한국인터넷진흥원 "GS25는 정보통신서비스제공자이기에 개인정보유출 홈페이지 공지 대상 아니다"
GS25가 고객 대상 이벤트를 진행하는 과정에서 고객들의 이름·전화번호 등 수천 명의 당첨자 개인정보를 노출했지만, 이를 홈페이지 내 공지하지 않은 것으로 알려졌다.
지난 6일 GS25의 ‘코로나19 예방 접종 천만명 돌파 기념 감사 이벤트’의 당첨자 총 6천명을 발표하는 과정에서 약 3시간30분 가량 당첨자의 이름·전화번호 등 개인정보가 노출되는 사고가 발생했다.
GS25 관계자는 <뉴스워커>와의 통화를 통해 사건 경위를 밝혔다.
관계자는 “SNS 이벤트를 운영하는 협력사 직원의 실수로 일부 고객의 개인정보가 마스킹 처리되지 않고 SNS에 노출됐다”라며 “GS25는 개인정보 유출 사실을 인지한 즉시 해당 내용을 삭제했으며, 개인정보 유출 피해자분들께 이 같은 내용을 담은 문자를 발송해 유출 사실을 알린 뒤 적법한 자진 신고 절차를 7월7일 완료했다”라고 전했다.
이어 “이번 일로 고객분들께 2차 피해가 없도록 최선을 다하는 한편, 협력사와 업무 프로세스를 정비하는 등 재발 방지를 위한 최선의 노력을 기울일 예정”이라고 밝혔다.
일각에서는 개인정보보호법 시행령 제40조(개인정보 유출 통지의 방법 및 절차)에 따라 ‘천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 개인정보 유출에 관한 사항을 7일 이상 게재해야 하지만, GS25가 이를 지키고 있지 않다고 지적했다.
이에 한국인터넷진흥원 관계자는 <뉴스워커>와의 인터뷰를 통해 GS25의 개인정보유출 사건의 경우 홈페이지 공지 대상이 아니라고 전했다.
관계자에 따르면 GS25는 개인정보보호법 시행령 제40조는 개인정보처리자에 대한 규정이며, GS25의 경우 정보통신서비스제공자이기에 개인정보보호법 제39조의4(개인정보 유출 등의 통지·신고에 대한 특례)항목이 적용된다.
관계자는 “정보통신서비스제공자의 유출 통지는 이용자에게 개인정보 유출에 대해 통지를 하는 것이 목적이며, 개인에게 통지할 수 없을 경우 홈페이지에 공지하게 돼 있다”라고 전했다.