금융분야 개인정보 유출 재발방지 종합대책3

3. 금융회사 책임 강화 : 임원책임 확대 및 엄정한 제재

 

 가. 지속적 점검 평가(☞신용정보법 개정)

 

 (1) 내부통제 현황 및 정보보호 정책 등을 담은 "연차보고서" 작성하여 자체 점검

 (2) 연차보고서는 CEO⋅이사회에 보고, 금융당국에도 제출

 

 나. 임원 책임 확대

 

 (1) 신용정보 관리⋅보호인을 "임원"으로 선임(☞신용정보법 개정)

 (2) 정보보호최고책임자(CISO) 타 IT관련 직위와의 겸직을 제한(☞전자금융거래법 개정)

  - 예) 총자산 10조원 이상이고 종업원 수 1,500명 이상 금융회사

 

 다. 모집업무 위탁[대출모집인 등] 관련 관리강화(☞신용정보법 개정)

 

 (1) 모집인을 통해 영업하는 경우, 정보의 제공⋅활용⋅파기 단계별로 내부통제 방안 마련 

  O 모집인에게 최소한의 정보(이름, 전화번호)만 암호화하여 제공

   - 모집인은 "정보 활용⋅파기 관리대장"을 작성 -> 금융회사 주기적 점검

 

  O 금융회사는 "모집경로를 확인"하여 적법정보 활용여부 확인

  O 모집은은 계약체결 등 모집행위 완료 시 관련정보 즉시 파기

 

 (2) 불법정보 활용 시 모집인과 금융회사 엄정한 책임 추궁

  * 과징금, 형벌(3년 이하 징역, 3천만원 이하 벌금), 과태료(1천만원 이하)

 

 라. 징벌적 과징금 제도 도입(☞신용정보법 개정)

  □ "징벌적 과징금" 신설

   O 불법정보 활용 시 " 관련 매출액의 일정비율(예: 3%)" 상한으로 설정

   O 관리소홀로 정보를 유출한 경우에는 "일정 금액(예 : 50억원)"을 상한으로 설정

 

 마. 형벌 강화(☞ 신용정보법 전자금융거래법 개정)

 

  

   

 바. 과태료 강화((☞ 신용정보법, 전자금융거래법 개정)

 

 * (신용정보법)

   i) 정보유출방지를 위한 보안장치 미비 : 600만원 -> 5천만원

   ii) 신용정보관리인이 CEO에 정보보호관련 보고의무 해태 : 5천만원(신설)

   iii) 식별정보 암호화 조치 미비⋅정보폐기 의무 위반 : 3천만원(신설)

 **(전자금융거래법)

   i) 안전성 확보의무 위반 : 5천만원(신설)

 

 사. 행정제재((☞ 신용정보법, 여전법 개정)

 

 O (CEO 등 임원) CEO에게 주기적 실태 보고가 이루어지지 않는 경우 CEO에게 행위자 책임 부과

 O (신용정보회사) 불법정보 유출 관련 시 영업정지(6개월 이내) 또는 과징금 부과, 3년내 재위반 시 허가 취소

 O (개별 금융사) 카드사 영업정지 3 -> 6개월

개인정보보호 컨설팅 및 정보보호 분석/설계 전문 기업  - 케이핌(www.kpim.co.kr)