농협중앙회, '고객 개인정보 관리 소홀' 2000만건 적발…과태료 3000만원

권오철 기자 2024-06-10 15:27:04

농협중앙회가 거래 종료된 고객의 개인신용정보 약 2000만건을 삭제하지 않고, 거래를 지속 중인 고객의 개인신용정보와 함께 보관하다 금융당국에 적발됐다.

10일 금융감독원에 따르면 농협중앙회는 2018년 11월24일부터 2023년 4월28일 기간 중 상거래관계가 종료된 날부터 5년이 경과하거나, 상법에 따른 의무를 이행하기 위해 필요한 보존기간 10년이 경과한 개인신용정보 1955만6276건을 삭제하지 않은 것으로 드러났다.

신용정보법에 따르면 신용정보제공·이용자는 개인신용정보를 해당 신용정보주체와의 금융거래 등 상거래관계가 종료된 날부터 5년 이내에 삭제해야 하고, 상법에 따른 의무를 이행하기 위하여 불가피한 경우에도 10년간 보존한 후 삭제해야 한다.

또 상거래관계가 종료된 고객의 개인신용정보를 분리보관해야 하는 의무를 이행하지 않은 것으로 나타났다.

농협중앙회는 같은 기간 중 상거래관계의 설정 및 유지 등에 필수적인 개인신용정보 1964만6188건을 상거래관계가 종료되지 않은 다른 고객의 정보와 별도로 분리해 보관하는 방법 등으로 관리하지 않았다.

신용정보법은 금융거래 등 상거래관계의 설정 및 유지 등에 필수적인 개인신용정보의 경우 상거래관계가 종료되지 않은 다른 신용정보주체의 정보와 별도로 분리하는 방법 등으로 관리하도록 정하고 있다.

이 외에도 농협중앙회는 개인신용정보의 익명처리하고 해당 조치기록을 일정기간 보존해야 하는 의무를 이행하지 않은 것으로 드러났다.

농협중앙회는 2022년 4월21일부터 2023년 3월28일 기간 중 고객번호가 포함된 조합 고객의 신용사업·경제사업 이용실적을 조합별·고객별로 통합 후 고객번호를 삭제하고 집계하는 방식으로 익명처리하고 활용하면서, 해당 개인신용정보에 대한 익명처리 조치기록을 작성 및 보존하지 않았다.

신용정보법에 따르면 개인신용정보를 익명처리한 경우 익명처리한 날짜, 정보의 항목, 사유와 근거 등의 조치기록을 3년간 보존해야 한다.

이에 금감원은 농협중앙회에 과태료 3000만원과 관련 임직원들에 대한 주의 등의 제재를 조치했다.