개보위, 상조서비스 업계 개인정보 보호 취약요인 선제 점검 착수

핵심 요약

- 개인정보보호위원회가 2026년 6월 25일 상조서비스 업계의 개인정보 보호 취약요인 선제 점검 결과를 발표 - 고령층 개인정보 및 건강정보 등 민감정보 처리, 과도한 영업 관행, 제3자 제공 동의 절차 등 주요 취약점 확인 - 개인정보 처리 체계 개선 권고 및 지속적 모니터링 계획 수립

주요 내용

개인정보보호위원회(위원장 고학수, 이하 개보위)는 2026년 6월 25일 상조서비스 업계를 대상으로 실시한 개인정보 보호 취약요인 선제 점검 결과를 공개했다. 이번 점검은 상조서비스 특성상 고령층 이용자의 민감한 개인정보를 다량 처리하면서도 영업 관행상 정보 보호 체계가 취약할 수 있다는 판단에 따라 사전 예방 차원에서 진행됐다.

개보위는 상조서비스 업체들이 회원 가입 과정에서 수집하는 개인정보의 범위와 목적의 적정성, 민감정보(건강정보, 사망정보 등) 처리 시 별도 동의 절차 이행 여부, 텔레마케팅 등 영업 목적의 개인정보 활용 적법성, 제휴사·협력업체 등 제3자 제공 시 동의 및 관리 실태를 중점적으로 점검했다. 특히 상조서비스의 경우 장례 관련 서비스 특성상 가족관계, 건강상태, 종교 등 개인정보보호법상 민감정보에 해당하는 정보를 필수적으로 처리하게 되어 있어 보호 수준 강화가 필요한 분야로 지목됐다.

점검 결과 일부 업체에서 서비스 제공에 필수적이지 않은 과도한 개인정보를 수집하거나, 민감정보 처리에 대한 별도 동의를 명확히 받지 않은 사례가 확인됐다. 또한 회원 모집 과정에서 동의 없이 개인정보를 수집하거나, 제3자 제공 동의 없이 협력업체에 정보를 전달하는 등의 문제점도 발견됐다. 개보위는 해당 업체들에 대해 개인정보 처리 방침 개선, 동의 절차 보완, 내부 관리 체계 강화 등을 권고하고, 향후 이행 여부를 지속적으로 모니터링할 계획이다.

이번 선제 점검은 침해사고 발생 이후 사후 조치가 아닌, 취약요인을 사전에 발견하고 개선을 유도하는 '예방적 규제' 방식으로 진행됐다는 점에서 의미가 크다. 개보위는 "고령층이 주요 고객인 상조서비스 특성상 정보주체의 권리 보호가 더욱 중요하며, 업계 전반의 개인정보 보호 수준 향상을 위해 지속적으로 관리·감독할 것"이라고 밝혔다.

전문가 시각

상조서비스 업계는 그간 개인정보 보호 사각지대로 지적되어 온 분야다. ISMS-P 인증심사 경험상 상조업체들은 대부분 중소규모이면서도 수십만 건 이상의 민감한 개인정보를 보유하고 있어, 정보보호 관리체계가 미흡할 경우 대규모 침해사고로 이어질 위험이 높다. 특히 영업사원을 통한 대면 모집 과정에서 종이 기반 동의서가 사용되고, 이를 디지털화하는 과정에서 정보 유출이나 무단 이용이 발생할 가능성이 크다.

실무적으로는 민감정보 처리 시 '별도 동의' 원칙 준수가 핵심이다. 개인정보보호법 제23조에 따라 건강정보, 사망정보 등은 반드시 다른 개인정보와 구분하여 명시적 동의를 받아야 하며, 포괄적 동의로는 법적 효력이 인정되지 않는다. 또한 제3자 제공 시에도 제공받는 자, 목적, 항목을 구체적으로 고지하고 동의를 받아야 한다. 상조업체들은 이번 점검을 계기로 동의서 양식 전면 재검토, 영업사원 교육 강화, 개인정보 처리 시스템 점검 등 종합적인 개선 조치를 시행해야 한다.

ISMS-P 심사원 체크포인트

1. 2.3.2 개인정보 수집 시 동의사항 (개인정보보호법 제15조, 제22조, 제23조) - 민감정보(건강정보, 사망정보, 종교 등) 수집 시 일반 개인정보와 구분된 별도 동의 절차 이행 여부 확인 - 동의서 양식에 필수/선택 항목 구분, 수집 목적별 동의 분리, 민감정보 별도 표시 등이 명확히 구현되어 있는지 점검 - 대면 영업 채널에서 수기 작성된 동의서의 디지털 전환 과정에서 정보주체 확인 및 위변조 방지 조치 검토

2. 2.4.3 개인정보 제공 및 위탁 (개인정보보호법 제17조, 제26조) - 제휴 장례식장, 장의용품 업체, 보험사 등 제3자 제공 시 제공받는 자, 목적, 항목, 보유기간을 구체적으로 고지하고 동의를 받았는지 확인 - 위탁업체(콜센터, 시스템 운영 등) 관리·감독 실태 점검: 위탁계약서 개인정보보호 조항, 연 1회 이상 위탁업무 점검 기록 확인 - 제공·위탁 현황 대장 관리 및 정보주체 열람 요구 시 제공 가능 여부 검토

3. 2.8.4 고령자 등 취약계층 보호 (개인정보보호법 제26조의2) - 주요 고객층이 고령자인 점을 감안하여 동의서 가독성(글자 크기, 명확한 표현), 설명 의무 이행 여부 확인 - 법정대리인 동의가 필요한 경우(예: 고령자 판단능력 저하 시) 절차 마련 여부 점검 - 고령층 민원 처리 체계 및 개인정보 열람·정정·삭제 요구 대응 절차의 접근성 검토

위반 조항

개인정보보호법 제15조(개인정보의 수집·이용) - 제1항: 정보주체의 동의 없이 또는 서비스 제공에 불필요한 과도한 개인정보를 수집한 경우 위반 - 제1항 제1호: 수집 목적을 명확히 고지하지 않고 개인정보를 수집한 경우

개인정보보호법 제17조(개인정보의 제공) - 제1항: 제3자 제공 시 제공받는 자, 이용 목적, 항목, 보유기간을 고지하고 동의를 받지 않은 경우 위반 - 제2항: 제3자 제공 사실을 정보주체가 쉽게 확인할 수 있도록 조치하지 않은 경우

개인정보보호법 제23조(민감정보의 처리 제한) - 건강정보, 사망정보 등 민감정보 처리 시 별도의 동의를 받지 않거나, 다른 개인정보와 혼재하여 포괄적으로 동의를 받은 경우 위반

개인정보보호법 제22조(동의를 받는 방법) - 제1항: 동의 내용을 명확히 인지할 수 있도록 알리지 않거나, 필수/선택 항목을 구분하지 않은 경우 위반

위반 시 제재: 제71조(벌칙) 5년 이하 징역 또는 5천만원 이하 벌금, 제75조(과징금) 매출액의 3% 이하 또는 5억원 이하

CPPG·ISMS-P 연계 포인트

1. 민감정보 별도 동의 원칙 (개인정보보호법 제23조) 개인정보보호법상 민감정보는 사상·신념, 노동조합·정당 가입, 정치적 견해, 건강, 성생활, 유전정보, 범죄경력 등을 의미하며, 일반 개인정보보다 강화된 보호가 요구된다. 상조서비스의 경우 건강정보(기저질환, 투약 내역 등), 종교(장례 방식 결정), 사망 관련 정보 등이 이에 해당한다. ISMS-P 인증심사 시 민감정보 처리 업무 프로세스별로 '별도 동의' 확보 여부, 동의서 양식의 구분 표시, 암호화 등 기술적 보호조치 적정성을 중점 점검한다. CPPG 시험에서는 민감정보의 법적 정의와 예외사유(법령상 의무 이행 등) 구분이 출제 빈도가 높다.

2. 제3자 제공과 위탁의 구분 및 동의 (개인정보보호법 제17조, 제26조) 제3자 제공은 개인정보처리자가 제3자에게 개인정보를 이전하여 제3자가 자신의 목적으로 이용하는 것이며, 반드시 정보주체의 동의가 필요하다. 반면 위탁은 처리자가 업무의 일부를 외부에 맡기되 처리 목적과 권한은 위탁자에게 있으며, 위탁계약 체결 및 관리·감독 의무가 발생한다. 상조서비스에서 제휴 장례식장에 회원정보를 전달하는 것은 '제3자 제공', 콜센터 운영을 외주화하는 것은 '위탁'에 해당한다. ISMS-P 심사 시 제공·위탁 현황 대장, 동의 기록, 계약서 개인정보보호 조항, 연간 점검 기록 등을 필수 증빙자료로 요구한다.