들이 개인정보 법규 위반으로 제재를 받았다. 현대해상화재보험 등 4개사는 적법한 동의 절차 없이 개인정보를 수집해 과징금 처분이 내려졌다.
개인정보보호위원회는 지난 11일 서울 종로구 정부서울청사에서 전체회의를 열고, 개인정보보호법을 어긴 현대해상·악사손해보험 등 12개 보험사에 대해 제재 처분을 의결했다.
조사 결과, 12개 보험사 중 현대해상·악사손해보험·하나손해보험·엠지손해보험 등 4개 보험사는 적법한 동의 없이 개인정보를 수집해 마케팅에 활용한 사실이 밝혀져 과징금 92억770만원을 부과받았다.
이들 4개사는 상품소개를 위한 동의에 명백히 미동의 의사를 표시한 이용자에게 동의의 변경을 유도하는 팝업창(재유도 창)을 운영했는데, 오인할 수 있는 표현과 개인정보 자기결정권을 제한함에 따라 이용자의 의사에 따른 것으로 보기 어려웠다. 구체적으로 재유도 창에서 확인과 취소 버튼의 효과를 변경해 정보주체가 오인하도록 유도하고 확인 버튼을 누르는 경우 동의 내역이 변경된 것을 알 수 없도록 하는 식이다. 4개 보험사는 이러한 수법으로 이용자의 마케팅 동의율이 최대 30%포인트(P) 급증한 반면 재유도 창을 삭제한 후엔 최대 35%P나 감소했다. 개인정보위는 재유도 창 운영을 정보주체의 자기결정권을 침해한 행위로 판단하고, 개인정보보호법상 적법한 동의를 받지 않은 '동의 의무' 위반으로 봤다.
또 적법하지 않게 동의받은 개인정보를 사용해 자동차보험뿐 아니라 운전자보험, 건강보험, 치아보험 등 다른 보험 마케팅에도 활용했다. 자동차보험만 살펴봐도 약 3000만건의 문자와 전화 마케팅을 실시한 것으로 드러났다.
최고개인정보보호책임자(CPO)의 내부통제도 미흡한 것으로 확인됐다. 마케팅 부서가 재유도 창을 통한 동의 절차를 기획하는 과정에서 CPO의 검토 등 내부통제가 제대로 작동하지 않았다. 이에 개인정보위는 4개 보험사에 대해 CPO의 내부통제 절차가 적정하게 이뤄지고 독립적인 역할을 할 수 있도록 시정명령을 내렸다.
이번 조사에서 12개 보험사 모두 보험료 계산을 중단하거나 보험 계약을 체결하지 않은 이용자 정보를 파기하지 않고 1년간 보유하고 있어, 보유기간을 개선하도록 시정명령했다. 특히 1년이 넘어도 이용자 정보를 파기하지 않은 롯데손해보험엔 과태료 540만원을 부과했다.
남석 개인정보위 조사조정국장은 “적법한 동의를 받기 위해선 정보주체에게 명확히 알리고 자유로이 결정권을 행사할 수 있도록 해야 한다”며 “금융기관의 개인정보 처리라 하더라도 명백히 신용정보법상의 개인신용정보에 해당하지 않는 경우 개인정보보호법 적용 대상이 된다는 점을 다시 한번 명확히 했다”고 말했다.
조재학 기자 2jh@etnews.com
