[보도자료] ‘연계정보 안전조치 의무 위반’ 롯데카드에 과태료 부과

롯데카드가 정보통신망법 제23조의6(연계정보의 안전조치 의무 등) 제2항에 따른 연계정보 안전조치 의무 위반으로 1,125만원의 과태료를 부과받았다.

https://www.kmcc.go.kr/user.do?boardId=1113&page=A05030000&dc=K00000200&boardSeq=68560&mode=view

방송미디어통신위원회 누리집 > 알림마당 > 보도자료 상세보기(‘연계정보 안전조

롯데카드는 본인확인기관이 아니기 때문에 정보통신망법 제23조의6 제1항이 아닌 제2항을 적용받았고 위반사항은 '연계정보의 안전한 처리를 위한 내부 규정 미수립', '침해사고 발생 시 대응계획 미수립' 등이다. 

정보통신망법 제23조의6(연계정보의 안전조치 의무 등) ② 연계정보 이용기관은 제23조의5제1항 각 호에 따른 서비스를 제공하는 경우 「개인정보 보호법」 제29조에 따른 조치 외에 연계정보를 주민등록번호와 분리하여 보관ㆍ관리하고 연계정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 조치(이하 “안전조치”라 한다)하여야 한다. ⑤ 제1항에 따른 물리적ㆍ기술적ㆍ관리적 조치와 제2항에 따른 안전조치에 관하여 필요한 사항은 대통령령으로 정한다. 동법 시행령 제13조(본인확인기관의 물리적ㆍ기술적ㆍ관리적 조치 등) ② 법 제23조의5제4항 본문에 따른 연계정보 이용기관(이하 “연계정보 이용기관”이라 한다)은 법 제23조의6제2항에 따라 연계정보를 주민등록번호와 분리하여 보관ㆍ관리하고 연계정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 다음 각 호의 조치(이하 “안전조치”라 한다)를 해야 한다.  1. 안전조치를 총괄하는 책임자 지정 등 연계정보의 안전한 처리를 위한 내부 규정의 수립 및 시행 2. 연계정보를 제공받은 목적 범위 내 연계정보 처리 3. 주민등록번호를 보관하는 경우에는 해당 주민등록번호와 연계정보를 분리ㆍ보관ㆍ관리 4. 연계정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 5. 연계정보 분실ㆍ도난 등의 침해사고 발생 시 대응 계획의 수립 및 시행 6. 연계정보 제공기관 및 제공시기 등에 관한 자료의 기록ㆍ보관 7. 그 밖에 연계정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 방지를 위하여 방송미디어통신위원회가 정하여 고시하는 조치

이번 처분은 3월에 개인정보보호 법규 위반으로 개인정보보호위원회로부터 96억의 과징금과 480만원의 과태료를 부과 받았고 4월에 금융감독원으로부터 영업 정지 4.5개월이 포함된 제재안을 사전통지 받은 상황에서 받은 처분이라 개인정보 유출사고가 발생하면 여러 부처에서 처분을 받을 수 있음을 명백히 알려주는 사례가 될것 같다. (개인정보보호법과 정보통신망법 내 연계정보 규제는 중복규제의 느낌이 있는게 사실이지만...)