금융분야 개인정보 유출 재발방지 종합대책 1

지난 '14.3.10 금융위원회를 중심으로 관계부처 합동으로 '금융분야 개인정보 유출 재발방지 종합대책'이 발표되었습니다.

어떤 내용을 담고 있는지 주요 요점한 간략하게 정리해 보고자 합니다.

뭔 사고가 터지면 항상 대책을 발표하지만 사실 기존 정책이나 규제와 크게 다를게 없고 기존 제도가 제대로 작동되게 하는게 더 중요하다고 봅니다. 그래서 기존 제도에서 좀 더 강화되거나 조금 새로운 대책 위주로 노트 형식으로 제가 생각하는 주요 내용만 정리할까 합니다.

좀 더 자세한 내용은 아래 발표된 문건을 보시면 됩니다.

140310_(별첨) 금융분야 개인정보 유출 재발방지 종합대책.hwp

140310_(보도자료) 금융분야 개인정보 유출 재발방지 종합대책.hwp

==========================================================================================================

I. 그 간의 경과

 O 엄격한 적법성 확인을 전제로 TM 영업 재개 허용

II. 현황 및 문제점

1. 그 간 금융회사들이 영업에 필수적이지 않은 정보까지 과도하게 수집하여 장기간 보유

2. 제3자 제공 시 "포괄적 동의' 강제

 O 수백개의 제휴사에 신상정보 제공 스팸광고 노출 위험

4. 대출모집인을 통한 "무차별적" 모집 권유 영업 관행, 불법정보의 수요처로 작용

 - 대출모집인, 대부중개업자, 보험설계사, 카드모집인

 

 O 대출모집인을 활용해 금융회사는 "고객 모집"의 편익을 받음에도, 이들에 대한 관리책임 부족

5. 이사회, CEO 등 주요 의사결정자에 대해 정보보호 현황에 대한 충분한 보고가 이루어지지 않고, 관심 부족

6. 그간 개인정보 유출 시 해당 금융기관에 대해 낮은 수준의 과태료(최고 600만원) 부과, 임직원에 대해 "주의" 가벼운 제재 부과

개인신용정보 유출 유통 흐름도

III. 재발방지를 위한 세부과제

<기본 방향>

1. 금융소비자 권리 및 정보보호 강화

2. 전면적, 종합적인 개선

3. 강력한 전산시스템 보안체계 구축

4. 엄정한 제재를 통한 재발방지

  - 징벌적 과징금 도입, 형벌,과태료 대폭 강화

5. 중요사항 및 기본 원칙 법령 반영

  - 구체적인 기술적 보안방안에 있어서는 자율권을 부여하되, 유출사고 발생시에는 금융회사에 엄격한 책임을 부과

1. 정보 수집/보유/활용/파기 : 단계별 정보보호 강화

A. 수집 단계

가. 수집정보의 필요최소화 (☞ 신용정보업감독규정 개정)

 O 수집항목 최소화

  - 공통 필수 정보는 6가지 제한: 이름, 고유식별정보(주민번호 등), 주소, 연락처, 직업군, 국적

  - 업권, 상품별 필수정보는 해당 상품을 이용하는 고객에 대해서만 별도 수집

  - 선택항목 동의는 "계약 체결에 필수적이지 않음"을 충분히 고지

  - 금지항목: 결혼기념일, 종교, 배우자 및 가족 정보 등은 원칙적 수집 금지 

나. 주민번호 과다노출 관행 개선

 O 현재로서는 금융회사 주민번호 수집/이용이 불가피

  - 신용도 조회 등을 위해 정보를 집중하거나, 과세 기반 확보(금융소득종합과세 등)을 위해 공공부문과 연계 시 유일한 식별값

 O 최초에만 주민번호 수집, 전자 단말기 직접 입력 방식 채택

 O 신분증 사본에서 주민번호 뒷자리 삭제

 O 주민번호는 외부망은 물론, 내부망에도 암호화하여 보관/이용

   - 개인정보보호법 개정안 국회 통과('14. 2월), 회사규모, 이용고객 수 등을 고려하여 단계적으로 시행

B. 보유/활용 단계

가. 금융지주 그룹 내 계열사 및 분사 시 고객정보 이용 제한

 -> 계열사 고객정보의 외부영업 이용제한 및 내부통제절차 강화(☞ 금융지주회사법 및 업무지침서 개정)

(1) 고객 사전동의 없이 계열사 보유 정보를 제공받아 금융상품 판매 등 외부영업에 이용 제한

 * 그룹단위의 신용위험관리, 고객분석 등 내부 경영관리를 위해 필요한 경우에는 계열사간 고객정보 제공을 계속 허용

 O 이용 기간 도과 시 영구 파기여부를 고객정보관리인이 확인

 O 지주사는 자회사의 고객정보관리에 대해 주기적인 종합점검 실시 -> 감독당국에 보고

(2) 분사 회사는 자사 고객이 아닌 개인정보는 이관받지 않도록 함(☞ 신용정보법 개정)

 O 불가피하게 이관받는 경우 자사 고객 정보와 분리하여 엄격히 관리, 영업목적 활용 금지, 5년이내에 모두 파기

나. 제3자 정보제공의 구체화(☞ 가이드라인 제정 및 신용정보업감독규정 개정)

(1) 포괄적 정보제공 동의 제한, "계약 체결에 필수적인 제3자"와 "선택적 제3자" 구분 동의

  - 기존 부가서비스 하나라도 이용하려는 경우 모든 개인정보를 모든 제3자에게 제공 동의 제한

 O 제3자의 사업내용, 연관된 부가서비스 등을 기준으로 개별 또는 다수 그룹으로 구분하여 별도로 동의

(2) 제공 내역 구체적 표시

 O 제공 목적 또는 혜택 분명히 적시

 O 제공되는 없체 그룹별로 업체명과 수를 명시 -> 당사 소속의 카드 모집인(20명)

 O 파기 및 예외적 보관 등 계획도 구체적으로 안내

   * 마케팅 목적으로 원칙적으로 1년간만 제공, "사용 목적이 다한 경우" 등 불명확한 표현 금지

[참고] 수집.이용.조회.제공 동의서 양식 개선방안

 O "필수사항"과 "선택사항"을 별도 페이지로 구분, 필수 사항에 동의하면 계약 체결

 ☞ 큰 변화는 필수동의사항과 선택동의사항을 별도 페이지로 구분하도록 한 것.

     조회하는 정보도 어떤 정보인지 알려주고 필수 조회와 선택조회 정보를 구분 표시 -> 업무 상황에 따라 조회 정보가 제각각일텐테 이렇게 표시를 제대로 할 수 있을까?

     제3자 제공은 계약체결에 필수적인 제3자와 선택 제3자를 구분하고, 그룹으로 구분하도록 한 것 -> 현재 개인정보보호법도 제3자 제공은 개별 업체별로 동의를 받는 것이 원칙인데, 이 원칙이 제대로 지켜지지 않으니 강조한 것. 다만, 제공사가 많은  경우 업체별 하나하나 동의를 받기 어려운 현실을 감안하여 그룹으로 묶은 것은 허용한 것으로 보임(그룹으로 묶었다고 하여 단순히' 여행사, 숙박, 커피숍' 등 이런식으로 하라는 것은 아니고 개별 업체명은 모두 기재하여야 함)

 O 글자 크기, 줄 간격도 구체적으로 제시됨

  - 항목구분 글자 최소 12p, 본문글자 최소 10p 및 줄간격 130% 이상

  * 아주 편집 지침을 내려 주심(ㅎㅎ)

개인정보보호 컨설팅 및 정보보호 분석/설계 전문 기업 - 케이핌(www.kpim.co.kr)