개인정보 파기 방법 | 복구 또는 재생되지 않도록 파기하기 | 개인정보 파기 방법 예시

 

복구 또는 재생되지 않도록 파기

 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기해야 합니다(「개인정보 보호법」 제21조제1항 본문).

 이를 위반하여 개인정보를 파기하지 않은 자는 3천만원 이하의 과태료를 부과받습니다(규제「개인정보 보호법」 제75조제2항제4호).

╶ 전자기적으로 기록된 개인정보는 사회 통념상 현재의 기술 수준에서 적절한 비용이 소요되는 '복원이 불가능한 방법'을 적용함(표준지침 제10조 제2항)

표준 개인정보 보호지침  [시행 2011. 9. 30.] [행정안전부고시 제2011-45호, 2011. 9. 30., 제정]

제11조(개인정보의 파기방법 및 절차) ① 개인정보처리자는 개인정보의 보유기간이 경과된 경우에는 정당한 사유가 없는 한 보유기간의 종료일로부터 5일 이내에, 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 개인정보의 처리가 불필요한 것으로 인정되는 날로부터 5일 이내에 그 개인정보를 파기하여야 한다.  ② 시행령 제16조제2호의 '복원이 불가능한 방법'이란 사회통념상 현재의 기술수준에서 적절한 비용이 소요되는 방법을 말한다.  ③ 개인정보처리자는 개인정보의 파기에 관한 사항을 기록·관리하여야 한다.  ④ 개인정보파기의 시행 및 확인은 개인정보 보호책임자의 책임하에 수행된다.  ⑤ 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하여야 한다.  ⑥ 개인정보처리자 중 공공기관의 개인정보파일 파기에 관하여는 제62조 및 제63조를 적용한다.

╶ 전자기적으로 기록된 개인정보는 전용 소자장비로 삭제 또는 덮어쓰기 등 복원이 불가능한 기술적 방법으로 삭제하거나 매체를 파괴하여 복구할 수 없도록 함(시행령 제16조 제1항 제1호, 안전성 확보조치 기준 제13조 제1항)

╶ 기록물, 인쇄물, 서면 등 기록매체는 물리적으로 파쇄하거나 소각함(시행령 제16조 제1항 제2호, 안전성 확보조치 기준 제13조 제1항)

 개인정보처리자가 개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치해야 합니다(「개인정보 보호법」 제21조제2항).

 개인정보처리자는 개인정보를 파기할 때에는 다음의 구분에 따른 방법으로 해야 합니다(「개인정보 보호법」 제21조제4항 및 「개인정보 보호법 시행령」 제16조제1항).

 -전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제
 - 전자적 파일 이 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각

 개인정보 파기 방법 예시

․ 완전파괴(소각·파쇄 등)
(예시) 개인정보가 저장된 회원가입신청서 등의 종이문서, 하드디스크나 자기테이프를 파쇄기로 파기하거나 용해, 또는 소각장, 소각로에서 태워서 파기 등

․ 전용 소자장비 이용 삭제
(예시) 디가우저(Degausser)를 이용해 하드디스크나 자기테이프에 저장된 개인정보 삭제 등․ 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행

(예시) 완전 삭제 전용 소프트웨어를 사용하여 개인정보가 저장된 하드디스크에 대해 완전 포맷 (3회 이상 권고), 데이터 영역에 무작위 값(0, 1 등)으로 덮어쓰기(3회 이상 권고), 해당 드라이브를 안전한 알고리즘 및 키 길이로 암호화 저장 후 삭제하고 암호화에 사용된 키 완전 폐기 및 무작위 값 덮어쓰기 등

╶ 보유기간이 경과한 일부 개인정보가 전자적 파일인 경우 파기대상 개인정보 삭제 후 해당 정보가 복구 및 재생되지 않도록 관리감독하고, 기록물 등은 해당 부분을 마스킹, 천공 등으로 삭제

(안전성 확보조치 기준 제13조 제2항)

 개인정보 일부 파기 사례

․ 개인정보가 포함된 여러 파일 중, 특정 파일을 파기하는 경우
․ 개인정보가 저장된 백업용 디스크나 테이프에서 보유기간이 만료된 특정 파일이나 특정 정보주체의 개인정보만 파기하는 경우
․ 운영 중인 데이터베이스에서 탈퇴한 특정 회원의 개인정보를 파기하는 경우
․ 회원가입신청서 종이문서에 기록된 정보 중, 특정 필드의 정보를 파기하는 경우 등

파기절차(제4항)
 개인정보처리자는 개인정보 파기 사항을 기록 관리하고 개인정보 보호책임자 책임하에 파기하고 그 결과를 확인함(표준지침 제10조 제4항)

개인정보의 분리 저장·관리

 개인정보가 불필요하게 된 경우라도 다른 법령에 따라 개인정보를 파기하지 않고 보존해야 하는 경우에 개인정보처리자는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장·관리해야 합니다(「개인정보 보호법」 제21조제1항 단서·제3항).

 이를 위반하여 개인정보를 분리하여 저장·관리하지 않은 자는 1천만원 이하의 과태료를 부과받습니다(규제「개인정보 보호법」 제75조제4항제1호).