A. 개인정보보호의 의의 및 필요성
1. 개인정보의 개념
- 일반적으로 "특정한 개인을 타인과 구별하여 식별할 수 있는 정보"를 개인정보라 칭한다.
- 개인정보보호법 제2조 제1호
- 개인정보란 살아있는 개인에 관한 정보로서 성명, 주민번호, 영상 등을 통해 개인을 알아볼 수 있는 정보를 뜻함.
- 해당 정보만으로 개인을 특정할 수 없더라도 다른 정보와 결합 시 식별가능한 것도 포함.
- 개인정보의 구체적 정의
- 생존하는 개인
- 현재 살아 있는 자에 관한 정보이어야 한다. (사망한 사람의 개인정보는 원칙적으로 개인정보가 아님.)
- 관련성
- 개인에 관련된 정보이어야 한다. (법인에 관한 정보는 원칙적으로 개인정보가 아님.)
- 식별성
- 특정한 개인을 다른 사람과 구별하여 식별할 수 있는 정보이어야 한다.
- 결합성
- 특정한 정보 항목만으로 개인 식별이 불가하더라도, 타 정보와 결합 시 식별 가능하면 그 정보 항목도 개인정보에 포함된다.
- 생존하는 개인
2. 개인정보 처리자 및 취급자의 개념
개인정보처리자
- 업무 목적으로 개인정보를 처리하는 공공기관, 법인, 단체, 개인 등을 뜻함.
- 금융 분야에서는 금융 고객의 개인정보를 업무 목적으로 처리하고 있는 "금융회사(법인)"가 이에 해당됨.
개인정보취급자
- 개인정보 처리자의 지휘, 감독을 받아 개인정보를 처리하는 자를 뜻함.
- 금융 분야에서는 금융회사에 소속되어 업무상 고객정보, 동료직원정보 등을 처리하는 각 부서의 모든 임직원이 이에 해당됨.
- 정식 임직원 이외에 파견근로자, 시간제근로자 등 모두 포함됨
3. 개인정보보호의 필요성
- 오늘날 대부분의 민간 및 공공분야의 업무는 개인정보를 기반으로 이뤄지며 특히 금융 분야는 개인정보가 활용되는 빈도가 매우 높다.
- 개인정보는 금융회사의 업무를 가능하게 하는 자산임과 동시에 고객의 사적 영역과 직접적으로 연관된 정보이다. 여러 가지 피해 방지를 위해 고객의 개인정보를 철저하게 보호할 필요가 있다.
- 고객의 개인정보 보호에 대한 책임은 1차적으로 개인정보처리자에게 있다. 그러나 실질적으로 개인정보 처리 업무를 담당하는 것은 개인정보취급자로 임직원들은 본인이 개인정보 처리자임을 인식하고 활동에 임해야 한다.
- 개인정보취급자는 활동 하나하나가 개인정보의 안정성과 대외적인 신뢰도를 좌우하게 되므로 책임의식을 가지고 업무에 임해야 한다.
- 개인정보처리자는 개인정보취급자에 대해 적절한 관리 감독 및 정기적 교육을 실시할 의무가 있다.
B. 개인정보보호를 위한 금융회사 수칙
1. 개인정보는 필요 최소한 수집
- 금융회사는 관계 법령 또는 정관으로 정한 업무 범위에서 수집 ∙ 조사 및 처리의 목적을 명확히 하여야 한다.
- 목적 달성에 필요한 최소한의 범위에서 합리적이고 공정한 수단을 사용하여 신용정보를 수집 ∙ 조사 및 처리하여야 한다. 특히, 고객이 마케팅 목적 등 선택적 동의사항에 동의하지 아니한다는 이유로 고객에게 서비스의 제공을 거부하여서는 안 된다.
- 금융회사의 현업 부서 등에서 근무하는 개인정보취급자(직원)는 본사 차원에서 사전에 정해진 서식 등을 통하여 개인정보를 수집 이용하는 경우가 일반적이다. 그러나 이 경우에도 필요 이상의 과도한 개인정보 수집이 발생하지 않도록 업무 처리에 있어서 주의를 기울여야 한다.
- 수집이용 동의서 서식에서 필수정보와 선택정보를 구별하기 어렵게 되어 있는 경우, 정보주체가 쉽게 알 수 있도록 별도의 칸, 색상, 문자형태 등으로 필수적 동의사항과 선택적 동의사항을 구분하여 표시해야 한다.
- 금융회사의 개인정보 수집에 있어서 특히 주의할 점으로서, 금융회사는 ‘거래 상대방의 신용도와 신용거래능력 등을 판단하기 위해 필요한 정보’는 정보주체의 동의 없이 수집이 가능하다. 또한 ‘법률의 규정이나 법령상의 의무 준수’를 위해 개인정보를 수집하는 경우도 정보주체의 동의 없이 수집이 가능하다.
- 예 : 은행 등의 금융회사에서 ‘금융실명거래 및 비밀보장에 관한 법률’에 따라 금융실명거래를 하기 위하여 고객의 ‘실지명의 정보’(주민등록표 상의 주민등록번호 등)를 수집, 이용하는 경우는 정보주체 동의 없이도 수집 가능.
- 신용정보법 제15조, 개인정보 보호법 제15조와 같이 법률에 규정된 경우 등 특별한 경우를 제외하고는 개인정보 수집은 ‘정보주체의 동의’를 받아 수집해야 한다.
- 또한 고객정보 수집 시, 금융상품 가입이나 거래 개설 시 서비스 제공을 위하여 필수적 동의사항과 그 밖의 선택적 동의사항을 구분하여 설명한 후 동의를 받아야 하며, 선택적 동의사항에 대해서는 동의하지 않을 수 있다는 사실을 구체적으로 알리고, 선택항목의 동의 거부에 따른 불이익은 없도록 하여야 한다. 금융분야에 종사하는 직원(개인정보취급자)들이 고객과 직접 대면하여 업무를 처리하는 과정에서 손쉽게 발생하는 위반사항이다.
- 위반사례 : 홈페이지 등에 의한 온라인 회원 가입 시 마케팅 목적을 별도로 동의받지 않고 필수항목과 함께 일괄 동의받은 경우
2. 목적 외 이용이나 제3자 제공 금지
- 법인은 개인신용정보를 제3자에게 제공 또는 수집목적 외로 이용 시 고객에게 동의를 받아야 한다.
- 특별한 규정이 있는 경우, 개인의 별도 동의를 받을 시 제3자에게 개인정보의 제공 또는 목적 외 이용이 허용된다.
- 예 : 신용정보 집중관리, 법원의 제출명령, 영장에 의한 제공 등과 같이 법률에서 예외를 두고 있는 경우에는 동의를 받지 않고 제공 가능 (신용정보법 제32조, 개인정보보호법 제18조)
- 개인정보취급자(직원)는 하기와 같은 사항에 해당되면 형사처벌이 부과된다.
- 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람에게 제공한 경우
- 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조, 유출하는 경우
3. 개인정보 처리업무 위탁 시 주의사항
- 개인정보 처리업무 "위탁"이란 자신(금융회사)의 목적이나 이익을 위해 외부의 제3자(수탁업체)에게 맡겨 처리하는것을 뜻한다.
- 개인정보 처리업무 위탁과 제3자 제공의 차이점
- 수탁업체에 맡겨 개인신용정보를 처리하는 경우 홈페이지 등에 위탁에 관한 사항(위탁하는 업무의 내용, 수탁자)을 공개해야 한다.
- 위탁업무의 목적과 범위, 재위탁 제한, 안전성 확보조치, 감독 및 손해배상 등의 내용이 포함된 문서에 의해야 한다. 특히 금융회사의 임직원은 개인신용정보 업무를 위탁&수탁하는 경우 계약서 작성과 같은 실무상의 절차가 누락되는 일이 없도록 주의를 기울여야 한다.
- 개인신용정보 처리 위탁&수탁 문서에는 하기의 내용들이 포함되어야 한다.
- 위탁업무 수행 목적 외에 개인정보 처리금지
- 위탁업무의 목적과 범위 및 재위탁 제한에 관한 사항
- 개인정보에 대한 접근 제한 등 안전성 확보조치에 관한 사항
- 위탁업무와 관련하여 보유하고 있는 개인정보 관리현황 점검 등 감독에 관한 사항
- 수탁자 준수의무 위반 시 손해배상 등 책임에 관한 사항
- 금융회사는 수탁업체에 대해 개인정보보호와 관련한 교육 및 감독을 강화해야 한다.
- 금보원에서는 수탁자에 대한 개인정보보호 교육프로그램을 운영 중, 프로그램 이수시 이수증을 발급받을 수 있다.
- 금융 회사의 위·수탁에 대해서는 ‘금융회사의 정보처리 및 전산설비 위탁에 관한 규정’(금융위원회 고시, 2013. 6월 제정)이 존재한다.
- 금융감독원의 금융회사 개인정보보호 실태점검 결과, 자주 발생하는 주요 위반사항으로 ‘개인정보 처리 위탁계약서’에 필수 기재사항을 누락하는 경우가 있다.
4. 개인정보 종이문서 관리 방법
- 금융회사는 개인정보 문서가 분실, 도난, 유출, 변조, 훼손되지 않도록 ‘내부관리계획’을 수립하고, 안전성 확보에 필요한 기술적, 관리적, 물리적 보호조치를 취해야 한다.
- ‘내부관리계획’이란 개인정보를 안전하게 처리하기 위해 금융회사의 내부의사 결정절차를 통해 수립 시행하는 내부기준을 말한다.
- 개인정보 처리에 관한 금융회사의 ‘개인정보 처리방침’을 마련하고, 정보주체(고객)가 쉽게 확인할 수 있도록 홈페이지 등에 공개해야 한다.
- ‘개인정보 처리방침'에는 종이문서 처리에 관한 사항도 함께 반영되어야 한다.
- 금융회사는 개인정보가 포함된 서류나 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관해야 하며, 특히 전산실이나 자료보관실 등 개인정보를 보관하는 장소를 별도로 두고 있는 경우에는 이에 대한 ‘출입통제 절차’를 수립, 운영해야 한다.
- 금융회사의 규모가 상대적으로 영세하고 장소도 협소하여 별도의 물리적 보관 장소가 없는 경우에도 최소한 잠금 장치가 있는 캐비닛이나 서류함 등에 별도 보관하는 등의 조치를 반드시 취해야 한다
5. 주민등록번호 암호화 등 안전한 관리
하나, 금융회사는 개인정보가 분실, 도난, 유출, 변조, 훼손되지 않도록 적절한 기술적, 관리적, 물리적 보안조치를 통해 개인정보를 안전하게 관리해야 한다.
1. 관리적 조치
- 내부관리계획 수립·시행
- 개인정보 취급자 교육도 실시
2. 기술적 조치
- 접근통제, 접근권한제한
- 개인정보 암호화
- 접속기록 보관, 위·변조 방지
- 보안프로그램 설치, 갱신
3. 물리적 조치
- 보관시설 마련 또는 잠금 장치 설치
둘, 금융회사의 개인정보취급자(직원)가 특히 주의해야 할 안전성 확보조치를 살펴보면, 먼저 임직원 PC에는 불필요한 개인정보 파일을 보관하지 말아야 하며, 업무상 불가피한 경우에는 암호화 등 안전성 확보조치를 하여 보관해야 한다.
- 위반사례 : 개인정보시스템에 대한 접근권한을 적절히 부여하지 않았거나, 업무용 PC에 고유식별정보가 수록된 파일을 내부 승인 없이 보유하고 있으면서 파일에 암호를 걸지 않은 경우
셋, 금융회사는 주민등록번호에 대한 암호화 또는 이에 상응하는 조치를 적용해 안전하게 관리해야 한다.
- ‘금융분야 개인정보보호 가이드라인’(2013. 8월 발표)에서는 주민등록번호 암호화 조치를 명확히 하였다.
넷, 2014년 8월부터 법령* 근거 없는 주민등록번호는 원칙적으로 수집, 이용, 보관 등이 전면 금지된다. (개인정보보호법 제24조의 2) 다만 아래의 경우에 해당될 때에만 예외적으로 주민등록번호를 계속 처리할 수 있다.
- 법령에서 구체적으로 주민등록번호 처리를 요구, 허용한 경우.
- 정보주체 또는 제3자의 급박한 생명, 신체, 재산상 이익을 위해 명백히 필요한 경우.
- 위에 준하여 주민등록번호 처리가 불가피한 경우로서 행정자치부령으로 정하는 경우. (다만 이 경우는 사회안전이나 질서유지를 위해 주민등록번호 처리가 불가피하고 주민등록번호 처리근거 법령이 없는 경우에 한함)
<참고> 금융회사의 주민등록번호 처리 허용 법률
- 금융실명거래 및 비밀보장에 관한 법률 제3조
- 금융회사는 거래자 실지명의로 금융거래를 하여야 함
- 특정 금융거래정보의 보고 및 이용 등에 관한 법률 제4조
- 금융회사는 불법재산 의심거래 등을 보고해야 하며, 그 보고와 관련한 자료(금융거래 상대방의 실지명의 확인자료 등)를 5년간 보존해야 함
다섯, 금융분야의 주민등록번호는 다른 산업분야와 달리 주민등록번호의 수집 및 이용이 불가피한 측면이 있다.
- 수집방식 (참고: 금융분야 개인정보 유출 재발방지 종합대책, 2014.3)
- 최초의 거래 시작 시 등 법령상 주민등록번호의 처리 근거가 있는 경우에만 수집.
- 법령상 주민등록번호의 처리 근거가 없는 경우에는 주민등록번호를 수집하지 않음.
- 보관방식: 2016년 1월 1일부터 개인정보 보호법 제24조의 2, 시행령 제21조의 2에 따라, 주민번호의 전자적 보관 시에는 반드시 암호화해야 하는 것이 법정의무가 되었음.
- 책임강화: 금융회사가 주민등록번호를 불법 활용 또는 유출한 경우에는 일반 개인정보 유출 시보다 엄격한 제재가 가해질 수 있음.
6. 불필요한 개인정보 지체 없이 파기
- 금융회사는 보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 더 이상 불필요하게 되었을 때에는 개인정보를 지체 없이 파기해야 한다.
- 위반사례 : 제휴업체로부터 고객의 마케팅 활용 동의를 받고 수집한 보험 가망고객 정보를 계약기간이나 동의기간이 경과하였음에도 파기하지 않고 DB에 보유하거나 마케팅에 활용한 경우
- 금융회사가 개인정보를 계속 보존할 필요성이 있는지의 여부는 개인정보의 수집 목적, 보유 기간, 수사 및 소송 대응, 분쟁 및 민원 처리, 금융 감독 검사 등과 관련한 법 규정을 종합적으로 고려해서 객관적으로 판단해야 한다.
- 개인정보가 기재된 종이문서는 물리적으로 파쇄하거나 소각하는 방법으로 해당 개인정보를 완전히 파기해야 한다. 즉 파기한 개인정보의 복원이 불가능해야 한다.
- 금융회사는 개인정보 파기에 관한 사항을 기록, 관리해야 하고, 파기 절차는 해당 금융회사의 개인정보보호책임자의 책임과 감독 하에 수행되어야 한다.
- 종이문서철에 기재된 개인정보의 파기 시점
- 종이문서철을 통해 보관 중인 개인정보는 각각의 개인정보를 선택적으로 파기하는 것이 현저히 곤란하므로, 종이문서철은 분기 또는 반기 단위로 별도 점검 및 파기절차를 마련하고, 이를 개인정보 처리방침과 내부관리계획에 반영하여 시행할 수 있다.
- 개인정보 파기를 외부 수탁업체에 위탁하는 경우에도 역시 문서에 의해야 하며, 위탁하는 파기 업무의 내용 및 수탁자를 인터넷 홈페이지에 공개하는 등의 조치를 취해야 합니다. 다만 예외적인 경우로서, 단기간에 개인정보 폐기작업 및 위탁계약이 종료되는 1회성 위탁의 경우에는 공개를 생략할 수도 있다.
7. 개인정보 유출사고 시 대응 조치
- 금융회사에서 개인정보 유출사고가 발생한 경우에는 해당 정보 유출로 인한 2차적인 피해의 확산방지와 예방을 위해 적절한 조치를 취할 필요가 있다.
- 개인정보가 유출된 경우에는 원칙적으로 ‘5일 이내에’ 정보주체에게 다음의 사실을 서면, 전자우편, 팩스, 전화, 문자전송(SMS) 등의 방법을 통해 통지해야 한다.
- 유출된 개인정보 항목
- 유출 시점 및 경위
- 유출로 인해 발생할 수 있는 피해 최소화를 위해 정보주체가 할 수 있는 방법 등의 정보
- 개인정보처리자(금융회사)의 대응조치 및 피해구제 절차
- 정보주체(고객)에게 피해가 발생할 수 있는 경우 신고 등을 접수할 수 있는 금융회사의 담당부서 및 연락처
- 금융회사가 개인정보 유출확산 방지를 위하여 조치가 필요한 경우에는 유출 통지를 연기할 수 있다.
- 만약 1만 명 이상의 개인정보가 대량 유출된 경우에는 정보주체 통지와 더불어서, 5일 이내에 행정자치부 또는 한국인터넷진흥원(KISA)에 상기 통지사항 및 피해최소화를 위한 조치결과를 반드시 신고해야 한다. 또한 관련 내용을 금융감독원 개인정보보호 담당부서에도 동시에 고지해야 한다는 것을 유의해야 하며, 만약 유출 사고가 ‘금융회사 검사 및 제재에 관한 규정’ 제41조(금융사고), ‘전자금융 감독규정’ 제73조(정보기술부문 및 전자금융 사고보고)에 해당하는 경우에는 반드시 금융위원회 또는 금융감독원 보고가 병행되어야 한다.
- 금융회사는 신용정보가 업무 목적 외로 누설되었음을 알게 된 때에는 지체 없이 고객에게 알려야 하며, 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 합니다. 또한 1만 명 이상의 신용정보가 누설된 경우 금융위원회 및 금융감독원에 신고하여야 한다.
C. 사례를 통해 본 개인정보보호
1. 본인 동의 없이 개인정보를 수집하는 경우
- 금융회사가 채권추심 업무를 하기 위하여 신용정보법 등 관련 법률에 따라 특정인의 소재 및 연락처를 알아내는 경우, 보험금 청구를 위해 당초의 보험계약에 따라 보험금을 지급하는 경우 등은 정보주체(고객)의 동의가 없어도 개인정보를 수집·이용할 수 있다.
- 이러한 경우에도 당초의 업무목적 범위에 따라 필요 최소한으로 개인정보를 수집해야 하고 불필요한 개인정보 수집이 발생하지 않도록 유의해야 한다.
- 마케팅 목적의 개인정보 수집 등에 대해서는 별도의 동의가 필요하며 이를 강요할 수 없다.
2. CCTV를 통해 고객 영상을 촬영하는 경우
- CCTV 설치·운영은 법령에서 정해진 경우, 범죄예방·수사, 시설안전 및 화재예방 등의 목적으로만 설치 운영되어야 한다.
- 안내판 설치 안내 및 영상정보 열람·제공 내역 기록 등 관리조치가 반드시 시행되어야 한다.
목적 / 장소 | 금융사고 및 범죄, 화재예방, 시설안정 / 건물안쪽 |
촬영범위 | 금고내부 전체(자동화기기 포함) |
촬영시간 | 24시간 연속촬영 및 녹화 |
관리책임자 | XXX(Tel : 123-123-123) |
- 금융회사의 경우에는 ATM기 등에서 고객의 계좌번호, 비밀번호 등 불필요한 영상정보를 촬영, 보관해서는 안 된다.
3. 만 14세 미만 아동이 계좌를 개설하는 경우
- 만 14세 미만 아동이 금융회사에 계좌를 개설하려는 경우에는 원칙적을 원칙적으로 부모 등의 법정대리인 승낙이 있어야 한다. (금융위원회 및 금융감독원 지도사항). 또한 개인정보 처리에 대해서는 해당 법정 대리인의 동의가 있어야 한다. (개인정보보호법 제22조)
- 금융실명거래법에 따른 실명확인 의무가 있는 계좌 개설 시에는 연령과 관계없이 ‘개인정보 처리에 대해 정보주체 동의가 필요 없는 경우’에 해당하므로, 이 경우에는 동의서를 청구할 필요가 없다.
4. 법인등기부등본에 기재된 정보를 수집하는 경우
- 법인등기부등본 등에 기재된 법인 대표자 및 대리인의 정보는 해당 법인에 대한 정보로 볼 수 있으므로 이러한 정보를 수집 이용하는 경우에는 별도 동의서를 청구할 필요는 없다.
- 법인등기부등본 상의 법인 대표자의 정보를 해당 법인의 정보로서가 아니라 ‘자연인의 개인정보’로 처리하는 경우도 있을 수 있다. (해당 정보로 증권회사의 상품 등을 홍보하거나 구매를 권유하는 경우 등) 이때에는 정보주체의 동의를 받는 등 개인정보보호법이 정하는 바에 따라 개인정보를 수집·이용해야 한다.
5. 보험 가입 설계를 위해 개인정보를 수집하는 경우
- 일반적으로 생명보험, 손해보험 등의 가입 설계를 위해서는 주민등록번호 및 사고경력, 병력 등의 정보 수집 이용이 필요하다. 신용정보법은 질병 정보를 수집 조사하는 경우 개인의 동의를 받도록 하고 있으며, 이 경우에도 보험계약 및 보험금 지급업무와 관련한 목적으로 이용하도록 하고 있다. 따라서 보험 상담 및 보험가입 설계를 위해 개인정보를 수집하는 경우에는 개인정보 처리에 대해 동의를 받아야 한다.
- 보험회사가 보험 가입계약 체결 이후에, 보험업 법에 따라 보험수익자 지정, 변경에 관한 사무를 수행하는 경우에는 해당 사무 수행의 범주 내에서 민감정보(건강정보), 고유식별정보(주민등록번호 등)를 동의 없이 처리할 수 있다.
'금융 보안 교육 > 2024년' 카테고리의 다른 글
금융 보안 교육 - 금융회사 임직원이 준수해야 하는 금융 IT 내부통제 (3) | 2024.09.13 |
---|---|
금융 보안 교육 - 내부정보 유출방지를 위한 자가수준진단 및 준수사항 (1) | 2024.09.12 |
금융 보안 교육 - 실무자를 위한 금융권 정보보호 상시평가 업무 이해 (2) | 2024.09.11 |
금융 보안 교육 - 제로 트러스트 보안 모델과 금융권 대응 방안 (1) | 2024.09.10 |
금융 보안 교육 - 안전한 소프트웨어를 위한 시큐어 코딩의 이해 (2) | 2024.09.06 |