[개인정보보호3] 개인정보 파기 유의사항

● 개인정보 파기, 언제 어떻게 해야 하나요?

개인정보를 수집·이용하는 기업과 기관이라면 ‘언제’, ‘어떻게’ 파기할 것인가에 대해 명확한 기준을 가지고 있어야 합니다. 개인정보보호위원회가 발간한 2023년 법령해석 사례집에 따르면, 다음과 같은 기준을 따르는 것이 바람직합니다.

 

1. 개인정보 파기 시점

다음과 같은 경우에는 지체 없이 개인정보를 파기해야 합니다.

• 고객의 회원 탈퇴, 계약 해지, 동의 철회 등으로 처리 목적이 종료된 경우
• 개인정보의 보유 기간이 경과한 경우
• 수집 목적이 달성된 경우
• 사업장의 폐업, 청산 등이 이루어진 경우
• 채권소멸시효나 대금 완제일이 도래한 경우 등

 

2. 개인정보 파기 방법

① 전부 파기

개인정보 전체를 파기할 때에는 다음과 같은 방법을 사용해야 합니다.

• 소각, 파쇄 등 물리적 파기
• 자기장 소자 장비를 통한 저장 장치 삭제
• 덮어쓰기 또는 초기화 등 복원 불가능한 방식의 삭제

② 부분 파기

일부 정보만 파기할 경우 다음과 같은 방식이 허용됩니다.

• 전자파일: 복구 불가하도록 삭제 후 감독
• 종이 문서: 마스킹, 구멍 뚫기 등의 방식으로 삭제

③ 예외 상황

기술적 특성상 위 방식이 곤란한 경우, 해당 정보를 복원 불가한 방식으로 조치해야 하며, 이 경우 ‘가명처리’ 등 비식별화 조치를 적용할 수 있습니다.

 

관련 법령
「개인정보 보호법」 제21조 제2항
「개인정보의 안전성 확보조치 기준」 제13조

 

3. 실무 사례: 반복 회원가입과 개인정보 보유

일부 기업에서는 무료 혜택(예: 무료 택배)을 받기 위해 회원가입과 탈퇴를 반복하는 이용자가 있어 마케팅 운영에 어려움을 겪기도 합니다. 이 경우 회사는 “반복적 가입 및 탈퇴 방지”라는 정당한 목적을 밝히고, 이에 대한 정보주체의 동의를 받은 후, 필요 최소한의 기간 동안 개인정보를 보유할 수 있습니다.

• 단, 반드시 개인정보 처리방침에 관련 사항을 명시해야 하며,
• 일반적인 보유기간 경과 후에는 즉시 파기해야 합니다.

 

실무 팁
“회원 탈퇴 후 30일간 재가입 방지 목적 보관”이라는 조항을 명시하고 사전 동의를 받아야 합니다.

 

 

● 갈무리

개인정보는 ‘모아두는 것’보다 ‘잘 지우는 것’이 더 중요합니다. 법적 근거가 사라졌다면 즉시, 완전하게, 복원 불가능하도록 파기하는 것이 곧 기업의 신뢰도를 높이는 첫걸음입니다.
개인정보 처리 방침, 시스템 로그, 폐기 절차 문서 등을 통해 내부 규정을 명확히 정비해두어야 합니다.

 

참고 법령 및 가이드라인

• 「개인정보 보호법」 제6조, 제21조, 제30조
• 「공공기록물관리법」 제3조, 제19조
• 「개인정보의 안전성 확보조치 기준」 제13조
• 개인정보보호위원회, 『2023 개인정보 법령해석 사례 30선』, 사례 V-1 ~ V-3