글쓴이 : 김광준
  • 변호사
  • 법무법인 태평양
연락처 : 02.3404.0481
이메일 : kwangjun.kim@bkl.co.kr
홈페이지 : http://www.bkl.co.kr
주소 : 서울시 강남구 테헤란로 133
소개 : 인터넷 기업의 특수한 법적 문제에 대한 전문지식을 바탕으로 인터넷 포털, 게임, 쇼핑, 쇼셜커머스 기업의 지적재산권, 공정거래, 개인정보보호 등 제반 법률문제와 관련된 자문 및 형사소송을 담당하고 있습니다.

이 포스트는 0명이 in+했습니다.

    목록이 없습니다.

    금융분야 개인정보 유출 재발방지 종합 대책에 대하여

    0

    지난 3. 10. 정부는 관계 부처 합동으로 「금융분야 개인정보 유출 재발방지 종합 대책」을 발표하였습니다. 동 대책은 카드사 고객정보의 대량 유출 사건 이후, 지난 1월에 발표되었던 「금융회사 고객정보 유출 재발방지 대책」, 2. 13. 국회 정무위원회에서 논의된 내용이 모두 반영되어 ① 개인정보의 수집에서 파기에 이르기까지 정보주체의 권리를 보호하고, ② 징벌적 과징금제의 도입 등 유출사고 시 금융회사의 책임을 대폭 강화하는 것을 골자로 하는 바, 그 주요 내용은 다음과 같습니다.

     

    1.정보수집-보유-활용-파기 각 단계별 정보보호 강화

    정보수집 항목의 최소화

    그동안 관행적으로 금융기관이 수집해 온 정보 항목은 30~50 여 개에 달하였습니다. 향후 금융당국은 「신용정보업감독규정」을 개정하여 계약에 공통적으로 필요한 개인정보(이름, 주민등록번호, 주소, 연락처, 직업, 국적)와 상품별로 필요한 개인정보(예: 재형저축 가입 시 연소득) 등 총 6~10항목만을 수집할 수 있도록 제한할 예정입니다. 또한, 부가서비스 제공 등과 관련해서는 ‘계약체결에 필수적이지 않음’을 고지하고 별도로 동의를 얻어야 합니다.

    주민등록번호 수집 최소화 및 암호화

    주민등록번호는 최초 거래 시에만 수집하되 번호 노출을 최소화 하는 방식(예: key – pad 입력)으로 수집하고 암호화하여 보관하여야 합니다. 따라서, 최초 거래 이후에는 주민번호 외 기타 정보를 활용하여 신원을 확인하여야 하고 주민번호 불법활용, 유출 시에는 일반 개인정보보다 가중하여 제재를 받게 됩니다.

    금융지주회사 내 계열사간 개인정보 보유 활용 제한

    현행 「금융지주회사법」은 금융지주회사 내 계열사 정보를 고객 동의가 없더라도 외부영업에 이용하는 것을 허용하고 있으나, 향후 금융당국은 법을 개정하여 고객 동의 없는 외부영업 이용을 제한하고 다만, 신용위험관리 등 내부경영관리를 위한 계열사간 정보 제공은 허용하되 그 이용기간을 현행 3개월 이내에서 필요 최소한으로 줄일 예정입니다.

    제3자 정보 제공 시 이용자 동의권의 실질적 보장

    향후에는 제3자에게 정보제공 시 포괄적 동의가 금지되고, 서비스 제공에 필수적인 제3자와 선택적인 제3자를 구분하여 동의를 받아야 하며, 제공되는 정보의 내용, 이용목적, 제공되는 업체 명 및 업체 수, 제공기간 및 파기계획 등을 구체적으로 적시해야 합니다.

    수집 정보의 파기에 관한 절차 강화

    거래가 종료되면 원칙적으로 식별정보나 거래정보 등 필요한 정보만 보관하고 학력, 직업 등의 정보는 3개월 이내에 파기하되, 5년이 경과한 경우에는 원칙적으로 모두 파기하여야 하며 다만, 법령상 보관 의무가 있는 자료는 그 의무 기간 동안 보관은 가능하나 별도의 DB에 관리하는 등 엄격히 별도 관리하여야 합니다.

     

    2. 금융회사의 책임 강화

    정보보호 연차보고서의 작성, 공개 및 정보보호 최고 책임자의 겸직 제한

    금융회사는 향후 정보보호정책을 담은 연차보고서를 작성하여 CEO, 이사회 등의 보고를 거쳐 공개하고 금융당국에도 제출하여야 하고 신용정보 관리∙보호인은 임원으로 선임해야 하며, 총 자산 10조원 이상, 종업원 수 1,500명 이상인 금융회사의 정보보호 최고책임자(CISO)는 타 IT 관련 직위와의 겸직이 금지됩니다.

    징벌적 과징금제 도입

    불법 개인정보를 활용한 금융회사 및 관리소홀 등으로 인해 정보 유출이 발생한 금융회사에 대하여 징벌적 과징금을 부과하되 불법정보 활용 시에는 관련 매출액의 일정비율(예: 3%)을, 관리소홀 등으로 정보유출이 된 경우에는 일정금액(예: 50억 원)을 상한으로 규정할 예정으로 이는 정보통신망법이나 개인정보법에서 정한 과징금보다 대폭 상향된 것입니다.

    기업에 대한 형사처벌 및 행정제재 강화

    개인정보 유출 또는 불법 활용 시 10년 이하 징역 또는 1억 원 이하 벌금을 부과하는 등 형사처벌을 강화하고, 식별정보의 암호화 조치 등 보안대책이 미비된 경우 과태료 수준을 대폭 강화하며, 영업정지 기간이 현재의 3개월에서 6개월로 늘어나는 등 금융회사에 대한 제재가 강화될 예정입니다.

    기타, 이용자가 정보제공현황을 확인할 수 있는 조회 요청권, 정보의 파기 요청권 등 이용자의 권리를 보장하고, 정보보안 관련 내부규정을 구체화하며 외주 용역업체에 대한 통제 강화, 전산시스템의 해킹 방지 보안관련 종합서비스를 제공하는 전담기구를 설치하는 등 금융회사의 책임을 강화하는 조치를 취하여야 하는 바, 이를 간략히 표로 정리하면 다음과 같습니다.

    개인정보

    금융 당국은 종합 대책의 이행을 위해 관련 법령의 개정을 추진하겠다는 방침을 발표하였습니다. 다만, 정보수집 최소화, 제3자에 대한 정보 제공 규제에 대하여는 3월말부터 즉시 시행할 예정이어서 이에 대한 후속 조치로 금감원의 지침, 고시 또는 가이드라인의 제정, 행정지도 외에도 현장 점검이 강화될 것으로 예상됩니다. 따라서 각 금융회사는 각 상품별로 수집∙이용∙제공이 필요한 정보를 분류하고, 각 정보별로 법령상 보관의무 등에 따라 보관기간을 검토하는 등 새로운 규제에 맞춰 기존의 내부 관리계획, 개인정보 취급방침, 각종 사내 보안지침 등 관련 규정과 고객들에 대한 동의서 등을 재정비하고, 정보보호 관련 조직의 변경도 검토할 필요가 있습니다.

    저희 법무법인(유한)태평양은 금융, 보험, 방송통신, IT 전문가 등으로 구성된 개인정보보호팀을 설치, 운영하고 있는 바, 지속적으로 규제 당국의 상황을 면밀히 파악해 새로운 소식이 있으면 다시 전해 드리도록 하겠습니다. 관련된 문의 사항이 있으면 언제든지 연락 주시기 바랍니다.


    Comment

    You must be logged in to post a comment.

    loading..