삼성·롯데·하나 등 주요 카드사가 소멸 시효가 지난 고객 개인정보를 제때 삭제하지 않고 묵혀둬 수천만원의 과태료를 물었다. 이에 개인정보 관리 시스템을 강화해야 한다는 주장이 다시 고개를 들고 있다.
11일 금융당국 및 카드업계에 따르면 삼성·롯데·하나카드는 소멸시효가 지난 지 5년이 넘은 고객의 개인정보를 삭제하지 않아 금융감독원의 제재를 받았다. 금감원은 최근 제재심의위원회를 열고 이들 3개 카드사에 수천만원의 과태료와 직원 주의 조치를 내렸다.
3개 카드사가 삭제하지 않은 고객 정보는 총 3487만여 건이다. 이들 카드사는 2016년 3월 개인정보보호법이 개정되면서 바뀐 시행령에 맞춰 제때 시스템 정비를 하지 못한 것으로 드러났다. 신용정보의 이용 및 보호에 관한 법률에 의하면 신용정보제공·이용자는 소멸시효 완성 등으로 상거래관계가 종료된 날부터 최장 5년 이내에 해당 신용정보주체의 개인신용정보를 관리대상에서 삭제해야 한다.
삼성카드는 2016년 3월 12일부터 2017년 8월 31일까지 소멸시효가 지난 개인신용정보를 삭제하지 않고 있다가 2017년 9월 1일 27만 3464건을, 9월 8일 채권 매각된 개인정보 918만 1855건을 뒤늦게 삭제했다. 이에 금감원은 삼성카드에 2700만원의 과태료를 부과하고 담당 직원이 이미 퇴직한 상태여서 주의 상당의 징계를 내렸다.
롯데카드 역시 2016년 3월 12일부터 2018년 7월 4일 사이에 44만 8938건의 삭제 대상 개인정보를 보관하고 있다가 한참 늦은 2018년 7월 5일 일괄 삭제했다. 이에 롯데카드는 2880만원의 과태료와 담당자 1명에 대한 주의 조치를 받았다.
하나카드도 마찬가지다. 2016년 3월 12일부터 2017년 7월 11일 기간 동안 소멸시효 경과 개인정보를 삭제하지 않고 있다가 2017년 12월 28일, 29일 양일에 거쳐 4581건을, 2018년 1월 25일 채권 매각된 개인정보 111만 8231건을 각각 삭제했다. 이때 하나카드는 고객원장만 삭제하고 그 외 카드정보 등의 개인정보 2384만 7794건은 그대로 뒀는데, 2018년 7월 12일 이를 뒤늦게 삭제하기도 했다. 하나카드는 과태료 2880만원을 부과받고 퇴직자 2명에게는 주의상당의 조치가 내려졌다.
이에 카드사 측은 개인정보보호법 개정안이 발효된 시점에 바로 삭제를 하지 못한 것이라고 해명했다. 카드사 한 관계자는 11일 미디어SR에 "2016년 3월에 개인정보보호법이 개정되면서 시스템을 변경하는 과정에서 전산적인 오류가 있어 일부 삭제되지 않은 것"이라면서 "현재는 시스템을 개선, 보완해서 금감원 가이드라인에 맞춰 운영하고 있다"라고 밝혔다.
하지만 지난 2014년 있었던 KB국민, NH농협, 롯데카드 대규모 개인정보 유출 사건 이후로 카드사들이 좀 더 경각심을 가지고 개인정보 관리 시스템을 구축해야 한다는 목소리도 나온다. 당시 역대 최대 규모인 1억 400만여 건의 이름, 주민등록번호, 전화번호, 집 주소 등 개인정보가 유출됐다.
금융정의연대 전지예 사무국장은 미디어SR에 "이전 카드사 개인정보 유출 때부터 개인정보 관리 시스템 구축에 대한 요구를 많이 해왔는데 아직까지 제대로 이뤄지지 않은 게 사실"이라면서 "최근 금융위가 발표한 금융 선진화 방안을 보면 다 개인정보 관련 규제를 완화하겠다는 방침이다. 이전 개인정보 유출 때도 카드사들은 책임지지 않겠다는 입장을 보였는데, 이는 시스템을 구축하는 비용에 비해 당국의 제재 수준이 턱없이 낮은 탓이다"라고 전했다.
이어 전 사무국장은 "금융당국이 처벌 수위를 높이고 개인정보 유출 방지 시스템 구축에 강제성을 띠어야 카드사들이 개인정보 관련해서 무책임하게 행동하지 않을 것"이라고 강조했다.
최근 정부가 금융소비자들의 개인정보 활용을 강화하는 마이데이터와 빅데이터 정책을 추진하고 있어 개인신용정보 보호 체계의 중요성이 나날이 커지는 가운데, 이를 뒷받침하는 금융사들의 철저한 인식과 제도 개선이 시급해 보인다.