개인정보 보호의 완성은 안전한 수집만큼이나 철저한 ‘파기’에 있습니다.
특히 2026년 현재, 개인정보 보호법은 처리 목적이 달성된 정보를 ‘지체 없이’ 파기할 것을 엄격히 규정하고 있습니다.
본 포스팅에서는 법적 기준에 부합하는 파기 전략과 캐치시큐를 활용한 효율적인 관리 방안을 살펴봅니다.
1. 개인정보 파기 주기: ‘지체 없이’의 기준과 예외
개인정보는 원칙적으로 보유 기간이 경과하거나 처리 목적 달성 등 불필요하게 된 날로부터 지체 없이(정당한 사유가 없는 한 5일 이내) 파기해야 합니다.
- 개인정보 파기 시점
- 목적 달성 및 기간 경과: 동의받은 보유 기간이 종료되거나 서비스 제공이 완료된 경우
- 계약 종료: 라이선스 계약 기간 만료 또는 해지 시
- 사업 종료: 해당 서비스의 폐지, 사업 종료, 폐업 등으로 개인정보 처리가 불필요해진 경우
- 가명정보: 가명정보의 처리 목적을 달성했거나 별도로 정한 처리 기간이 경과한 경우
- 정보주체의 요구: 회원 탈퇴나 동의 철회 요청이 있는 경우
- 법령에 따른 예외 보관: 타 법령(상법, 전자상거래법 등)에 따라 보존 의무가 있는 데이터는 반드시 일반 개인정보와 분리하여 별도로 저장·관리해야 합니다.
- 1. 전자상거래 관련 기록
- 전자상거래 등에서의 소비자보호에 관한 법률」 및 시행령에 따라 온라인 거래 기록을 보존해야 합니다.
- 계약 또는 청약철회 등에 관한 기록 (5년): 소비자의 주문, 계약 체결 및 해지 이력 등 (제6조)
- 대금결제 및 재화 등의 공급에 관한 기록 (5년): 결제 수단별 결제 내역, 영수증, 배송 정보 등 (제6조)
- 소비자의 불만 또는 분쟁처리에 관한 기록 (3년): 고객 클레임, 상담 내역, 분쟁 조정 자료 등 (제6조)
- 표시·광고에 관한 기록 (6개월): 온라인상에 게시했던 상품 광고 및 홍보물 이력 (제6조)
- 2. 세무 및 회계 관련 기록
- 상업장부 및 영업에 관한 중요 서류 (10년): 전표, 회계 장부, 대차대조표 등 주요 재무 서류 (상법 제33조)
- 세금계산서 및 거래 증빙 서류 (5년): 부가가치세법에 따른 세금계산서, 계산서, 신용카드 전표 등 (국세기본법 제85조의3)
- 계약서 및 부속 서류 (5년): 권리·의무 관계를 증명하는 라이선스 계약서, 견적서, 특약 조건 등 (상법 제33조)
- 참고: 국세 부과 제척기간이 10년(부정행위 시)인 점을 고려하여 중요 계약은 10년 보존을 권장합니다.
- 3. 접속 기록 및 통신 사실 확인 자료
- 서비스 접속 및 이용 로그 (3개월): 이용자의 로그온/로그아웃 시각, IP 주소, 기기 식별 번호 등 (통신비밀보호법 시행령 제41조)
- 개인정보 처리 이력 (1년 이상): 개인정보의 수집, 이용, 제공, 파기 등 처리 로그 (개인정보 보호법 시행령 제31조)
- 보유량 5만 명 이상 또는 고유식별정보 처리 시 2년 이상 보존 권장.
- 4. 인사 및 노무 관련 기록
- 근로계약서 및 주요 인사 서류 (퇴직일로부터 3년): 근로계약서, 임금 결정 서류, 고용/해고 관련 서류 등 (근로기준법 제42조)
- 임금대장 및 연장·야간·휴일근로 기록 (3년): 급여 명세 및 근로 시간 증빙 자료 (근로기준법 제42조)
- 연말정산 관련 서류 (5년): 원천징수영수증, 공제 증빙 서류 등 (소득세법 시행령 제198조, 제208조의2)
- 4대 보험 관련 서류 (3~5년): 국민연금(5년), 건강·고용·산재보험(3년) 가입 및 탈퇴 관련 서류
- 채용 서류 (채용 확정 후 180일): 채용 여부가 확정된 후 구직자가 반환을 청구할 수 있는 기간 (채용절차법 제11조)
주의: 수집 목적 달성 시(채용 종료 시) 즉시 파기가 원칙이나, 구직자 반환 청구 대비를 위해 보관함.
- 5. 기타 특례 및 장기 보존 기록
- 특정 업종이나 특수한 법적 상황에 따라 적용되는 보관 기간입니다.
- 국세 부과 제척기간 (5년/7년/10년): 일반 5년, 무신고 7년, 부정행위 10년 (국세기본법 제26조의2)
- 국세징수권 소멸시효 (5년/10년): 5억 원 미만 5년, 5억 원 이상 10년 (국세기본법 제27조)
- 의료법상 진료기록부 (10년): 환자의 명부 및 주요 진료 기록 (의료법 시행규칙 제15조)
- 공공기록물 관리: 공공기관의 경우 사안에 따라 영구, 30년, 10년 등 별도 기준 적용 (공공기록물법)
- 1. 전자상거래 관련 기록
Tip: 참고 사항 (유효기간제 폐지)
과거에는 1년간 서비스를 이용하지 않는 이용자의 정보를 파기하거나 분리 보관해야 했으나(유효기간제), 현재는 해당 특례 규정이 삭제되어 일반적인 파기 원칙(목적 달성 시 파기 등)을 따릅니다
2. 안전한 파기 방법: 복구 불가능한 조치
개인정보를 파기할 때는 복구 또는 재생되지 않도록 조치하는 것이 핵심입니다
2-1 DB, PC내 엑셀 파일, 하드디스크 등 전자적 파일
- 완전 파기: 복원이 불가능한 방법으로 영구 삭제합니다.
- 데이터가 복원되지 않도록 초기화 또는 덮어쓰기(Overwrite) 수행.
- 전용 소자 장비(디가우저)를 이용하여 삭제.
- 저장 매체 자체를 물리적으로 파쇄하거나 소각.
- 일부만 파기하는 경우: 파일 내 특정 정보만 삭제해야 할 때는 삭제 후 복구·재생되지 않도록 관리 및 감독해야 합니다.
- 기술적 파기가 곤란한 경우: 블록체인 등 기술적 특성으로 영구 삭제가 현저히 곤란한 경우, 익명정보로 처리하여 복원이 불가능하도록 조치해야 합니다.
2-2 인쇄물, 서면, 그 밖의 기록매체
- 파쇄: 파쇄기를 이용하여 알아볼 수 없게 분쇄합니다.
- 소각: 소각장 등에서 태워서 없앱니다.
- 일부 파기: 해당 개인정보 부분을 마스킹(펜으로 덧칠)하거나 구멍을 뚫어(천공) 삭제합니다.
2-3. 웹사이트 노출 정보
- 홈페이지 등에 노출된 정보는 즉시 삭제하고, 검색엔진(구글, 네이버, 다음 등)에 저장된 캐시(임시 저장된 페이지) 데이터도 삭제를 요청해야 합니다
2-4. 파기 및 보관 관리의 원칙
- 분리 보관 의무: 위에 언급한 타 법령에 따라 보존해야 하는 경우, 해당 개인정보는 목적 달성 후 즉시 파기하는 대신 다른 개인정보와 엄격히 분리하여 별도로 저장·관리해야 합니다.
3. 파기 절차 및 관리
개인정보 보호책임자는 파기 사유가 발생한 개인정보를 선정하고 파기 계획을 수립해야 합니다
- 개인정보를 파기한 후에는 파기 사실(파기 일시, 방법, 대상 등)을 기록·관리해야 합니다.
- 가명정보의 경우 파기 기록을 3년 이상 보관해야 합니다
- 개인정보 파기 시에는 개인정보 보호책임자의 책임하에 수행하고 결과를 확인해야 합니다
- 수탁 업체에 파기를 맡길 경우 해당 업체가 확실히 파기했는지 관리·감독해야 합니다
- 입증 책임의 충족: 개인정보 파기 후 그 결과를 통보하고 , 파기 확인서를 제출하여 관리·감독 의무를 증빙할 수 있습니다.
4. 파기 프로세스 자동화
수동으로 관리하기 어려운 개인정보는 캐치시큐의 파기 자동화 기능을 통해 리스크를 최소화할 수 있습니다.
- 자동 삭제 시스템: 캐치시큐는 이용 목적이 달성된 개인정보를 자동으로 삭제하는 기능을 제공하여 휴먼 에러를 방지합니다.
- AI 기반 분류: AI 기술을 활용해 개인정보를 정확히 분류하고, 파기 대상 데이터를 사전에 식별합니다.
- 입증 책임의 충족: 개인정보 파기 후 그 결과를 통보하고 , 필요시 파기 확인서를 제출하여 관리·감독 의무를 증빙할 수 있습니다.
5. 관리·감독 및 인증을 통한 대응
Tip: ISMS-P, ISO/IEC 27701 등 공신력 있는 개인정보보호 인증을 보유한 수탁사를 선택할 경우,
해당 인증 유지 사실로 연도별 실태 점검 및 교육을 갈음할 수 있어 운영 효율성이 대폭 향상됩니다.
마치며
개인정보 파기는 단순히 삭제 버튼을 누르는 것이 아니라 법적 절차에 따른 기록과 증빙이 동반되어야 하는 과정입니다.
복잡한 규제 준수는 자동화 솔루션에 맡기고, 서비스의 성장에 더 집중하는 건 어떨까요?
혹시 지금 파기하기 어려운 개인정보가 고민이시라면, 지금 바로 우리 회사의 개인정보 관리 상태를 점검해 보세요.
👉 개인정보 침해사례로 알아보는 개인정보 보유이용 기간
