금융사, 개인정보문서 파기 과정서 위탁계약서 미작성 등 문제점 노출

은행ㆍ증권 등 금융회사가 개인정보가 담긴 문서를 파기하는 과정에서 일부 문제점이 발견됐다. 개인정보보호책임자(CPO)의 역할론에 대해 논란이 불거질 것으로 예상된다.

금융감독원은 4일 은행ㆍ증권ㆍ보험ㆍ신용카드사 등 총 165개 회사를 대상으로 지난 6월28일 부터 7월12일까지 개인정보문서의 관리 수준에 대한 실태조사를 실시한 결과 개인정보문서 파기를 위탁하는 과정에서 위탁계약석 미작성 등 관련 업무 처리에 일부 문제점이 발견됐다고 밝혔다.

금융사들은 위탁업체에 개인정보문서 파기 업무를 위탁할 때 계약서상에 ‘목적 외 개인정보처리 금지’, ‘재위탁업무 제한’ 등 필수기재사항을 누락한 것으로 나타났다.

또 위탁업무와 수탁업체를 미공개한 것과 수탁업체에 대한 교육을 실시하지 않은 점도 문제점으로 지적됐다.

이는 파기 계획의 수립ㆍ시행ㆍ결과 확인 등의 과정에 있어 개인정보보호책임자의 역할과 책임이 미흡했기 때문인 것으로 풀이된다.

이에 따라 금감원은 금융회사의 법규 준수사항을 쉽게 파악할 수 있도록 ‘금융회사의 개인정보문서 관리 유의사항’을 마련하고 개인정보 유출 방지를 위해 안전조치의무를 준수하도록 금융회사에 당부했다.

금감원은 개인정보가 포함된 서류나 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관하고 별도의 장소에 보관시 출입통제 절차를 수립할 것을 주문했다. 금융사들은 이같은 내용을 반영한 개인정보처리방침을 수립해 공개해야 한다.

또 개인정보가 처리 목적 달성 등으로 불필요하게 되었을 때에는 원칙적으로 지체 없이 파기하고 파기 관련 사항을 기록ㆍ관리하도록 했다.

파기계획의 수립ㆍ시행ㆍ결과 확인 등은 개인정보보호책임자의 책임하에 수행해야 한다.

개인정보문서의 파기를 외부업체에 위탁하는 경우에는 필수기재사항이 포함된 문서에 따라야 하며, 수탁자가 개인정보를 안전하게 처리하는지 현장 확인하거나 파기결과를 점검하는 등 수탁자를 감독해야 한다.