[Cook&Chef = 허세인 기자] 개인정보보호위원회(위원장 송경희, 이하 개보위)가 스타벅스, 맥도날드, 버거킹 등 주요 식음료 프랜차이즈와 예약 플랫폼 사업자들의 개인정보 보호 실태를 조사한 결과, 10개 사업자가 개인정보 보호법을 위반한 것으로 확인됐다. 개보위는 지난 11일 전체회의를 열어 이들 사업자에 총 15억 6,600만 원의 과징금과 1억 1,130만 원의 과태료를 부과하고 시정명령과 공표명령을 내리기로 의결했다.

조사 대상에는 예약·대기 플랫폼인 캐치테이블, 테이블링, 도도포인트·나우웨이팅 운영사와 함께 스타벅스, 버거킹, 메가MGC커피, 맥도날드, 투썸플레이스, 이디야, 빽다방 등 주요 프랜차이즈가 포함됐다.

아동 개인정보 무단 수집·마케팅 동의 강제 등 위반 확인

이번 조사에서 일부 사업자는 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집하거나, 이용자의 동의 없이 개인정보를 마케팅에 활용하는 등 개인정보 보호법의 핵심 규정을 위반한 것으로 드러났다.

버거킹 운영사인 비케이알은 법정대리인의 동의 없이 아동 개인정보를 수집·이용했으며, 메가MGC커피 운영사인 엠지씨글로벌은 회원가입 과정에서 마케팅 활용에 동의하지 않은 이용자도 자동으로 동의 처리되도록 시스템을 설정하고 마케팅 메시지를 발송한 사실이 확인됐다.

투썸플레이스는 매장 주문 시 휴대전화번호를 입력하지 않으면 주문과 결제가 불가능하도록 운영해 개인정보 수집 최소화 원칙을 위반한 것으로 나타났다. 빽다방 운영사 더본코리아는 회원가입 시 마케팅 활용과 맞춤형 서비스 동의를 포괄적으로 받는 등 동의 절차를 부적절하게 운영한 사실이 확인됐다.

예약 플랫폼·프랜차이즈 전반 개인정보 관리 부실

예약 플랫폼 사업자들의 개인정보 보호 조치도 미흡한 것으로 조사됐다. 캐치테이블, 테이블링, 야놀자에프앤비솔루션, 맥도날드 등은 API 설계와 운영 과정에서 접근통제 조치를 충분히 하지 않아 고객 개인정보가 외부에 노출될 가능성이 있는 상태로 운영된 사실이 확인됐다.

또한 대부분 사업자는 개인정보 보유기간이 지나거나 처리 목적이 달성된 개인정보를 즉시 파기하지 않고 보관하고 있었으며, 개인정보 처리 업무를 외부 업체에 위탁하면서 수탁자에 대한 관리·감독도 소홀히 한 것으로 나타났다.

개보위는 이번 조사에서 식음료 분야 전반에 걸쳐 개인정보 관리 체계가 미흡한 점이 확인됐다고 밝혔다. 최근 음식점 예약 앱, 키오스크 주문, 멤버십 서비스 등 정보통신기술 기반 서비스가 확대되면서 대규모 개인정보 처리 사례가 늘고 있지만, 이에 상응하는 보호 조치는 충분히 이뤄지지 않고 있다는 것이다.

개보위는 특히 아동·청소년 개인정보는 특별한 보호 조치를 마련해야 하며, 서비스 설계 단계부터 개인정보 보호를 고려하는 ‘프라이버시 중심 설계’가 필요하다고 강조했다. 아울러 처리 목적을 달성한 개인정보의 즉시 파기 등 기본적인 보호 조치를 철저히 준수해야 한다고 당부했다.

[저작권자ⓒ 쿡앤셰프(Cook&Chef). 무단전재-재배포 금지]