채용 플랫폼·HR테크 개인정보보호법 완전 가이드
채용 과정은 개인정보의 집약체입니다. 이름·연락처는 기본이고, 학력·경력·사진·연봉 정보에 심리검사 결과, AI 면접 영상까지 — 지원자는 취업을 위해 사실상 모든 개인정보를 제출합니다.
채용 플랫폼과 HR테크 기업은 이 민감한 데이터를 수백만 건씩 처리합니다. PIPA를 정확히 이해하지 않으면 대형 과태료뿐 아니라 브랜드 신뢰도에 치명타를 입습니다.
이력서·지원 데이터: 수집 단계의 원칙
수집 가능한 정보 범위
채용 목적으로 수집할 수 있는 정보는 직무 수행 필요성을 기준으로 판단합니다:
| 항목 | 수집 가능 여부 | 비고 | |------|--------------|------| | 이름, 연락처 | ✅ 필수 | 채용 연락용 | | 학력, 경력, 자격증 | ✅ 필수 | 직무 적합성 판단 | | 사진 | ⚠️ 조건부 | 직무상 필요 시만 (대면 서비스직 등) | | 주민등록번호 | ❌ 원칙 금지 | 최종 합격 후 계약 시만 수집 | | 혼인 여부, 자녀 수 | ❌ 수집 금지 | 채용 차별 금지법 위반 소지 | | 건강 상태, 장애 여부 | ❌ 원칙 금지 | 직무 특성상 불가피한 경우 예외 | | 병역 사항 | ⚠️ 조건부 | 남성 지원자만 요구 시 차별 문제 |
채용 공고 단계에서의 의무
플랫폼이 직접 채용하거나 기업의 채용 플랫폼을 운영하는 경우:
[채용 공고 개인정보 고지 예시]
수집 항목: 이름, 이메일, 전화번호, 학력, 경력사항, 자기소개서
수집 목적: 채용 전형 진행 및 결과 통보
보유 기간: 채용 전형 종료 후 6개월 (탈락자)
입사 후 퇴직 시까지 (최종 합격자)
제3자 제공: 지원 기업 채용 담당자
보관 기간: 채용 단계별 차등 관리
채용 플랫폼에서 가장 많이 위반하는 항목이 보관 기간 미준수입니다.
단계별 보관 기간 기준
[채용 데이터 생명주기]
서류 탈락자
→ 탈락 통보 후 6개월 이내 삭제
→ 단, 지원자가 재활용 동의 시 최대 3년 보관 가능
면접 탈락자
→ 최종 결과 통보 후 6개월
→ AI 면접 영상은 분석 완료 즉시 삭제 권장
최종 합격자 (입사 전환)
→ 근로계약서로 전환 → HR 시스템 이관
→ 퇴직 후 법적 보관 의무 기간 준수
지원 취소자
→ 취소 즉시 또는 최대 30일 이내 삭제
이력서 재활용 풀(Pool) 관리
많은 플랫폼이 "인재풀"이라는 명목으로 이력서를 장기 보관합니다. 이는 합법이지만 반드시 조건을 지켜야 합니다:
- 별도 동의: 채용 전형과 분리된 인재풀 보관 동의
- 보관 기간 명시: "3년간 보관 후 삭제" 등 구체적 기간
- 삭제 요청권 안내: 언제든 삭제 요청 가능함을 고지
- 정기 재확인: 1년마다 보관 지속 의사 재확인 권장
AI 채용 자동화와 PIPA
채용 과정에 AI가 도입되면서 새로운 개인정보 이슈가 생겼습니다.
AI 서류 심사 (ATS, Applicant Tracking System)
- 자동화된 결정 고지 의무: 인간 검토 없이 AI가 탈락을 결정하는 경우 지원자에게 고지 필요
- 거부권 보장: 지원자는 자동화 결정에 이의를 제기하고 인간 재심사를 요청할 권리
- 알고리즘 설명 의무: "왜 탈락했는가"에 대해 합리적 설명 제공 필요
# AI 채용 결정 시 필수 고지 예시
결정 방식: 본 전형은 AI 알고리즘을 활용하여
서류를 1차 심사합니다.
자동화 결정 안내:
- AI 심사 결과는 최종 결정이 아닌 보조 수단입니다
- AI 탈락 결과에 이의가 있는 경우
recruit@company.com으로 재심사를 요청할 수 있습니다
- 재심사는 인간 채용 담당자가 직접 진행합니다
AI 면접 (화상 면접 + 감정 분석)
AI 면접 솔루션 도입 시 별도 주의가 필요합니다:
- 생체정보 처리: 얼굴 표정, 목소리 분석은 민감정보로 별도 동의 필요
- 영상 보관 금지: 분석 완료 후 원본 영상 즉시 삭제 (분석 결과값만 보관 가능)
- 제3자 솔루션: 마이다스아이티, 뷰인터HR 등 AI 면접 솔루션 이용 시 개인정보 처리위탁 계약 필수
레퍼런스 체크 — 위험 구간
레퍼런스 체크는 PIPA 위반 리스크가 특히 높습니다.
합법적 레퍼런스 체크 절차
[레퍼런스 체크 순서]
1. 지원자 동의 취득
- 누구에게 연락할 예정인지 명시
- 어떤 정보를 확인할 것인지 고지
- 서면 또는 전자적 동의 취득
2. 레퍼런스 제공자 고지
- 정보 활용 목적 설명
- 제공 범위 한정 (직무 관련 정보만)
- 허위 정보 제공 시 법적 책임 안내
3. 수집 정보 최소화
- 업무 역량, 협업 스타일 등 직무 관련만
- 개인 생활, 건강, 가족 관계 질문 금지
4. 결과 보관 및 삭제
- 채용 결정 후 6개월 이내 삭제
절대 하면 안 되는 것
- 지원자 동의 없이 전 직장에 연락
- SNS·지인 네트워크를 통한 비공식 신원 조회
- 탈락 후 레퍼런스 정보를 다른 목적에 활용
플랫폼 운영자 vs 기업 고객: 책임 분리
채용 플랫폼은 개인정보처리자이자 기업 고객의 수탁자 역할을 동시에 합니다.
책임 구조
[책임 분리 구조]
지원자 ──→ 채용 플랫폼 (독립 처리자)
│ 위탁 계약
↓
채용 기업 (원처리자)
플랫폼 직접 책임:
- 플랫폼 서비스 제공 목적 처리
- 보안 관리, 불법 접근 방지
- 법정 보관 기간 준수
기업 고객 위탁 처리:
- 위탁 계약서 체결 의무
- 처리 목적 범위 내 데이터만 활용
- 기업이 삭제 요청 시 이행
SaaS 채용 툴 사용 기업의 의무
외부 ATS(Applicant Tracking System) 사용 기업:
- Workday, Greenhouse, 잡코리아 ATS 등 이용 시 위탁 계약 체결
- 개인정보 처리방침에 수탁자 명시
- 해외 ATS 사용 시 국외 이전 동의 취득
구직 플랫폼 특수 이슈
프로필 공개 설정
- 구직 의사 공개 여부는 지원자가 직접 제어 가능해야 함
- 재직 중 구직 활동 노출 방지 기능 필수 (현 직장 노출 차단)
- 헤드헌터 접근 허용 여부 별도 설정
연봉 정보 처리
- 현재 연봉, 희망 연봉은 채용 목적 외 활용 금지
- 통계 목적 활용 시 반드시 익명 처리
- 기업에 제공 시 지원자 동의 필수
탈퇴 처리
[탈퇴 처리 기준]
탈퇴 즉시:
- 로그인 정보, 개인 프로필 삭제
- 스크랩·북마크 데이터 삭제
30일 유예 후 삭제 (분쟁 대비):
- 지원 내역, 메시지 기록
법적 의무 보관 (전자상거래법):
- 결제 내역 5년 (유료 서비스 이용자)
PipaGuard로 채용 데이터 관리하기
채용 과정에서 발생하는 개인정보는 관리 포인트가 너무 많습니다. 이력서 보관 기간 추적, AI 채용 동의 관리, 레퍼런스 체크 기록 — 수작업으로는 반드시 놓치는 것이 생깁니다.
PipaGuard는 채용 플랫폼과 HR테크 기업을 위한 개인정보 관리 솔루션입니다:
- 지원자별 보관 기간 자동 추적 및 삭제 알림
- AI 채용 도입 시 자동화 결정 고지 템플릿
- 레퍼런스 체크 동의 기록 관리
- PIPA 준수 채용 개인정보 처리방침 생성
핵심 요약
| 영역 | 핵심 의무 | |------|---------| | 수집 범위 | 직무 필요성 기준, 주민번호·혼인 등 수집 금지 | | 보관 기간 | 탈락자 6개월, 인재풀 별도 동의 후 최대 3년 | | AI 채용 | 자동화 결정 고지·거부권·설명 의무 | | AI 면접 | 생체정보 별도 동의, 영상 즉시 삭제 | | 레퍼런스 | 지원자 사전 동의, 직무 관련 정보만 확인 | | 탈퇴 | 즉시 삭제 + 법정 의무 보관 기간 병행 |
채용은 지원자에게 가장 취약한 순간입니다. 그 신뢰를 지키는 것이 좋은 채용 브랜드의 시작입니다.