금융사, 개인정보 불필요시 '즉시 파기해야 된다'

아주경제 김부원 기자= 앞으로 금융회사들은 보유 중인 고객의 개인정보가 불필요하게 되면 즉시 파기해야 한다. 외부업체에 위탁할 경우에는 필수기재사항이 포함된 문서에 의해 파기해야 한다.

금융감독원은 금융회사들이 개인정보문서 파기를 위탁하는 과정에서 일부 문제가 발견됨에 따라 '금융회사의 개인정보문서 관리 유의사항'을 마련했다고 4일 밝혔다.

금감원은 지난 6월 28일부터 7월 12일까지 총 165개 금융회사(은행, 증권, 보험, 신용카드사 등)를 대상으로 개인정보문서의 관리 수준에 대한 실태조사를 실시했다.

조사 결과 금융회사의 개인정보문서에 대한 관리 수준은 전반적으로는 양호했다. 단, 개인정보문서 파기를 위탁하는 과정에서 위탁계약서 미작성 등 관련 업무처리에서 일부 문제점이 드러났다.

또 파기 계획의 수립 및 시행, 결과 확인 등에 있어 개인정보 보호책임자(CPO)의 역할과 책임이 미흡했다. 이에 금감원이 '개인정보문서 관리 유의사항'을 마련해 금융회사에 배포한 것이다.

유의사항에 따르면 우선 금융회사는 개인정보문서의 안전성 확보를 위한 보호조치를 마련해야 한다. 예컨대 개인정보가 포함된 서류나 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관하고, 별도의 장소에 보관 할 경우에는 출입통제 절차를 수립해야 한다.

아울러 금감원은 이같은 내용을 반영한 개인정보처리방침을 수립·공개하도록 했다. 처리목적 달성 등으로 개인정보가 불필요하게 될 경우에는 즉시 파기해야 하며, 파기 관련 사항을 기록 관리해야 한다.

다만 종이문서에 포함된 각각의 개인정보를 선택적으로 파기하는 것이 곤란하므로, 금융회사는 분기 또는 반기 단위로 별도의 점검 및 파기절차를 마련해 시행할 수 있다. 파기계획의 수립 및 시행, 결과 확인 등은 CPO의 책임하에 수행돼야 한다.

외부업체에 위탁 할 경우에는 목적 외 개인정보처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 위탁업무 감독, 손해배상 책임 등 필수기재사항이 포함된 문서에 의해 파기돼야 한다.

이와 함께 금융회사는 수탁자가 개인정보를 안전하게 처리하는지 현장 확인하거나, 파기결과를 점검하는 등 수탁자를 감독해야 한다. 또 금감원은 개인정보 유출사고 등이 발생하지 않도록 금융회사가 수탁자에 대한 개인정보보호 교육을 실시하도록 지시했다.