개인정보 보호정책 어떻게 흘러가는가..

온라인 뿐만 아니라 우리가 개인신상을 제공해주고 서비스를 받게되는

보험, 예적금, 통신서비스, 카드 등등을 이용하는 곳에서도 개인정보 보호정책이란 것에 구애를 받게된다.

 

요즘처럼 어느 카드사 직원이 회원의 개인정보 수만명분을 유출했다는 등의 뉴스를 많이 접하면서 다시한번 개인정보 보호정책에 대한 절실한 필요성도 느끼고 정부 역시 여기에 맞추어 각종 법안이나 제도를 만들어 내고 있다.

그런데 어이업게도 실제 이런 법안이나 제도의 제한이 개인정보를 실질적으로 보호하는데 도움이 되는가 하는 것이다.

 

얼마전에 법무팀에서 의견이 내려왔다.

우리는 유통회사이고 카드사와 제휴가 되어 있다. 우리 회사 유통카드는 이름은 우리 회사명으로 되어 있지만 다른 회사의 카드사가 운영하는 카드인 셈이다. 물론 회원정보도 해당 카드사에서 관리를 한다. 그리고 제휴에 의하여 해당 정보를 카드사에서 우리에게 제공하게끔 되어 있다.

우리는 해당 카드 회원에게 D/C를 해주거나 사은행사를 해주는 등의 "혜택"을 부여하고 대신 해당 고객의 DB를 분석하고 마케팅을 전개할 수 있는 것이다.

그런데 이게 엄밀히 따지면 불법이란다.

문제는 고객은 A카드에 개인정보를 제공한 것이고 약관상 A카드는 '제휴사'라는 모호한 名을 사용하여 개인정보를 제공할 수 있음을 표시하고 동의를 얻고 있다. 실질적으로 모든 약관을 각 제휴사별로 따로 만들어 해당 제휴업체를 명확히 기제하고 사용 동의를 얻으면 되지만 말처럼 그게 쉬운일인가.. 수많은 제휴사가 존재할 것이고 그 수많은 제휴사의 약관 변화에 대한 대처를 A카드사가 할 수도 없는 노릇이다. 그런데 그렇게 되면 명확하 개인정보의 제휴처가 약관에 표시가 안되고 동의가 구해진 것이 아니라 판단되어 고객이 이에 문제를 제기하면 개인정보 무단사용이 될 수 있다는 것이다.

법적으로는 그렇다는 것이다.

그렇지만 실제 고객들은 그렇게 생각하지 않는다. 카드에는 B백화점 카드라 명기되어 있고 본인이 신청할 때도 A카드사에서 하는 것이 아니라 B백화점에 신청을 했다. 그럼 당연히 B백화점에서 운영되리라 믿고 있는 것이다.

만약 법적 테두리에 머물게 된다면 우리는 우리 백화점 카드 고객에게 DM이나 할인쿠폰 무료주차권과 같은 것을 보낼 수 없게된다. 그럼 법대로 안보낸다고 하자. 그럼 고객들이 가만 있겠는가?

 

개인정보 보호정책의 요점은 이렇다. 고객이 실제 자기 정보를 제공한 곳에서 다른 곳에 '악용'하지 않고 사용하도록 하자는 것이다.

그렇다면 제휴 마케팅이나 공유 자체에 문제를 걸어 기업이 기업활동을 하는데 어려움을 주는 것보다는 제휴나 공유 마케팅은 고객의 동의에 따라 충분히 가능하도록 탄력을 좀 더 부여하고 개인정보의 관리 체계에 대한 제한이나 제재를 해야 하지 않을까 한다.

 

모든 DB의 개인정보 필드를 암호화 해 놨는가?

개인정보를 변경 확인하기 위한 개인의 본인 확인 절차가 명확한가?

개인정보 입력/출력/인증 등을 위한 시스템 및 프로그램에 오류는 없는가?

 

아직도 많은 사이트들의 웹마스터가 원한다면 자신의 사이트의 회원이름, 주민번호, 아이디, 패스워드를 한눈에 파악하고 있는데 이게 과연 옳은 것인가 한번 다져봤으면 한다.

적어도 주요 개인정보는 시스템만이 알고 있어야 하지 않은가?

 

現 우리가 알수 있는 개인정보는 회원 성명, 주소(배송이나 우편 발송이 필요한 경우만), 이메일주소, 주민번호 앞자리(주민번호로 성별과 생년만 알면 됨), 전화번호(솔직히 이것도 큰 필요성이 있을지..) 정도면 충분하다. 나머지 개인정보는 시스템만 알고 본인 외에 그 누구도 필요치 않은 것일텐데...