“개인정보 보관 미이행”…금감원, 농협중앙회에 과태료 3000만원

농협중앙회가 고객 개인신용정보 미삭제 등의 이유로 과태료 3000만원 제재를 받았다.

10일 금융감독원 중소금융검사2국 제재공시에 따르면 금감원은 농협중앙회에 과태료 3000만원과 임원 3명에 대해 주의 및 주의 상당의 제재 조치를 지난 7일 내렸다.

금감원에 따르면 농협중앙회는 거래가 종료된 고객의 개인신용정보를 삭제하지 않고, 분리보관해야 함에도 이를 하지 않았다. 신용정보법 제20조의2 제2항 등에 따르면 신용정보제공·이용자는 개인신용정보를 해당 신용정보주체와의 금융거래 등 상거래관계가 종료된 날부터 5년 이내 삭제해야 한다. 상법에 따른 의무를 이행하기 위해 불가피한 경우에는 10년 간 보존한 후 삭제해야 한다.

하지만 농협중앙회는 지난 2018년 11월 24일부터 2023년 4월 28일 기간 중 상거래가 종료된 날부터 5년이 경과하거나, 보존기간 10년이 경과한 1955만 6276건의 개인신용정보를 삭제하지 않았다.

신용정보법 제20조의2 제1항 등에 따르면 신용정보제공·이용자는 금융거래 등 상거래관계가 종료된 날부터 법령이 정하는 기한까지 해당 신용정보 주체의 개인신용정보가 안전하게 보호될 수 있도록 대통령령이 정하는 바에 따라 관리해야 한다.

그러나 농협중앙회는 2018년 11월24일부터 2023년 4월 28일 기간 중 상거래관계 설정 및 유지 등에 필수적인 개인신용정보 1964만 6188건을 상거래관계가 종료되지 않은 다른 고객 정보와 별도로 분리해 보관하는 방법 등으로 관리하지 않았다.

개인정보신용정보의 익명처리 조치기록 보존도 이행하지 않았다. 신용정보법 제40조의2 제8항에 따르면, 개인신용정보를 익명처리한 경우 익명 처리한 날짜, 정보의 항목, 사유와 근거 등의 조치기록을 3년 간 보존해야 한다.

그러나 농협중앙회는 2022년 4월21일부터 2023년 3월28일 기간 중 고객번호가 포함된 조합 고객의 신용사업·경제사업 이용실적을 조합별·고객별로 통합 후 고객번호를 삭제하고 집계하는 방식으로 익명처리했다. 해당 익명처리 정보를 분석한 자료를 빅데이터 분석 플랫폼에서 계열회사들에 조회토록 하면서 개인신용정보를 익명처리한 조치기록을 작성‧보존하지 않았다.