세무사·회계사·노무사 사무소 개인정보보호법 가이드: 고객 세무·급여·노무 데이터 처리

세무사, 공인회계사(CPA), 노무사 사무소는 고객의 소득·자산·세금 납부 내역, 직원 급여 정보, 근로계약서 등 금전적으로 가장 민감한 개인정보를 처리합니다. 정보보호 실패 시 고객 피해가 직결되는 업종입니다.

전문직 사무소가 처리하는 개인정보

세무사·회계사 사무소

| 정보 유형 | 내용 | 민감도 | |-----------|------|--------| | 소득 정보 | 근로소득, 사업소득, 금융소득 | 매우 높음 | | 자산 정보 | 부동산, 금융자산, 지분 현황 | 매우 높음 | | 세금 신고 자료 | 종합소득세, 법인세, 부가세 | 높음 | | 주민등록번호 | 세금 신고 필수 | 고유식별정보 | | 금융 거래 내역 | 계좌·카드 내역 | 높음 |

노무사 사무소

| 정보 유형 | 내용 | 민감도 | |-----------|------|--------| | 급여 명세서 | 개인별 급여, 공제 내역 | 매우 높음 | | 근로계약서 | 계약 조건, 임금 | 높음 | | 4대보험 정보 | 건강보험료, 국민연금 | 높음 | | 징계·해고 기록 | 인사 조치 이력 | 민감 (고용 관련) | | 산재·질병 기록 | 업무상 재해 처리 | 건강정보 (민감정보) |

위탁 처리 구조 — 사무소는 수탁자

전문직 사무소가 기업(고객)의 세무·노무 업무를 대행하는 것은 개인정보 처리 위탁입니다.

고객(기업): 개인정보 처리자 (위탁자)
세무사·노무사 사무소: 수탁자

따라서 사무소는 고객 기업과 **개인정보 처리 위탁 계약(DPA)**을 체결해야 합니다.

위탁 계약서 필수 포함 사항 (개인정보보호법 제26조)

개인정보 처리 위탁 계약서

위탁자: [고객 기업명]
수탁자: [세무사·노무사 사무소명]

위탁 업무: 세무 신고 처리 / 급여 계산 및 4대보험 신고
처리 개인정보:
  - 직원 이름, 주민등록번호, 급여 정보
  - 고객사 대표자 정보, 법인 세금 정보

수탁자 의무:
  - 위탁 목적 외 이용 금지
  - 재위탁 시 위탁자 동의 필요
  - 계약 종료 후 처리 개인정보 반환 또는 파기

보안 조치:
  - 접근 권한 최소화
  - 암호화 전송 (이메일 전송 시 암호화)
  - 연 1회 이상 보안 점검

주민등록번호 처리 — 세무 업무의 불가피한 현실

세금 신고에는 납세자 주민등록번호가 필수입니다. 세무사 사무소는 법령에 따른 처리를 근거로 주민등록번호를 취급할 수 있습니다.

주민번호 취급 원칙

최소화: 세금 신고에 필요한 범위 내에서만 처리
암호화 저장: 세무 소프트웨어 내 주민번호는 암호화 저장
접근 제한: 담당 직원만 열람 가능
전송 보안: 이메일 전송 시 암호화 또는 보안 채널 사용
파기: 세금 신고 완료 후 법정 보관 기간(5년) 이후 파기

이메일로 고객 자료 수발신 시

일반 이메일로 주민번호·급여 정보를 주고받는 것은 보안상 위험합니다.

권장 방법:

암호화된 파일(PDF 비밀번호 설정) 전송
보안 문서 공유 플랫폼(Dropbox Business, Google Workspace 등) 사용
고객 전용 포털 제공

클라우드 세무·노무 솔루션 사용 시

더존, 세금계산서, 급여명세서 전용 SaaS를 사용하는 경우 해당 솔루션이 **재위탁자(하위 수탁자)**가 됩니다.

처리 방법:

고객 기업과의 위탁 계약서에 "재위탁 가능 업체" 목록 포함
사용 중인 솔루션의 보안 인증 여부 확인 (ISO 27001, ISMS-P 등)
솔루션 계약 종료 시 데이터 이전 또는 파기 절차 확인

고객 자료 보관 기간

| 자료 종류 | 법정 보관 기간 | 근거 | |-----------|--------------|------| | 세금 신고 서류 | 5년 | 국세기본법 | | 회계 장부·증빙 | 5년 | 상법 | | 급여 명세서 | 3년 | 근로기준법 | | 4대보험 신고 서류 | 3년 | 각 보험법 | | 근로계약서 | 3년 | 근로기준법 |

법정 보관 기간이 지난 자료는 즉시 파기해야 합니다. 오래된 자료를 창고에 쌓아두는 것은 PIPA 위반입니다.

사무소 직원 관리

세무·노무 데이터를 다루는 직원에 대한 관리:

접근 권한 최소화

담당 고객사 자료에만 접근 가능하도록 권한 분리
신입 직원: 교육 완료 전 민감 자료 접근 제한
퇴직 직원: 퇴직 당일 접근 권한 즉시 차단

기밀 유지 서약

입사 시 개인정보 비밀유지 서약서 작성:

고객 세무·노무 정보 외부 유출 금지
퇴직 후에도 동일 의무 부담
위반 시 민사·형사 책임 동의

직원 교육

연 1회 이상 개인정보 처리 교육 실시 (교육 기록 보관):

이메일 전송 시 보안 절차
고객 정보 무단 열람 금지
외부 USB·개인 기기 반출 금지

전직 시 고객 데이터 처리

세무사·노무사가 사무소를 이직하거나 독립할 때 고객 데이터를 무단으로 가져가는 것은 개인정보보호법 위반입니다.

고객 연락처, 세무 자료를 개인 기기에 복사하여 가져가면 안 됨
고객이 직접 다른 사무소로 이전을 요청한 경우에는 자료 이전 가능 (고객 지시에 따른 처리)

처리방침 게시

세무사·노무사 사무소도 홈페이지가 있다면 처리방침을 게시해야 합니다.

처리방침 핵심 항목:

수탁 처리 업무 범위 (세무 신고, 급여 계산 등)
고객사 정보주체(직원)에 대한 처리 현황
보유 기간 (법정 기간 기준)
보호책임자: 대표 세무사·노무사 정보

최소 준수 체크리스트

[ ] 고객 기업과 개인정보 처리 위탁 계약서 체결
[ ] 주민번호·급여 자료 암호화 저장
[ ] 이메일 전송 시 암호화 파일 사용
[ ] 직원 접근 권한 최소화 및 퇴직 시 즉시 차단
[ ] 법정 보관 기간 초과 자료 파기 절차 수립
[ ] 직원 대상 연 1회 개인정보 교육 실시

PIPAGuard로 전문직 사무소 PIPA 점검하기

처리방침 기재, 위탁 계약 현황, 보안 조치를 자동으로 점검할 수 있습니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

전문직 사무소가 처리하는 개인정보

세무사·회계사 사무소

노무사 사무소

위탁 처리 구조 — 사무소는 수탁자

전문직 사무소가 기업(고객)의 세무·노무 업무를 대행하는 것은 개인정보 처리 위탁입니다.

고객(기업): 개인정보 처리자 (위탁자)
세무사·노무사 사무소: 수탁자

따라서 사무소는 고객 기업과 **개인정보 처리 위탁 계약(DPA)**을 체결해야 합니다.

위탁 계약서 필수 포함 사항 (개인정보보호법 제26조)

개인정보 처리 위탁 계약서

위탁자: [고객 기업명]
수탁자: [세무사·노무사 사무소명]

위탁 업무: 세무 신고 처리 / 급여 계산 및 4대보험 신고
처리 개인정보:
  - 직원 이름, 주민등록번호, 급여 정보
  - 고객사 대표자 정보, 법인 세금 정보

수탁자 의무:
  - 위탁 목적 외 이용 금지
  - 재위탁 시 위탁자 동의 필요
  - 계약 종료 후 처리 개인정보 반환 또는 파기

보안 조치:
  - 접근 권한 최소화
  - 암호화 전송 (이메일 전송 시 암호화)
  - 연 1회 이상 보안 점검

주민등록번호 처리 — 세무 업무의 불가피한 현실

세금 신고에는 납세자 주민등록번호가 필수입니다. 세무사 사무소는 법령에 따른 처리를 근거로 주민등록번호를 취급할 수 있습니다.

주민번호 취급 원칙

최소화: 세금 신고에 필요한 범위 내에서만 처리
암호화 저장: 세무 소프트웨어 내 주민번호는 암호화 저장
접근 제한: 담당 직원만 열람 가능
전송 보안: 이메일 전송 시 암호화 또는 보안 채널 사용
파기: 세금 신고 완료 후 법정 보관 기간(5년) 이후 파기

이메일로 고객 자료 수발신 시

일반 이메일로 주민번호·급여 정보를 주고받는 것은 보안상 위험합니다.

권장 방법:

암호화된 파일(PDF 비밀번호 설정) 전송
보안 문서 공유 플랫폼(Dropbox Business, Google Workspace 등) 사용
고객 전용 포털 제공

클라우드 세무·노무 솔루션 사용 시

더존, 세금계산서, 급여명세서 전용 SaaS를 사용하는 경우 해당 솔루션이 **재위탁자(하위 수탁자)**가 됩니다.

처리 방법:

고객 기업과의 위탁 계약서에 "재위탁 가능 업체" 목록 포함
사용 중인 솔루션의 보안 인증 여부 확인 (ISO 27001, ISMS-P 등)
솔루션 계약 종료 시 데이터 이전 또는 파기 절차 확인

고객 자료 보관 기간

법정 보관 기간이 지난 자료는 즉시 파기해야 합니다. 오래된 자료를 창고에 쌓아두는 것은 PIPA 위반입니다.

사무소 직원 관리

세무·노무 데이터를 다루는 직원에 대한 관리:

접근 권한 최소화

담당 고객사 자료에만 접근 가능하도록 권한 분리
신입 직원: 교육 완료 전 민감 자료 접근 제한
퇴직 직원: 퇴직 당일 접근 권한 즉시 차단

기밀 유지 서약

입사 시 개인정보 비밀유지 서약서 작성:

고객 세무·노무 정보 외부 유출 금지
퇴직 후에도 동일 의무 부담
위반 시 민사·형사 책임 동의

직원 교육

연 1회 이상 개인정보 처리 교육 실시 (교육 기록 보관):

이메일 전송 시 보안 절차
고객 정보 무단 열람 금지
외부 USB·개인 기기 반출 금지

전직 시 고객 데이터 처리

세무사·노무사가 사무소를 이직하거나 독립할 때 고객 데이터를 무단으로 가져가는 것은 개인정보보호법 위반입니다.

고객 연락처, 세무 자료를 개인 기기에 복사하여 가져가면 안 됨
고객이 직접 다른 사무소로 이전을 요청한 경우에는 자료 이전 가능 (고객 지시에 따른 처리)

처리방침 게시

세무사·노무사 사무소도 홈페이지가 있다면 처리방침을 게시해야 합니다.

처리방침 핵심 항목:

수탁 처리 업무 범위 (세무 신고, 급여 계산 등)
고객사 정보주체(직원)에 대한 처리 현황
보유 기간 (법정 기간 기준)
보호책임자: 대표 세무사·노무사 정보

최소 준수 체크리스트

[ ] 고객 기업과 개인정보 처리 위탁 계약서 체결
[ ] 주민번호·급여 자료 암호화 저장
[ ] 이메일 전송 시 암호화 파일 사용
[ ] 직원 접근 권한 최소화 및 퇴직 시 즉시 차단
[ ] 법정 보관 기간 초과 자료 파기 절차 수립
[ ] 직원 대상 연 1회 개인정보 교육 실시

PIPAGuard로 전문직 사무소 PIPA 점검하기

처리방침 기재, 위탁 계약 현황, 보안 조치를 자동으로 점검할 수 있습니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

세무사·회계사·노무사 사무소 개인정보보호법 가이드: 고객 세무·급여·노무 데이터 처리

전문직 사무소가 처리하는 개인정보

세무사·회계사 사무소

노무사 사무소

위탁 처리 구조 — 사무소는 수탁자

위탁 계약서 필수 포함 사항 (개인정보보호법 제26조)

주민등록번호 처리 — 세무 업무의 불가피한 현실

주민번호 취급 원칙

이메일로 고객 자료 수발신 시

클라우드 세무·노무 솔루션 사용 시

고객 자료 보관 기간

사무소 직원 관리

접근 권한 최소화

기밀 유지 서약

직원 교육

전직 시 고객 데이터 처리

처리방침 게시

최소 준수 체크리스트

PIPAGuard로 전문직 사무소 PIPA 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

세무사·회계사·노무사 사무소 개인정보보호법 가이드: 고객 세무·급여·노무 데이터 처리

전문직 사무소가 처리하는 개인정보

세무사·회계사 사무소

노무사 사무소

위탁 처리 구조 — 사무소는 수탁자

위탁 계약서 필수 포함 사항 (개인정보보호법 제26조)

주민등록번호 처리 — 세무 업무의 불가피한 현실

주민번호 취급 원칙

이메일로 고객 자료 수발신 시

클라우드 세무·노무 솔루션 사용 시

고객 자료 보관 기간

사무소 직원 관리

접근 권한 최소화

기밀 유지 서약

직원 교육

전직 시 고객 데이터 처리

처리방침 게시

최소 준수 체크리스트

PIPAGuard로 전문직 사무소 PIPA 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글