감사팀 내부 감사 시 가족·지인 민감정보 제공 적법성

S요약

• 일반적으로 회사의 내부 감사 목적으로도 직원의 휴대전화나 계좌 등에서 제3자의 개인정보 및 신용정보를 별도 동의 없이 수집하는 것은 현행법 기준으로 제한됩니다.
• 개인정보보호법 및 신용정보법에 따라 타인의 개인정보와 민감한 금융정보를 수집·이용하려면 정보주체의 명시적 동의가 필요합니다.
• 회사가 내부 규정 또는 직원 본인 동의만으로 제3자 정보까지 포괄적으로 수집·이용하는 것은 법률적으로 정당화되기 어렵습니다.
• 내부 감사가 있더라도 제3자의 명시적 동의 없이 광범위한 개인정보·신용정보 수집 및 저장은 위법 소지가 있습니다.

F사건 경위

이용자님은 내부 비리 조사를 이유로 감사팀 요구에 따라 휴대전화와 계좌 내역 자료를 제출하였으나, 그 과정에서 배우자 신분증, 가족 및 지인 대화, 연락처, 계좌정보 등 제3자의 민감한 개인정보가 포함된 파일들이 회사에 제공된 상황입니다.

L법률 쟁점

회사 내부감사 진행 과정에서 당사자의 동의만으로 제3자 개인정보나 신용정보를 수집 및 이용할 수 있는지, 그리고 내부 규정이나 조사 목적이 현행 개인정보 관련 법률을 우선할 수 있는지에 대한 문제입니다.

• 개인정보보호법에 따르면 개인정보 수집과 이용에는 원칙적으로 해당 정보주체의 명확한 동의가 반드시 요구됩니다.
• 신용정보의 이용 및 보호에 관한 법률 역시 본인 외 제3자의 신용정보는 본인의 동의 없이는 수집·이용이 불가합니다.
• 내부 감사 목적이나 회사의 규정이 있더라도 상위 법률인 개인정보보호법과 신용정보법의 동의 원칙이 우선 적용됩니다.
• 개인정보를 수집할 때 반드시 수집 목적, 항목, 보관 기간, 제3자 제공 범위 및 동의 철회 절차 안내가 필요합니다.

P핵심 포인트

휴대전화와 계좌 내역 제출에 따른 제3자 개인정보 및 신용정보 수집이 합법적으로 인정되기 위해서는 일부 명확한 요건이 충족되어야 합니다.

• 제3자가 포함된 개인정보는 조사당사자의 동의만으로 충분하지 않으며 각 정보주체로부터 직접 동의를 받아야 합니다.
• 직원 동의만으로 배우자 신분증, 지인 연락처·계좌번호, 금융거래 내역 등 타인의 정보를 수집하면 개인정보보호 및 신용정보법 위반에 해당할 수 있습니다.
• 예외적으로 법령상 의무에 따른 수집 등이 해당되거나, 범죄 수사와 같이 법적으로 근거가 명확한 경우에만 동의 없이 수집이 일부 가능할 수 있으나, 내부 감사는 이에 해당하지 않고 대부분 정보주체의 동의가 필요합니다.
• 회사 내부 규정이 있더라도 상위법인 개인정보보호법·신용정보법을 위배하는 범위에서는 효력이 제한됩니다.

A대응 방안

이용자님과 제3자의 개인정보 불법 수집·이용 우려를 최소화하고, 향후 분쟁이나 피해를 예방하기 위하여 다음 조치를 취하실 수 있습니다.

• 회사의 정보 수집·이용이 개인정보보호법 등 관련 법률에 부합하는지, 정보주체 동의 절차 및 안내가 정확히 있었는지 확인합니다.
• 이미 제출한 자료 중 제3자 개인정보 및 신용정보가 포함된 사실을 회사 측에 공식적으로 알리고, 자료의 삭제 또는 별도 보안 조치 요청이 가능합니다.
• 향후 유사 요청이 있을 경우 회사 내부 감사팀에 제3자 정보 삭제 또는 별도 분리 제출을 요구할 수 있습니다.
• 자료 제출 전 가족·지인 등 제3자 민감 정보가 포함된 부분을 별도 분리·삭제하거나, 필요하다면 담당부서와 별도 협의 후 제출 범위를 제한할 수 있습니다.
• 회사 측이 본 건 관련 정보를 보관·처리함에 있어 불필요하게 확장되는 개인정보 제공 및 이용을 중지·정정 요청할 수 있으며, 회사 내부 개인정보 관련 담당부서(예: 개인정보보호책임자)와 직접 소통하는 것이 중요합니다.
• 내부 감사를 이유로 한 정보 요구라 하더라도 위법 소지가 있다는 점을 안내해주고, 필요시 자료 반환·폐기 요청 또는 전문 변호사 상담도 고려할 수 있습니다.
• 제3자가 자신의 정보 제공 사실을 알게 되어 문제 제기 시, 이용자님 역시 동의 없는 제공자로서 책임이 발생할 수 있어 추후 관련 안내문 등을 미리 보내는 것도 예방책이 됩니다.