금융투자회사의 개인(신용)정보 파기 가이드라인
제1장 개요
 1. 목적   조항 인쇄(새창열림)
이 가이드라인은 금융투자회사가 수집·이용 중인 개인(신용)정보가 보유기간 경과 또는 목적달성 등으로 불필요하게 되었을 때 이를 적절히 파기토록 하고, 계속적인 보관이 필요한 경우에는 안전한 보관방법 및 이용절차에 대한 구체적 기준을 마련함을 목적으로 합니다.
 2. 적용 범위   조항 인쇄(새창열림)
▪ 금융투자회사가 처리하는 모든 개인(신용)정보
 3. 근거   조항 인쇄(새창열림)
▪ 금융분야 개인정보 유출 재발방지 종합대책('14.03.10.)
제2장 개인(신용)정보의 파기
 1. 파기 기준   조항 인쇄(새창열림)
1. 1 금융투자회사가 수집한 개인(신용)정보는 원칙적으로 거래종료 후 즉시(3개월 이내) 파기하여야 합니다. 다만, 다음과 같은 경우에는 그러하지 아니합니다.
▪ 마케팅 등 영업목적을 위한 정보는 보유기간 경과 후 즉시(5일 이내) 파기
▪ 법령상 의무이행 등을 위해 보관이 불가피한 경우에는 현재 거래중인 고객의 정보와 분리하여 보관
▪ 법령에서 파기(또는 삭제) 시점을 명확하게 명시한 경우에는 해당 시점에 즉시 파기(또는 삭제)하여야 함
* 파기(또는 삭제) 시점을 명확하게 명시한 법령 예시
- (신용정보법 제18조) 신용정보주체에게 불이익을 줄 수 있는 신용정보는 그 불이익을 초래하게 된 사유가 해소된 날부터 최장 5년 이내에 등록ㆍ관리 대상에서 삭제하여야 함
- (신용정보법 제21조) 신용정보회사 또는 신용정보집중기관의 폐업 시 금융감독원 직원 입회하에 신용정보 수록 파일 등 소거ㆍ폐기
1. 2 거래종료는 고객이 보유하고 있는 모든 계좌의 적극적 폐쇄 및 모든 상품의 계약 해지가 이루어지는 시점을 기준으로 합니다.
1. 3 고객이 자신의 개인(신용)정보의 파기(또는 삭제)를 요청하는 경우에는 지체 없이(10일 이내) 제3호 2단계 보안조치를 따르도록 하여야 합니다.
 2. 1단계 보안조치   조항 인쇄(새창열림)
2. 1 거래가 종료된 고객의 개인(신용)정보가 다음의 경우와 같이 불필요한 정보에 해당하는 경우 거래종료일로부터 3개월 이내 파기하여야 합니다.
▪ 학력, 직위, 결혼기념일 등 부가적인 신상정보가 금융거래 및 관련 서비스 제공과 직접적인 연관성이 없는 경우
▪ 금융거래 및 관련 서비스 제공과 무관한 부가서비스를 위한 정보
2. 2 거래종료일로부터 3개월이 경과한 개인(신용)정보는 영업조직의 접근 및 조회를 제한하는 등 영업목적으로 이용되지 않도록 현재 거래중인 고객의 정보와 접근을 분리하는 등 보안통제를 강화하여 보관하여야 합니다.<별첨 1>
 3. 2단계 보안조치   조항 인쇄(새창열림)
3. 1 거래종료일로부터 5년이 경과한 개인(신용)정보는 원칙적으로 전산원장에서 모두 삭제하여야 합니다. 다만, 제3.2호에 따른 보관이 불가피한 경우에는 그러하지 아니합니다.
3. 2 거래종료일부터 5년이 경과하였음에도 법렵상 의무이행 등을 위해 보관이 불가피한 경우에는 현재 거래중인 고객의 정보와 별도로 분리하여 엄격히 관리하여야 합니다.<별첨 1>
* 보관이 불가피한 경우 예시
- (자본시장법 시행령 제62조) 주문기록 등 거래 관련 자료(10년), 투자자재산의 운용 관련 자료(10년), 투자자와 체결한 계약 관련 자료(10년), 투자권유 관련 자료(10년) 등
- 금융사고조사, 분쟁해결, 민원처리를 위한 채권ㆍ채무의 존재 확인 및 금융거래의 진실성 확보 등
 4. 유의사항   조항 인쇄(새창열림)
4. 1 개인(신용)정보 중 금융거래정보는 법령에서 파기시점을 명확하게 명시한 경우 이외에는 무분별하게 파기되는 사례가 없도록 유의하여야 합니다.
▪ 장기간 보관하는 경우 제2호 1단계 보안조치 및 제3호 2단계 보안조치에 따라 현재 거래중인 고객의 정보와 분리하여 엄격하게 보관ㆍ관리하여야 함
제3장 제3자 제공정보의 파기
 1. 제3자 제공정보에 대한 통제   조항 인쇄(새창열림)
1. 1 제3자*에게 정보를 제공할 때에는 ‘필요최소한' 기간을 설정하고, 기간 경과 시 제3자가 파기하도록 의무화 하여야 합니다.
* 개인(신용)정보 처리의 위탁, 또는 제3자의 이익을 위하여 개인(신용)정보가 이전된 회사를 모두 포함
▪ 금융투자회사는 제3자와 개인(신용)정보를 제공하는 계약 체결 시, 구체적 기간과 파기 계획*을 명시하고, 불이행 시 제재(손해배상, 재계약 금지 등) 방안을 마련하여야 함
* (예시) 파기대상 정보의 선정, 파기절차, 파기내역의 기록ㆍ보관, 파기결과에 대해 CPO(개인정보 보호책임자)에게 보고 등
1. 2 금융투자회사는 제3자의 이용기간이 경과한 경우 정보를 파기하고 이를 확인해 줄 것을 요청하여야 합니다.
▪ 제3자의 CEO(또는 개인정보 보호책임자)로부터 파기 확인서를 요청하고, 제3자가 특별한 사유 없이 파기확인서 제출에 응하지 않는 경우에는 불이행 시 제재 방안에 따라 조치함
▪ 다만, 법령상 의무 준수, 공공기관의 소관업무 수행, 금융거래 등을 위하여 처리가 불가피한 경우에는 그러하지 아니함
1. 3 금융투자회사는 제3자 제공정보 관리실태를 CEO 등(개인정보 보호책임자 또는 신용정보관리ㆍ보호인)에 주기적으로 보고하여 철저히 관리하여야 합니다.
[별표/서식 파일]
1. 0000_별첨1.hwp