Hayden

이번 포스트에서는 개인정보, 개인신용정보, 금융거래정보, 전자상거래 기록 등의 보존 및 파기 의무에 대하여 관련 근거조항과 함께 살펴보려고 합니다. 각종 법령에서 정한 보존기간과 파기 의무를 정확히 이해하지 못하면 수천만 원의 과태료는 물론, 기업의 신뢰도까지 잃을 수 있습니다. 2025년 현재, 금융권에서의 개인정보 관리는 그 어느 때보다 엄격해졌다고 할 수 있습니다. 아래에 도움이 될만한 내용과 함께 관련 규정 및 법령을 작성하였으니 업무에 도움이 되셨으면 합니다.

 

1. 개인정보보호법상 파기 의무 [2023년 3월 14일 개정 기준]

1-1. 기본 파기 의무 (개인정보보호법 제21조)

개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 합니다.

파기 의무 위반 시 처벌

  • 개인정보를 파기하지 않은 자: 3천만원 이하의 과태료 (개인정보보호법 제75조제2항제4호)
  • 개인정보를 분리하여 저장·관리하지 않은 자: 1천만원 이하의 과태료 (개인정보보호법 제75조제4항제2호)

1-2. 파기 방법 (개인정보보호법 시행령 제16조)

전자적 파일 파기방법

  • 전용 소자장비(디가우저)를 이용한 완전 삭제
  • 덮어쓰기를 통한 복원 불가능한 삭제
  • 저장매체의 물리적 파괴 (하드디스크 파쇄 등)
  • 복구 및 재생이 되지 않도록 기술적 방법 사용 필수

종이문서 등 파기방법

  • 파쇄기를 이용한 물리적 파쇄
  • 소각을 통한 완전 소각
  • 용해 등의 방법으로 복원 불가능하게 처리

1-3. 불이행시 처벌

위반 내용 과태료 법적 근거
개인정보 파기 의무 위반 3천만원 이하 개인정보보호법 제75조제2항제4호
분리저장·관리 의무 위반 1천만원 이하 개인정보보호법 제75조제4항제2호
고유식별정보 처리 제한 위반 과징금(매출액 3% 이하) 개인정보보호법 제64조의2제1항제4호

추가 처벌

  • 과징금 부과 시 같은 행위에 대해 과태료 중복 부과 불가
  • 위반행위로 취득한 금품은 몰수 또는 추징 가능

 

2. 신용정보법상 개인신용정보 파기 의무

2-1. 상거래 종료 후 파기 기준 (신용정보법 제20조의2)

신용정보제공·이용자는 금융거래 등 상거래관계가 종료된 날부터 최장 5년 이내에 해당 신용정보주체의 개인신용정보를 관리대상에서 삭제하여야 합니다.

파기 예외사항

  1. 다른 법률에 따른 의무를 이행하기 위하여 불가피한 경우
  2. 개인의 급박한 생명·신체·재산의 이익을 위하여 필요한 경우
  3. 휴면예금의 지급을 위하여 필요한 경우, 대출사기·보험사기 방지를 위한 경우 등

2-2. 파기 방법 및 절차

파기 방법 (신용정보법 시행령 제17조의2제6항)

  • 삭제된 개인신용정보가 복구 또는 재생되지 아니하도록 조치
  • 전자적 파일: 복원 불가능한 기술적 방법으로 완전 삭제
  • 물리적 문서: 파쇄 또는 소각으로 복원 불가능하게 처리

분리보관 방법

  • 상거래관계가 종료되지 아니한 다른 신용정보주체의 정보와 별도 분리
  • 접근권한 관리책임자 지정 및 사전 승인 절차 구축
  • 안전한 보호 방법으로 금융위원회 고시에 따른 관리

2-3. 거래거절 고객 정보 처리

구분 보존기간 보존내용 법적근거
거래거절 고객 개인신용정보 즉시 파기 보관 불가 금융분야 개인정보보호 가이드라인
업무처리기록 3년 수집·이용한 자, 날짜, 내용, 사유 신용정보법 시행령 제16조의2제1호

2-4. 불이행시 처벌

위반 내용 과태료 법적 근거
개인신용정보 수집 시 동의 미획득 5천만원 이하 신용정보법 제52조제2항제2호
개인신용정보 목적외 이용·제공 5천만원 이하 신용정보법 제52조제2항제1호
개인신용정보 안전성 확보조치 미이행 3천만원 이하 신용정보법 제52조제3항제1호

 

3. 상법상 상업장부 등 보존의무 [2025년 1월 31일 시행]

3-1. 상법 제33조 보존기간

상인은 10년간 상업장부와 영업에 관한 중요서류를 보존하여야 합니다. 다만, 전표 또는 이와 유사한 서류는 5년간 이를 보존하여야 합니다.

보존대상별 구분

  • 10년 보존: 상업장부 및 영업에 관한 중요서류
  • 5년 보존: 전표 또는 이와 유사한 서류(영수증 등)

3-3. 보존방법 및 파기

보존 방법 (상법 제33조제3항, 제4항)

  • 마이크로필름 또는 전산정보처리조직에 의한 보존 가능
  • 대통령령으로 정하는 보존방법 및 절차 준수
  • 원본과 동일한 효력을 갖는 방법으로 보존

파기 시점 및 방법

구분 보존기간 기산점 파기방법
상업장부 10년 폐쇄한 날부터 물리적 파쇄 또는 소각
영업 중요서류 10년 작성일부터 복원 불가능하게 처리
전표·영수증 등 5년 작성일부터 파쇄기 이용 파쇄

3-4. 불이행시 처벌

상법상 직접적인 과태료 규정은 없으나, 다음의 간접적 불이익이 발생:

  • 세무조사 시 증빙자료 미제출로 인한 추계과세
  • 법정 분쟁 시 증거자료 부족으로 인한 불리한 판정
  • 금융감독 시 내부통제 미흡으로 인한 제재 조치

 

4. 국세기본법상 장부 보존의무 [2024년 12월 27일 시행]

4-2. 보존방법 및 파기 (국세기본법 시행령 제65조의7)

전자적 보존 기준

  • 자료 저장·수정·추가·삭제 절차 및 방법에 관한 기록 보관
  • 저장된 자료의 내용을 쉽게 확인하고 문서화할 수 있는 장치 구비
  • 과세표준과 세액 결정을 위한 검색·이용 가능한 형태로 보존

파기 제외 대상 (원본 보존 필요)

  • 상법 시행령 등 다른 법령에 따라 원본을 보존해야 하는 문서
  • 등기·등록·명의개서 관련 기명날인 또는 서명한 계약서
  • 소송 관련 제출·접수 서류 및 판결문 사본
  • 인가·허가 관련 제출·접수 서류 및 인·허가증

4-3. 불이행시 처벌

위반 내용 처벌 가산세율
장부 미작성·미보존 무기장가산세 수입금액의 0.07%
증빙서류 미보존 지출증빙불비가산세 해당 금액의 2%
전자적 보존기준 미준수 과태료 또는 통고처분 세무조사 시 불이익

 

5. 전자금융거래법상 거래기록 보존 [2024년 12월 27일 시행]

5-1. 전자금융거래기록의 종류별 보존기간 (전자금융거래법 시행령 제12조)

전자금융거래기록의 종류별 보존기간은 다음과 같습니다:

5년 보존 대상

  • 전자금융거래와 관련한 전자적 장치의 접속기록
  • 전자금융거래의 신청 및 조건의 변경에 관한 사항
  • 건당 거래금액이 1만원을 초과하는 전자금융거래에 관한 기록

1년 보존 대상

  • 건당 거래금액이 1만원 이하인 전자금융거래에 관한 기록
  • 전자지급수단의 이용과 관련된 거래승인에 관한 기록
  • 그 밖에 금융위원회가 정하여 고시하는 전자금융거래기록

5-2. 파기 방법 및 절차

파기 방법 (전자금융거래법 시행령 제12조)

  • 전자적 장치에 기록된 정보의 복구 및 재생 방지
  • 접속기록, 거래기록의 안전한 삭제
  • 보존기간 만료 시 자동 파기 시스템 구축 권장

파기 절차

  1. 보존기간 경과 확인
  2. 파기 대상 전자금융거래기록 선별
  3. 복구 불가능한 방법으로 파기 실행
  4. 파기 완료 기록 및 관리

5-3. 불이행시 처벌

위반 내용 과태료 법적 근거
전자금융거래기록 미보존 1천만원 이하 전자금융거래법 제51조제3항제3호
전자금융거래기록 열람 거부 500만원 이하 전자금융거래법 제51조제4항제1호
안전성 확보의무 위반 5천만원 이하 전자금융거래법 제51조제1항제1호

 

6. 전자상거래법상 거래기록 보존 [2025년 2월 14일 시행]

6-1. 전자상거래법 제6조 및 시행령 제6조

사업자는 전자상거래 및 통신판매에서의 표시·광고, 계약내용 및 그 이행 등 거래에 관한 기록을 상당한 기간 보존하여야 합니다.

보존 대상별 기간 (시행령 제6조)

보존 대상 보존기간 비고
표시·광고에 관한 기록 6개월 공정거래위원회 규정
계약 또는 청약철회에 관한 기록 5년 소비자보호
대금결제 및 재화등의 공급에 관한 기록 5년 거래증빙
소비자불만 또는 분쟁처리에 관한 기록 3년 분쟁해결

6-2. 파기 방법 및 열람 제공

파기 방법

  • 전자문서 형태: 복원 불가능한 기술적 삭제
  • 물리적 문서: 파쇄 또는 소각
  • 보존기간 만료 후 지체없이 파기

소비자 열람 제공 방법

  • 해당 사이버몰에서 거래기록 열람·확인 가능
  • 전자문서 형태로 정보처리시스템에 저장 가능
  • 방문, 전화, 팩스, 전자우편을 통한 열람·복사 제공

 

7. 2025년 주요 개정 사항

7-1. 개인정보 전송요구권 도입

정보주체가 자신의 개인정보를 자유롭게 이동할 수 있도록 ‘개인정보 전송요구권’이 도입됩니다. 보건의료, 통신, 에너지 관련 기관이 우선 적용 대상입니다.

7-2. 자동화된 결정에 대한 거부권

완전히 자동화된 개인정보 처리에 대해 정보주체가 거부하거나 설명을 요구할 수 있는 권리가 신설되었습니다.

8. 분리보관 및 접근권한 관리

8-1. 분리보관 의무

상거래관계가 종료된 고객의 개인신용정보에 접근할 때에는 매번 “접근권한 관리책임자”의 승인을 사전에 받아야 합니다.

8-2. 관리 방법

상거래가 종료되지 아니한 다른 신용정보주체의 정보와 별도로 분리하는 방법으로 관리해야 합니다.

 

9. 업무 담당자를 위한 체크리스트

9-1. 법령별 보존기간 비교 테이블

법령 대상 정보 보존기간 기산점 최대 과태료 파기 방법
개인정보보호법 개인정보 전반 목적 달성 시 즉시 목적 달성일 3천만원 복원불가 기술적삭제/파쇄
신용정보법 개인신용정보 상거래 종료 후 5년 상거래 종료일 5천만원 복구불가 조치
상법 상업장부 10년 폐쇄일 물리적 파쇄/소각
상법 전표·영수증 5년 작성일 파쇄기 이용
국세기본법 세무서류 5년 신고기한 경과일 가산세 원본보존 예외있음
전자금융거래법 전자금융기록(1만원초과) 5년 거래일 5천만원 전자적 안전삭제
전자금융거래법 전자금융기록(1만원이하) 1년 거래일 1천만원 전자적 안전삭제
전자상거래법 계약·대금결제기록 5년 계약일 500만원 복원불가 삭제
전자상거래법 분쟁처리기록 3년 처리일 500만원 복원불가 삭제

9-2. 과태료 규모별 위험도 매트릭스

과태료 규모 해당 법령 주요 위반 내용 위험도
5천만원 이하 신용정보법, 전자금융거래법 개인신용정보 동의 미획득, 안전성 확보 미이행 ⚠️⚠️⚠️ 매우 높음
3천만원 이하 개인정보보호법 개인정보 파기 의무 위반 ⚠️⚠️ 높음
1천만원 이하 개인정보보호법, 전자금융거래법 분리보관 의무 위반, 거래기록 미보존 ⚠️ 보통
500만원 이하 전자상거래법 거래기록 미보존, 열람방법 미제공 ⚠️ 보통

9-3. 실무진 월별 점검 체크리스트

매월 1일 점검사항

  • [ ] 처리목적 달성 개인정보 파기 현황 확인
  • [ ] 상거래 종료 후 5년 경과 신용정보 파기 대상 식별
  • [ ] 전자금융거래 기록 보존기간 만료 대상 확인
  • [ ] 개인정보 분리보관 상태 점검

분기별 정기 점검사항

  • [ ] 접근권한 관리책임자 승인 이력 점검
  • [ ] 파기 방법의 적정성 검토 (복원 가능성 점검)
  • [ ] 법령 개정사항 모니터링 및 내부 규정 업데이트
  • [ ] 과태료 부과 위험 요소 점검

연간 종합 점검사항

  • [ ] 전체 보유 개인정보 현황 전수 조사
  • [ ] 각 법령별 보존기간 준수 여부 감사
  • [ ] 파기 절차 및 방법의 효율성 개선
  • [ ] 직원 교육 및 인식 제고 프로그램 시행

 

10. 관련 법령 및 참고 사이트

10-1. 주요 법령 원문 링크 (국가법령정보센터)

법령명 직링크 주요 조문
개인정보보호법 🔗 https://www.law.go.kr/법령/개인정보보호법 제21조(파기), 제75조(과태료)
개인정보보호법 시행령 🔗 https://www.law.go.kr/법령/개인정보보호법시행령 제16조(파기방법)
신용정보법 🔗 https://www.law.go.kr/법령/신용정보의이용및보호에관한법률 제20조의2(파기), 제52조(과태료)
상법 🔗 https://www.law.go.kr/법령/상법 제33조(상업장부등의보존)
국세기본법 🔗 https://www.law.go.kr/법령/국세기본법 제85조의3(장부비치보존)
전자금융거래법 🔗 https://www.law.go.kr/법령/전자금융거래법 제22조(거래기록보존)
전자상거래법 🔗 https://www.law.go.kr/법령/전자상거래등에서의소비자보호에관한법률 제6조(거래기록보존)

10-2. 공식 기관 및 가이드라인

기관명 웹사이트 주요 업무 문의처
개인정보보호위원회 🔗 https://www.pipc.go.kr 개인정보보호 정책·감독 국번없이 182
개인정보 포털 🔗 https://www.privacy.go.kr 개인정보 신고·상담 privacy.go.kr
금융위원회 🔗 https://www.fsc.go.kr 금융정책·감독 02-2100-2114
금융감독원 🔗 https://www.fss.or.kr 금융검사·감독 1332
공정거래위원회 🔗 https://www.ftc.go.kr 전자상거래 소비자보호 국번없이 1372
국가법령정보센터 🔗 https://www.law.go.kr 법령정보 제공

10-3. 금융분야 전용 가이드라인 및 자료

자료명 발행기관 다운로드 링크 최신 개정일
금융분야 개인정보보호 가이드라인 금융위·금감원·개인정보위 🔗 FSC 자료실 2017.02
개인정보 처리방침 작성 지침 개인정보보호위원회 🔗 개인정보 포털 2025.04
개인정보 전송요구권 제도 안내서 개인정보보호위원회 🔗 PIPC 자료실 2025.04
신용정보업 감독규정 금융위원회 🔗 금융위 법령자료 최신

 

11. 실무진 자주 묻는 질문 (FAQ)

11-1. 보존기간 관련 FAQ

Q1. 여러 법령에서 서로 다른 보존기간을 정한 경우 어떻게 해야 하나요? A1. 가장 긴 보존기간을 적용하되, 개인정보보호법에 따라 분리보관해야 합니다.

  • 예: 상법(10년) + 개인정보보호법(목적달성 시 파기) → 10년 보존하되 개인정보는 분리보관

Q2. 상거래 종료일을 언제로 봐야 하나요? A2. 신용정보법 시행령 제17조의2제4항에 따라:

  • 계약기간 만료, 해지권·해제권·취소권 행사
  • 소멸시효 완성, 변제 등으로 인한 채권 소멸
  • 기타 약관 또는 합의에 따른 종료

Q3. 전자문서와 종이문서 파기 방법이 다른가요? A3. 네, 파기 방법이 다릅니다:

  • 전자문서: 복원 불가능한 기술적 삭제 (덮어쓰기, 디가우저 등)
  • 종이문서: 물리적 파쇄 또는 소각

11-2. 처벌 관련 FAQ

Q4. 과태료와 가산세가 중복으로 부과될 수 있나요? A4. 법령에 따라 다릅니다:

  • 개인정보보호법: 과징금 부과 시 과태료 중복 부과 불가
  • 국세기본법: 무기장가산세, 지출증빙불비가산세 별도 부과 가능

Q5. 개인정보 파기를 늦게 한 경우 처벌 수위는? A5. 위반 정도에 따라 차등 적용:

  • 경미한 위반: 경고 또는 시정명령
  • 반복 위반: 과태료 부과 (최대 3천만원)
  • 고의·중대한 위반: 과징금 추가 부과 가능

11-3. 분리보관 관련 FAQ

Q6. 분리보관은 구체적으로 어떻게 해야 하나요? A6. 신용정보법 시행령에 따라:

  • 물리적 분리: 별도 DB, 서버, 저장장치 이용
  • 논리적 분리: 접근권한 통제, 암호화 등
  • 접근권한 관리책임자의 사전 승인 필수

Q7. 개인정보가 포함된 회계장부는 어떻게 관리해야 하나요? A7. 이중 의무가 적용됩니다:

  • 상법: 회계장부 자체는 10년 보존
  • 개인정보보호법: 개인정보 부분은 분리보관 또는 마스킹 처리

 

 

12. 주의 및 면책사항

⚠️ 중요 안내

  1. 본 가이드는 2024-2025년 최신 법령을 기준으로 작성되었으나, 법령은 지속적으로 개정될 수 있습니다.
  2. 실무 적용 전 반드시 최신 법령을 직접 확인하시기 바랍니다.
  3. 복잡한 법적 사안은 전문가와 상담 후 결정하시기 바랍니다.
  4. 본 가이드는 참고용이며, 법적 책임은 이용자에게 있습니다.

댓글 남기기