개인정보를 이용∙제공하기 위해 이를 수집하고 저장하는 시스템이 바로 ‘개인정보처리시스템’입니다. 개인정보는 수집/저장/이용/제공돼 파기에 이르기까지 일정한 라이프사이클을 따라 흐르게 되는데요. 정보주체의 동의를 받아서 개인정보를 안전하게 저장하고 이용하는 것도 중요하지만, 이에 못지않게 잘 파기하는 것 역시 중요합니다. 적법하게 수집한 정보라도 정보의 이용 기한이 만료되면 즉시 삭제해야 하죠. 개인정보는 관련 법령에 따라 필요시 분리보관의 대상이 되기도 합니다.

개인정보 파기 기능을 구현하지 않고 시스템을 운영하는 경우도 종종 있습니다. 개인정보 파기 기능이란 보유기간의 경과, 개인정보의 처리 목적 달성 등 개인정보가 불필요하게 되었을 때 지체없이 개인정보를 파기하는 기능을 의미합니다. 오래된 시스템에서 그동안 개인정보를 삭제하지 않고 사용하는 경우나, 아직 삭제 주기가 도래하지 않았다는 이유로 새로운 시스템에 파기 기능을 구현하지 않고 운영해온 경우입니다.  

하지만, 개인정보 파기 기능을 시스템으로 구현해 놓지 않으면, 삭제 주기가 도래한 후에 운영자가 해당 개인정보의 저장소를 확인하고 대상을 선별해 일일이 삭제 처리해야 합니다. 이때, 잘못된 판단으로 일부 개인정보가 파기에서 누락되는 일이 발생할 수도 있죠. 그러므로 시스템 설계부터 이를 고려해 구축하는 것이 바람직합니다.

개인정보의 보유기간과 같은 파기 정책이 없을 수도 있는데요. 파기해야 하는 정보를 잘 모르거나, 올바른 파기 방법을 모르는 경우에도 개인정보 파기에 어려움을 겪을 수 있습니다. 파기 대상이 되는 개인정보가 무엇인지부터 개인정보 분리보관에 대한 법적 근거와 함께 조치 방법까지, 개인정보 파기에 필요한 요소를 살펴보겠습니다.

1. 파기 대상 개인정보

개인정보처리시스템에서 수집∙저장∙이용하는 개인정보는 주로 서비스를 이용하기 위해 가입한 회원이나 외부 고객의 정보입니다. 하지만 그 외에도 내부 시스템에서 업무를 처리하기 위해 등록된 사용자로 관리자, 운영자, 협력업체 또는 외부 거래처 담당자의 개인정보가 포함될 수 있는데요. 빠뜨리기 쉬운 개인정보가 바로 이런 정보입니다. 개인정보의 유형으로는 사번(시스템 키), 성명 외에 이메일, 전화번호와 같은 연락처가 있습니다. 

개인정보는 시스템에 저장된 정보 외에도 수집경로에 따라 종이 문서, 우편, 전자메일, 팩스, 전자문서, 통화 녹음 파일, 사진이나 영상 파일 등 다양한 형식으로 존재할 수 있습니다.

이렇게 데이터베이스에 저장된 데이터뿐만 아니라 각종 매체에 존재하는 개인정보도 파기 대상이 되는데요. 파기할 때는 복구 불가능한 방법으로 파기해야 한다는 점을 기억해야 합니다. 저장 매체에 따른 올바른 삭제 방법에 대해서 알아보겠습니다.

2. 개인정보 파기 관련 법령

위에서 살펴본 바와 같이 개인정보를 다루는 시스템이라면 개인정보 수집 목적 달성 또는 보유기간 종료에 따라 개인정보를 파기해야 합니다. 이에 대한 법적 근거는 아래와 같습니다. 정보통신서비스를 제공하는 시스템이라면 추가로 적용해야 할 특례조항도 있습니다.

 – 개인정보보호법 제21조(개인정보의 파기)
 – 개인정보보호법 제39조의7(이용자의 권리 등에 대한 특례)
 – 시행령 제16조(개인정보의 파기방법)
 – 개인정보의 안전성 확보조치 기준 고시 제13조(개인정보의 파기)
 – 개인정보보호법 제39조의6(개인정보의 파기에 대한 특례)
 – 개인정보보호법 시행령 제48조의5(개인정보의 파기 등에 관한 특례)

3. 개인정보의 파기 시점

개인정보 파기에 관련된 아래 조항에서 1항을 보면, 개인정보를 파기해야 하는 시점을 알 수 있습니다.

개인정보 수집 동의 시 명시한 보유기간이 경과됐거나 이용목적의 달성으로 해당 개인정보가 불필요하게 되면 이를 지체없이 파기해야 합니다. 임직원의 퇴사, 이벤트 종료, 숙박 예약 후 체크아웃과 같이 이용목적이 달성된 경우가 그 예시입니다. 또한, 생체정보(얼굴, 지문 등) 추출을 위한 영상정보는 특징점 도출 이후 원본 데이터를 삭제해야 합니다.

보유기간이 정해지지 않은 경우가 바로 삭제 정책이 미흡해 파기할 수 없는 경우인데요. 그렇기 때문에 반드시 해당 정보가 필요한 기간을 정해 정보주체에게 수집동의 받을 때 이를 명시한 후 홈페이지의 개인정보처리방침에도 게시해야 합니다. 이후 보유기간이 지났는지 확인하면서 주기적으로 개인정보를 파기해야 합니다. 

또한, 개인정보보호법 제36조, 제37에 의거해 정보 주체가 개인정보의 삭제나 처리정지 등을 요구했을 때에도 지체없이 파기해야 합니다. 개인정보보호법 제39조의7에 의하면 정보통신서비스 이용자가 개인정보 제공에 대한 동의 철회 시에도 이와 마찬가지입니다.

4. 개인정보 삭제 주기에 따른 삭제 프로그램 운영

개인정보의 파기 시점이 도래하거나 정보주체가 개인정보 삭제를 요구하면 파기는 ‘지체없이’ 진행돼야 합니다. 이는 개인정보보호법에서 통상적으로 ‘5일 이내’를 말합니다. 대규모 개인정보처리시스템이라면 매일 삭제 주기가 도래한 데이터가 발생하므로, 삭제 프로그램을 일단위로, 최소 5일마다 운영해야 합니다. 그렇기 때문에 대규모 개인정보 DB에서는 삭제 작업이 용이하도록 테이블에 파티션을 나누기도 합니다.

이러한 삭제 프로그램 외에도 회원 탈퇴나 임직원 퇴사, 개인정보 삭제 요구, 제공 동의 철회 등 개별 작업도 발생하므로 개별 삭제 기능도 필요합니다.

임직원의 개인정보는 인사시스템과 연동해 퇴사 처리 시 반영되도록 해야 합니다. 협력업체 운영자의 개인정보는 철수 시점에 보안서약서를 작성해 전달받은 후 삭제하고 확인해야 합니다. 거래처 담당자는 퇴사 여부를 즉시 알 수 없으므로, 주기적으로 계정 사용 여부를 확인해 개인정보를 삭제하는 프로세스가 마련돼야 하는데요. 사용 여부를 확인하는 주기는 해당 업체의 시스템 접속 사이클을 고려해 정해야 합니다.

테이블에 저장된 파기 대상 개인정보에 대해 ‘삭제 여부’ 컬럼에 표시하는 것은 복구 불가능한 방법의 파기라고 볼 수 없습니다. 반드시 삭제 처리를 해야 하죠. 개인정보 컬럼을 Null 처리하는 것도 무방합니다. Null이란 아무것도 없다는 의미로, 프로그래밍 언어 등 컴퓨터 분야에서는 아무것도 보여주지 않는 경우를 나타내는 데 사용됩니다. 다른 법령에 따라 보관이 필요할 경우, 삭제 전 분리해 보관해야 합니다.

지금까지 개인정보 파기 관련 법령과 개인정보 파기 시점에 관해 알아보았습니다. 다음 글에서는 개인정보 삭제 방법과 개인정보 분리보관을 함께 살펴보겠습니다.


글 ㅣ LG CNS 사이버시큐리티팀 권영미 책임