서비스 부정사용방지를 위해 암호화된 개인식별값(CI)을 보관하고 있는 경우, 개인정보보호법 위반이 되나요?

Question

온라인 서비스를 운영중이며 회원제도를 운영하고 있는 회사가
회원가입 시 아이디, 비밀번호(암호화하여 저장), 이름, 휴대폰, 이메일과
본인인증을 거쳐 CI값을 함께 수집하고 있다고 가정하겠습니다.

이 회사가 회원이 회원탈퇴 시, 가입 당시 수집했던 정보 중에서 ①아이디와 ②CI값(암호화된 개인식별값) 두가지만을 일정기간 동안 보관 후 파기하고자 할 경우 보관하고 있는 기간이 개인정보보호법에 위반에 해당하는지 알고 싶습니다.

재가입방지를 위해 CI값을 보유하고자 하는 이유는 "동일인의 탈퇴 후 재가입 방지"를 위함입니다.
CI값이 유일한 본인임을 인증할 수 있는 식별자이기 때문이며, 회원가입 즉시 당사부담으로 할인쿠폰을 지급하고 있기에 동일인이 반복적으로 가입-탈퇴를 반복하면서 해당 할인쿠폰을 부정사용하게 하지 못하려는 용도입니다.
(ID만 보관했을 때에는, 동일인 반복 재가입방지를 하기 위한 목적달성이 어렵기에 CI를 보관하고자 하는 것임)

CI값은 암호화된 주민등록번호와 같으며 복호화는 불가능한 정보로 알고 있고, 정보 자체로 개인임을 식별하기 어려우면 개인정보가 아님으로 알고 있는데요. 개인정보보호법 위반여부가 궁금합니다.

그럼 답변 기다리겠습니다 ^_^

Answer 1

안녕하세요? 아하(Aha) 법률 분야 전문가 김성훈변호사입니다.
질문하신 내용에 대하여 아래와 같이 답변 드립니다.

아래 답변은 기재된 내용만을 기초로 작성된 것으로, 구체적인 사실관계에 따라 결론이 달라질 수 있습니다.

아래는 기재된 내용과 관련한 개인정보보호법 조항입니다. 참고하시면 되겠습니다.

개인정보보호법

제39조의6(개인정보의 파기에 대한 특례) ① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.

② 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다.

동법 시행령

제48조의5(개인정보의 파기 등에 관한 특례) ① 정보통신서비스 제공자등은 이용자가 정보통신서비스를 법 제39조의6제1항의 기간 동안 이용하지 않는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리해야 한다. 다만, 법 제39조의6제1항 본문에 따른 기간(법 제39조의6제1항 단서에 따라 이용자의 요청에 따라 달리 정한 경우에는 그 기간을 말한다)이 경과한 경우로서 다른 법령에 따라 이용자의 개인정보를 보존해야 하는 경우에는 다른 법령에서 정한 보존기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리해야 한다.

② 정보통신서비스 제공자등은 제1항에 따라 개인정보를 별도로 저장ㆍ관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공해서는 안 된다.

③ 법 제39조의6제2항에서 "개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다.

1. 개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목

2. 다른 이용자의 개인정보와 분리하여 개인정보를 저장ㆍ관리하는 경우: 개인정보가 분리되어 저장ㆍ관리되는 사실, 기간 만료일 및 분리ㆍ저장되어 관리되는 개인정보의 항목

④ 법 제39조의6제2항에서 "전자우편 등 대통령령으로 정하는 방법"이란 서면등의 방법을 말한다.