국회 과학기술정보방송통신위원회 최민희 위원장 (더불어민주당 , 남양주갑) 은 피자업체 파파존스가 작년 7 월 개인정보가 노출되고 있음을 인지하고도 이를 은폐하고 개인정보 보호법 제 34 조에 근거해 KISA 측에 신고하지 않은 사실이 추가로 확인했다.
 ▲ 최민희 위원장은 “최근 기업들의 홈페이지와 모바일 앱을 통해 주문한 고객들의 개인정보가 무차별적으로 노출되고 있는 사고가 잇따르고 있다”면서 “ 개인정보가 노출 되거나 유출됐을 때, 기업윤리 차원에서 이를 숨기기보단 신속하게 보안조치하고 법령에 근거하여 개인정보보호위원회 혹은 한국인터넷진흥원에 즉각 신고해 조사에 성실히 임해야한다”며 법령 준수를 당부했다. © 김충열 정치전문기자 |
작년 7 월, 한국파파존스는 개인정보가 노출되고 있는 상황을 인지한 후 , 한국파파존스측 온라인구매 보안설계를 수탁받은 외주업체에 이와 같은 사실을 전달해 시정요청을 한 것으로 밝혀졌다. 업체는 즉각 시정 조치했지만 이를 한국파파존스와 업체가 한국인터넷진흥원에 신고하지 않았다.
이후 3 개월이 지난 10 월, 업체측은 온라인구매 기능업데이트를 진행하던 중 설계자의 과오로 인해 설계결함이 재차 발생했고, 지난 7 월 발생한 개인정보노출 상태로 회귀한 셈 이다. 이 상태는 9 개월 간 유지됐고 결국 올해 6 월, 3,730 만 건의 개인정보노출이 수면 위로 드러난 것이다.
한국파파존스는 작년 7 월 개인정보가 노출된 것을 인지하고부터 72 시간 내에 개인정보보호법 제 34 조(개인정보 노출 등의 통지ㆍ신고) 에 근거해 보호위원회 또는 대통령령으로 정하는 전문기관인 한국인터넷진흥원에 신고했어야 한다.
그럼에도 한국파파존스측은 한국인터넷진흥원에 신고하지 않았고, 현재까지 이를 내부적으로 은폐하고 있었던 것이다. 이는 개인정보보호법 제 64 조의 2( 과징금부과)에 근거해 해당 개인정보처리자에게 전체 매출액의 100 분의 3 을 초과하지 않는 범위에서 과징금을 부과할 수 있으며 제 75 조(과태료) 에 근거해 3 천만원 이하의 과태료를 부과할 수 있다.
최민희 위원장은 “최근 기업들의 홈페이지와 모바일 앱을 통해 주문한 고객들의 개인정보가 무차별적으로 노출되고 있는 사고가 잇따르고 있다”면서 “ 개인정보가 노출 되거나 유출됐을 때, 기업윤리 차원에서 이를 숨기기보단 신속하게 보안조치하고 법령에 근거하여 개인정보보호위원회 혹은 한국인터넷진흥원에 즉각 신고해 조사에 성실히 임해야한다”며 법령 준수를 당부했다. hpf21@naver.com
* 아래는 위 기사를 '구글 번역'으로 번역한 영문 기사의 [전문]입니다. '구글번역'은 이해도 높이기를 위해 노력하고 있습니다. 영문 번역에 오류가 있을 수 있음을 전제로 합니다.
*The following is [the full text] of the English article translated by 'Google Translate'. 'Google Translate' is working hard to improve understanding. It is assumed that there may be errors in the English translation.
Choi Min-hee: "Papa John's concealed personal information exposure, took secret action even after knowing about the exposure in July of last year"
Papa John's, knew about the exposure but did not report it to KISA... Violation of Article 34 of the Personal Information Protection Act
Chairwoman Choi Min-hee of the National Assembly Science, Technology, Information, Broadcasting and Communications Committee (Democratic Party of Korea, Namyangju Gap) additionally confirmed that pizza company Papa John's concealed the fact that personal information was exposed in July of last year and did not report it to KISA based on Article 34 of the Personal Information Protection Act.
It was revealed that in July of last year, after Korea Papa John's was aware of the personal information being exposed, it relayed the fact to the outsourcing company that was entrusted with the online purchase security design of Korea Papa John's and requested corrective action. The company immediately took corrective action, but Korea Papa John's and the company did not report it to the Korea Internet & Security Agency.
In October, three months later, the company was updating the online purchase function when the design flaw occurred again due to a designer’s error, and the personal information exposure situation from July of last year returned. This situation continued for nine months, and finally, in June of this year, 37.3 million pieces of personal information were exposed.
Korea Papa John’s should have reported the exposure of personal information to the Protection Commission or the Korea Internet & Security Agency, a specialized agency designated by Presidential Decree, within 72 hours of becoming aware of it in July of last year, based on Article 34 of the Personal Information Protection Act (Notification/Reporting of Personal Information Exposure, etc.).
Nevertheless, Korea Papa John’s did not report it to the Korea Internet & Security Agency, and has been covering it up internally to this day. This is based on Article 64-2 (imposition of fines) of the Personal Information Protection Act, which allows the imposition of fines not exceeding 3/100 of total sales to the relevant personal information processor, and based on Article 75 (fines), a fine of up to 30 million won can be imposed.
Chairperson Choi Min-hee said, “Recently, there have been a series of incidents in which personal information of customers who ordered through companies’ homepages and mobile apps has been indiscriminately exposed,” and “When personal information is exposed or leaked, rather than hiding it from a corporate ethics perspective, we should promptly take security measures and immediately report it to the Personal Information Protection Commission or the Korea Internet & Security Agency based on the law and faithfully cooperate with the investigation,” urging compliance with the law. hpf21@naver.com
