현행법상 금융회사에 제공한 개인신용정보는 상거래관계 종료를 기점으로 5년 내 파기하는 것이 원칙이다. 그러나 ▲다른 법률상 의무이행을 위해 불가피한 경우 ▲개인의 급박한 생명·신체·재산 이익을 위해 필요한 경우 ▲예금·보험금 지급, 보험사기자 재가입 방지를 위한 경우 등에 한해 예외적으로 5년이 지난 정보도 보유할 수 있도록 하고 있다.
문제는 일부 회사들이 이 예외규정에 대해 오인하거나 자의적으로 해석해 예외사항이 아닌데도 장기간 개인정보를 보유하거나 아예 파기하지 않고 있다는 점이다.
실제 올해초 금융감독원이 일부 금융업계를 대상으로 거래관계가 종료된 개인신용정보 보유에 대한 실태점검을 진행한 결과 예외로 인정되지 않는 기준임에도 자의적으로 판단해 정보를 보관해온 경우가 있는 것으로 파악됐다.
또한 비슷한 시기 카드업계에서 금융감독원을 통해 5년 이상 보유하고 있는 고객정보의 예외기준을 어디까지 인정해줄지에 대해 금융위원회의 유권해석을 신청하기도 했다.
신용정보법에 이어 2013년 개인정보보호법이 시행되면서 개인정보의 보관과 파기에 대해 엄격히 관리하고 있지만 보관범위나 보유기간에 대해 오인하는 등 일부 관리에 구멍이 발생하고 있어 당국이 전체 금융업권을 대상으로 점검에 나서기로 했다.
금감원은 각 금융업권별로 5년 이상 보유하고 있는 개인신용정보의 삭제 및 분리보관 등 보유현황을 취합해 보고토록 하고, 올해 3분기까지 5년 이상 보유하는 개인신용정보에 대해 금융사들이 구체적인 법적 근거를 마련하라고 지시했다.
금감원 관계자는 "거래가 종료된 개인정보에 대해 일정기간이 지나면 파기해야하는 기준이 있지만 금융사들이 이에 대해 오인하거나 헷갈려 하는 경우들이 아직까지도 더러 있는 것으로 파악된다"며 "5년 이상 경과된 정보의 삭제 이행을 어떻게 진행하고 있는지 금융권 전체 현황을 파악중에 있다"고 밝혔다.
그는 이어 "예외사항으로 5년 이후에도 보유할 수 있는 공통지침이 있지만 금융권역별, 회사별로 적용 사유가 다를 수 있어 각 업권, 회사별로 정보보유에 대한 객관적이고 타당한 근거를 마련토록 했다"고 덧붙였다.
금감원은 관련 내용 취합 후 연말에 전 금융권을 대상으로 실태점검에 나설 방침이다.
이에 금융권의 움직임도 빨라졌다.
은행권의 경우 은행연합회에 관련 TF를 조직하고 업계 의견을 모아 지난달말 당국에 현황과 건의사항을 전달했다.
은행권은 소송, 분쟁이 진행중이거나 이와 관련된 신용정보는 장기간의 시간이 소요될 수 있어 거래 종료 5년이 지난 경우라도 보유할 수 있도록 해야한다는 입장이다. 또 찾아간 예금정보 등 수신원장에 대해서도 최소한의 정보를 10년 혹은 영구적으로 보유해야 한다는 주장이다.
은행 관계자는 "각 업권에서 보유해야 한다고 주장하는 근거와 감독당국이 생각하는 기준이 다를 수 있다"며 "업계 공통으로 보유가 필요한 사안을 모았지만 당국이 해당사유를 인정하지 않을 경우 해당 정보는 파기할 것"이라고 전했다.
카드, 캐피탈 등이 소속된 여신업계는 대부분 거래종료후 5년 이상된 정보를 파기하는 쪽으로 가닥을 잡았다.
보험권은 보유기간이 지난 정보의 삭제 현황 등을 협회차원에서 집계해 당국에 보고하고 보유 근거에 대해서는 각 사별로 마련하기로 했다. 보험금지급, 보험사기, 민원·분쟁 등 사안이 다양한데다, 회사마다 기준을 다르게 볼 수 있기 때문이다.
보험업계 관계자는 "분리보관과 삭제해야할 고객정보의 판단 기준에 대해 손해사정부서, 계약관리부서 등에서 의견을 수렴중"이라며 "어떤 계약정보를 보관해야할지, 삭제해도 추후 문제가 없을지에 대해 고민하고 있다"고 말했다.
한편 일각에서는 당국이 법적인 근거를 개별 회사에 마련하도록 했다는데 대한 불만의 목소리도 나온다.
금융권 한 관계자는 "회사별로 기준을 아주 촘촘히 가져가거나 반대로 유연하게 가져가는 곳이 있을 수 있고 다양한 사안들을 모두 열거하는데도 한계가 있다"며 "당국이 문서가 아닌 구두지침으로 각사에 기준을 마려토록 했기 때문에 차후 문제가 발생하면 당국 지침에 따랐음에도 책임을 모두 금융사가 떠안을 수 있어 우려된다"고 말했다.
