금융분야 개인정보 유출 재발방지 종합대책 2

다. 모집인 등의 불법정보 활용 시 퇴출

 -> 불법정보 활용 모집인 전속계약 해지 및 5년간 재등록 제한

(1) 불법유통 정보를 활용한 대출모집인, 보험설계사 등에 대해 즉시 전속계약 해지, 재등록 5년간 제한

  * "대출모집인 제도 모법규준"에서 재등록 금지기간 규율

(2) 대출모집인의 금지행위 위반에 관한 이력관리 통합관리시스템 구축

라. 무차별 비대면 방식의 개인정보 활용 엄격화(☞ 신용정보법 개정, 비대면 영업 통제방안 가이드라인 마련)

(1) 무차별적 문자전송(SMS)을 통한 권유/모집은 영업행위 금지

  - 다만, 마케팅 목적의 문자 수신에 대해 별도 동의를 받거나 기존계약 유지/관리하는 경우는 제외

    * 예) 보험계약의 보험료 미납, 연체, 실효, 해지, 만기안내 등

(2) 이메일, 전화의 경우는 이메일의 제목, 전화상담시 우선적으로 "소속회사, 송부인, 연락목적 및 정보획득경로"를 명확히 안내

 ☞ 정보획득경로를 안내해야 되기 때문에 금융사는 취득한 정보의 출처 관리가 필요하고, 현재 수집된 정보에 대한 분석과 출처를 관리할 수 있는 시스템 구축이 필요할 것으로 보임 -> 상당히 많은 관리적 노력이 필요할 것으로 보임 -> 이런것만 잘되어도 개인정보관리가 잘텐데..

마. 불법정보에 기반한 범죄피해 예방

(1) (신속이용정지 제도) 불법대부광고, 금융사기 등에 이용된 전화번호 신속히 차단

 ※ 현재까지 「개인정보 불법유통 신고센터」(금감원)('14.2.6~)에 신고된 대포폰 등 1,137건에 대해 경찰청에 이용정치 요청

 O 범죄에 이용되거나 거짓으로 표시된 전화번호 차단을 위한 전기통신사업법 개정 추진

(2) (전화번호 조작방지) 통신사업자에게 기술적/관리적 조치를 의무화

 O 통신사업자는 발신번호가 조작된 전화번호를 차단 또는 정상번호로 전환하고 해외발신전화의 고객안내 등 조치

(3) (스미싱 대응 시스템) 스미싱 의심문자를 자동 탐지하여 문자발송을 차단하는 스미싱 피해 대응 시스템 구축('14년 상반기)

(4) (신 입금계좌지정 서비스) 미지정 계좌로는 소액이체(1일 최대 100만원)만 허용('14.9월말 시행)

☞ 계좌이체 하려면 미리 계좌를 지정해 놓아야 한다는 같음. 이체에 불편이 따르지만 이정도는 감수해야 될 듯.

C. 파기 단계

가. 필요한 기간만 엄격히 보관 후 파기(☞ 신용정보법 개정)

O(1단계) 거래종료 후 원칙적으로 필요한 정보(식별정보, 거래정보 등)만 보관하고 즉시(3개월 이내) 파기

 ☞ 다른 업종은 개인정보보호법 원칙 상 거래종료 시 법령에 따른 보관의무를 제외하고는 식별정보를 포함한 모든 정보를 파기하는게 원칙인데, 금융권은 보관이 가능한 것인가?

 - 현재 거래중인 고객정보와 분리 보관

O (2단계) 거래종료 후 5년이 경과한 정보는 모두 파기

 - 다만, 법류랑 의무이행을 위해 보관이 필요한 경우에는 "엄격히" 별도 관리

  * 예) 자본시장법상 투자자 계약관련 자료10년간 보관, 상해보험 후유장애 보장을 위한 정보 등

  * 예) 별도 DB 보관, 업무상 필수인원(예: 법무담당)만 접근가능

 - 정보를 다시 이용하는 경우 사전통지 의무화(영업목적 사용 예방)

 ☞ 금융권은 최소 5년간은 기본 식별정보 등은 5년간 보관이 가능하는 것으로 해석될 수 있군요.

나. 제3자에 제공된 정보통제 : 정보 파기 및 확인 의무화(☞ 신용정보법 개정)

(1) 개인정보 제3자 제공 시 기간을 설정하고, 기간 도과 시 제3자는 파기 의무화

 ☞ 이것은 개인정보보호법의 기본 사항. 원래 제공 시 기간을 정하고, 기간 경과 시 파기하는게 의무

 O 금융회사는 개인정보 제공 계약 체결 시, 구체적 기간과 파기 계획을 명시하고, 불이행시 패널티(손해배상 등) 마련

(2) 금융회사는 기간 경과 시 정보 파기에 대해 이를 확인해 줄 것을 요청 -> 파기 확인서 받도록 함

 ☞ 이것도 개인정보보호법 상 기본 원칙

(3) 금융회사는 제3자 제공정보 관리실태를 CEO 등에 주기적으로 보고

  * 금강원을 통해 제3자 정보 파기 요청, 확인서 징구 등 관리실태를 정기적으로 검사

2. 신용정보 주체의 권리 강화 : 자기정보결정권 보장

가. 본인정보 이용·제공 현황 조회 요청권(☞ 신용정보법 개정)

 O 신용정보가 이용· 제공되고 있는 현황을 언제든지 확인할 수 있는 조회시스템을 금융회사별로 구축

  - 현황: 이용·제공주체, 목적, 날짜 등, 전화를 통해서도 확인 가능하도록

 나. 연락중지 청구권

 O 금융회사는 영업목적 연락을 중지할 것을 요청할 수 있는 체계를 구축(수신거부 의사)

 O 금융권 협회 등에 수신거부 의사를 밝히면(통합 인터넷 사이트) 해당 금융회사로부터 영업목적 연락을 전면 차단

 다. 정보 보호 요청권(☞ 신용정보법 개정)

 O 거래 종료 후 본인정보 보호 요청 시 있을 경우 파기 및 보안조치를 취하고, 그 결과를 즉시 통보

 라. 본인정보 조회중지 요청권(☞신용정보법 개정)

 O 명의도용 의심되는 신용조회 발생 시 일정기간 조회를 중지(1일간)하고 고객에 "지체없이 통지"

    ☞ 고객은 금융회사 또는 신용정보회사에 신용정보조회 여부를 알려주는 서비스에 우선 가입되어 있어야 하는 것 같고, 고객은 신용정보 조회 발생 시 조회 사실을 통보 받고 명의도용에 의한 대출 및 카드발급 시도를 차단할 수 있도록 하는 것.

개인정보보호 컨설팅 및 정보보호 분석/설계 전문 기업 - 케이핌(www.kpim.co.kr)