1. 추진 배경
□ IT기술의 발달로 전 세계적으로 금융회사의 다양한 정보처리 및 관련 전산설비의 상당부분이 위탁* 운영되는 추세지만,
* 제3자의 용역 또는 시설을 ‘위탁회사‘를 위해 계속적으로 사용하는 것으로, 수탁자를 위한 목적으로 정보를 이용하는 ‘제공’과는 구분
ㅇ국내에서는 여타 위탁과 마찬가지로 일반 규정*에 따라 위탁이 이루어지면서 외부 전산설비의 이용 필요성 등이 충분히 고려되지 못한다는 지적이 제기
* 금융기관의 업무위탁 등에 관한 규정
□ 또한 한-EU, 한-미 FTA 체결*에 따라 금융회사의 일상적인 자료처리(data processing)를 위해 필요한 정보의 해외 이전 방안 검토 필요
* 협정문상 유보조항에 따라 한·EU FTA 발효(‘11.7.1) 후 2년내(’13.6.30), 한·미 FTA도 발효(‘12.3.15) 후 2년내(’14.3.14) 정보이전을 허용
ㅇ다만, 협정문상 우리 정부는 개인정보 보호와 감독가능성 확보를 위해 일정한 요건*을 고려하여 정보 이전을 제한할 수 있음
* ①소비자의 민감정보 보호, ②민감정보의 무단재사용 금지, ③감독당국의 접근권 ④기술설비의 위치에 대한 요건 등
□ 이를 위해 금융위원회는 민간전문가 TF 및 관계부처간 협의*를 통해 정보처리 업무 위탁을 위한 구체적 방안을 검토하여왔으며,
* 금융위, 안행부, 외교부, 기재부, 금감원, 각 업권협회, 학계, 법조계 등
ㅇ현행 법령의 허용범위 안에서, 「금융회사의 정보처리 및 전산설비의 위탁에 관한 규정」을 신설하여, 구체적 위탁 절차와 방법을 규정*하고자 함
* 위탁 허용범위 및 절차, 이에 따른 금융이용자 보호 및 감독권한의 유지 등
2. 주요 내용
1. 위탁 허용범위 및 절차
□ 국‧내외 금융회사 모두 정보처리 업무의 제3자 위탁을 허용하되,
ㅇ 국외에 위탁할 경우에는 이용자 보호 및 감독가능성 확보를 위해 위탁 금융회사의 본점 및 계열사에 한해 위탁을 허용
□ 관련 법령에서 위탁이 금지되는 경우 또는 관련법령상 제재이력이 있는 경우*에는 정보처리 업무의 위탁을 제한하며,
* 금융이용자의 정보관리, 감독관련 자료 제출 등 검사와 관련한 사항으로 제재(기관경고 이상 또는 300만원 이상의 과태료‧과징금)를 2회 이상 받은 경우
ㅇ 위탁 이후의 감독가능성 확보 및 이용자 보호를 위해 위‧수탁 회사간 계약에 표준계약내용*을 의무적으로 사용토록 함
<표준계약내용 주요사항>
정보주체의 권리, 감독당국에의 협조, 위탁사항의 재위탁 및 제3자에 대한 정보이전 금지, 위‧수탁회사간의 연대 책임, 해외위탁시 국내 재판관할 등
□ 금융회사는 정보처리 업무를 위탁할 경우 사전적으로 제7영업일 이전에 금융감독원장에게 보고*해야 하며,
* 현행 「금융기관의 업무 위탁 등에 관한 규정」과 동일
ㅇ 금융감독원장은 위탁내용이 관계법령에 적합하지 아니할 경우 자료보완 요구 및 변경권고를 할 수 있음
2. 위탁되는 정보의 보호
□ 정보처리 업무가 위탁되더라도, 개인정보보호법, 금융실명법, 신용정보법 등 모든 관련법상의 보호조치*를 이행해야 하며,
* 실명법 등 일체의 법령 개정없이 현행 법령상의 모든 안전성 확보 조치를 다하도록 규정(정보처리시 사전 동의, 개인정보의 암호화 등 기술적‧관리적‧물리적 보호조치)
ㅇ 특히 개인고객의 주민번호는 이러한 안전성 확보 조치와 별도로 국외로의 이전 자체를 금지
□ 정보처리 위탁시 적용되는 안전성 확보조치 등에 대해서는 홈페이지 등에 공시하도록 하고,
ㅇ 특히 국내‧외를 불문하고 민감정보의 처리를 위탁할 경우에는 정보주체에 대해 별도로 고지하는 추가적 절차를 의무화*
<정보위탁 관련 보호조치>
1. (수집‧이용등) 처리시 정보주체의 동의 (개인정보보호법 §15, 23)
2. 암호화 등 안전성 확보조치(개인정보보호법 §29)
3. 민감정보가 위탁처리된다는 내용의 별도 고지(신설 규정)
4. 개인고객의 주민번호는 해외 이전금지(신설 규정)
3. 전산설비의 국외위탁
□ 금융회사는 정보처리 관련 설비를 금융위 승인을 얻어 국외의 본점 또는 계열사에 한해 위탁이 가능하나
ㅇ 금융이용자 보호 및 감독기능 수행을 위해 필요한 금융거래 원장 등 주요 설비에 대해서는 위탁을 제한*할 수 있음
* 현행 전산실 및 재해복구센터의 국내소재 요건도 유지(전자금융감독규정 §11)
<국외 위탁불가 전산설비>
1. 금융이용자의 보호 및 금융감독 목적상 필요한 금융거래 관련 원장 (다만, 금융이용자군 및 취급상품의 특성상 국경간 이동서비스가 불가피하다고 인정되는 업무를 처리하는 설비는 제외)
2. 금융이용자에 대한 서비스와 직접적으로 관련이 있는 업무를 처리하는 설비
3. 국내 외부기관과 연결되어 있어 해외에 두기 부적합한 전산설비
4. 해외에 두는 경우 금융이용자에 대한 서비스 품질, 보안성 및 재해 복구 시간 등 관련 법령에서 정한 요건을 준수하지 못하게 되는 전산설비
5. 상기 각 호의 전산설비를 지원하는 데이터 네트워킹 기반 시설 및 IT 보안설비
*자세한 내용은 첨부파일을 참고하시기 바랍니다.