이 누리집은 대한민국 공식 전자정부 누리집입니다.
1.추진배경
□ 금융위원회와 금융감독원은 금융회사의 개인정보 보호업무를 지원하고, 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) 및 개인정보 보호법 등 개인정보보호 관련 법률에 따른 명확한 업무 처리기준을 제시하기 위하여
금융분야 개인정보보호 가이드라인을 발간(‘13.7월)하고 지속적으로 지도하여 왔음
□ 이후 금융회사의 개인정보 유출사고 재발방지를 위해 한층 강화된 신용정보법이 개정·시행되어 개인신용정보 동의방식 개선, 개인신용정보 보유기간 제한 등 다양한 제도가 새로이 도입·운영됨
이러한 제도들이 차질없이 시행될 수 있도록 금융감독원 및 8개 금융협회가 실무전담반*을 구성운영하여 가이드라인 개정안을 마련하였으며 금융위원회, 행정자치부와 협의하여 최종안을 확정하였음
* 은행·여신·금투협회, 생보·손보협회, 저축은행중앙회, 신용정보·대부협회
2.주요 개정내용
‘14년 이후 개인정보보호 관련 법령 개정사항 반영
(신용정보법) 개인신용정보의 수집제공시 필수와 선택 동의사항을 구분하여 설명한 후 동의 받도록 동의방식 개선 등
(개인정보보호법) 법령상 적법한 근거가 있는 경우에만 주민등록번호를 처리할 수 있도록 하고, 보관시에는 암호화 등을 통해 보안성 강화
< 개정 신용정보법 주요 반영사항 >
|
내용 |
관련법규 |
시행일 |
|
1. 개인신용정보 처리시 수집 최소화 원칙 등 도입 |
법§15 |
’15.9.12. |
|
2. 개인신용정보 수집·조사 및 처리 위탁시 암호화 등 안전확보 조치 강화 및 수탁자 교육 의무화 등 |
법§17,시행령§14 |
’15.9.12,’16.3.29. |
|
3. 일정규모 이상의 신용정보 제공·이용자의 경우 신용정보 관리·보호 전담 임원 지정 의무화 |
법§20③ |
’15.9.12. |
|
4. 거래관계 종료시 최장 5년 이내 개인신용정보의 파기 및 분리보관 의무화 |
법§20의2 |
’16.3.12. |
|
5. 개인정보 활용 동의시, 필수적·선택적 정보의 구분 동의 |
법§32④,⑤ |
’16.3.12. |
|
6. 정보주체의 본인 정보 이용·제공 사실에 대한 조회 시스템 구축 의무화 |
법§35①,시행령§30 |
’16.3.12,’16.3.29. |
|
7. 정보주체의 본인 정보 삭제 요구권 신설 |
법§38의3② |
’16.3.12. |
|
8. 신용정보 유출사고 대응 메뉴얼 마련 의무 |
법§39의2② |
’15.9.12. |
|
9. 마케팅 용도로 신용정보 활용시 별도 사전동의 의무화 |
법§40 |
’15.9.12. |
|
10. 모집업무 위탁시, 수탁자 정보 취득경위 및 불법 취득여부 확인 의무화 |
법§41의2 |
’15.9.12. |
< 개정 개인정보 보호법 주요 반영사항 >
|
내용 |
관련법규 |
시행일 |
|
1. 민감정보 및 고유식별정보 처리시 안전성 확보 조치 강화 |
법§23 및 §24 |
’15.7.24, ’16.9.30. |
|
2. 법률의 근거가 있는 경우 등으로 주민등록번호 처리범위 제한 |
법§24의2 |
’15.7.24, ’16.9.30. |
|
3. 주민등록번호 처리시 암호화 의무 강화 |
법§24의2 및 시행령§21의2 |
’16.1.1. |
|
4. 개인정보의 안전성 확보조치 의무 강화 |
법§29 및 고시 |
’15.2.13. |
|
5. 개인정보보호 책임자 지정 요건 강화(정보보안 전문가→임원) |
시행령§32 |
’16.7.22. |
개인(신용)정보 보호업무 기준 명확화 및 판례사례 제공
(법률적용) 개인정보보호법·신용정보법 등 개인정보 보호 관련 법률간 적용관계를 명확히 제시
- 개인 정보의 수집·이용·제공 등 구체적인 처리단계별로 우선 적용규정을 상세 설명
* (예) ① 개인신용정보 수집→신용정보법 제15조 및 제16조 적용
그 밖의 개인정보 수집→개인정보보호법 제15조 적용
② 개인신용정보 처리업무 위탁→신용정보법 제17조 적용
그 밖의 개인정보 처리업무 위탁→개인정보보호법 제26조 적용
※ 신용정보법 및 개인정보 보호법 적용 관계
|
구분 |
개인신용정보 (신용정보법) |
개인정보 (개인정보 보호법) |
|
수집 |
법 §15, §16 |
법 §15 |
|
이용 |
법 §32③④, §33, §34 |
법 §15, §18 |
|
제공 |
법 §32, §34 |
법 §17, §18 |
|
고유식별정보 처리 |
(수집)법 §15, (이용·제공)법 §32~§34 |
법 §24 |
|
민감정보 처리 |
(수집)법 §16, (이용·제공)법 §32~§34 |
법 §23 |
|
위탁 |
법 §17 |
법§26 |
|
이전 |
법 §32 |
법§27 |
|
안전성 조치 |
법 §19 |
법 §18⑤,§23②,§24③,§25⑥,§29 |
|
신용정보활용체제, 개인정보처리방침 |
법 §31 |
법 §30 |
|
신용정보관리·보호인, 개인정보 보호책임자 |
법 §20 |
법 §31 |
|
파기(삭제) |
법 §20의2 |
법 §21 |
|
정보주체의 권리보장 |
법 §35, §37, §38, §38의2, §38의3 |
법 §35~§39 |
|
유출(누설) 신고 및 통지 |
법 §39의2 |
법 §34 |
(판례해석) 업무 담당자가 실무에 참고할 수 있도록 관련 판례, 유권해석 및 해설서 내용* 등을 수록
* 개인신용정보 정의 관련 판례, 개인정보의 안전성 확보조치 기준 해설서 Q&A 등
< 가이드라인 내 판례 예시 >
|
【참고】 개인신용정보 정의 관련 참고 판례 발췌 : <서울고등법원 2010. 5. 10. 자 2009라1941 결정> 「신용정보의 이용 및 보호에 관한 법률」 ··· 등 관련규정을 종합하면, 개인신용정보를 타인에게 제공하기 위하여는 ··· 일반적·포괄적 동의가 아니라 구체적·개별적 동의로 해석되고, (이하 생략) |
(세부기준) 금융회사의 업무특성을 감안하여 개인신용정보의 수집이용제공삭제 등의 이행방법에 대해 구체적인 사례를 통하여 세부기준 제공
< 가이드라인 내 세부기준 예시 >
|
금융거래 등 상거래 관계 종료 판단 참고기준 및 예시
- 해당 신용정보주체에 대한 채권을 매각하는 등 모든 채권·채무관계가 종료된 시점 - 해당 신용정보주체와 금융회사간의 모든 금융거래가 종료되거나 회원 탈회된 시점 - 해당 신용정보주체의 모든 보험계약 해지 또는 보험기간이 만료된 시점 - 해당 신용정보주체의 모든 계좌가 폐쇄된 시점 - 그 밖에 해당 신용정보주체가 회원을 탈퇴하거나 거래종료된 시점 등
개인신용정보의 분리보관 및 삭제 방법
□ 신용정보법 제20조의2에 따라, 금융거래 등 상거래가 종료된 개인신용정보는 2단계에 걸쳐 분리보관 또는 삭제하여야 함
□ 개인신용정보 관리방법
o (1단계) 현재 거래중인 고객의 정보와 접근권한을 분리하는 등 보안통제를 강화*하여 운영
* 같은 Table일 경우 일반 직원의 조회를 차단하거나 접근권한이 강화된 별도의 DB 또는 Table로 관리하고, 접근권한 관리책임자를 지정하여 접근권한을 통제기록 보존
(이하 생략) |
금융권 개인(신용)정보보호 관련 질의사항 반영
그간 금융회사가 개인(신용)정보 보호업무와 관련하여 문의가 많았던 사항을 정리하여 Q&A 수록(총 82개)
< 가이드라인 내 Q&A 예시 >
|
【Q1-1】 신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’)상 개인신용정보의 정의에 금융실명거래 및 비밀보장에 관한 법률(이하 ‘금융실명법’) 제4조제1항에 따른 “금융거래정보”가 포함되는지요 |
|
(관련조문) 신용정보법 제2조 제2호, 금융실명법 제4조 제1항 |
|
【A】 네, 포함됩니다. 다만, 금융실명법에서 구체적으로 정하는 사항에 대해서는 금융실명법이 신용정보법보다 우선하여 적용되며, 개인신용정보보호, 개인신용정보 처리위탁 및 분리보관 등 금융실명법에서 규율하지 않는 것은 신용정보법을 적용합니다. |
|
【Q2-3】 회사 직원이 과거 거래정보 조회 등을 통해 수집한 개인신용정보를 이용하여 보험을 정보주체와 협의 없이 몰래 가입시켰을 시, 법률 위반 사항이 있나요 있다면 어떻게 되나요 |
|
(관련조문) 신용정보법 제33조, 개인정보 보호법 제15조 및 제18조 |
|
【A】 신용정보법 제33조에 따라, 신용정보주체가 신청한 금융거래 등 상거래관계의 설정 및 유지 여부 등을 판단하는 목적이 아닌 다른 목적으로 이용했을 시에는 같은 조 및 개인정보 보호법 제18조 위반이라고 판단됩니다.
* 개인정보 보호법 제15조에 따라 개인정보 수집시 수집 목적 범위에서 이용 가능하며, 목적을 넘어가는 범위로 이용하는 경우 같은 법 제18조 위반사항임 |
|
【Q2-5】개인정보 수집 이용에 대하여 기 동의한 고객이 전화를 걸어왔을 때, 전화기에 표시되는 발신번호가 기존 등록된 정보와 상이한 경우 추가적인 동의절차 없이 이 번호로 현행화 가능한지요 |
|
(관련조문)개인정보 보호법 제3조, 제15조 |
|
【A】개인정보 보호법 제3조에 따라 개인정보처리자는 처리 목적에 필요한 범위에서 개인정보의 정확성완전성최신성이 보장되도록 하여야 합니다.따라서, 당초 전화번호 등의 처리에 대하여 동의한 고객이라면 개인정보처리자가 발신자번호 표시 기능을 통해 새로 알게 된 전화번호로 고객 전화번호를 현행화하여 관리하는 것은 가능합니다.다만, 전화기에 표시되는 발신자번호가 실제 고객이 사용하는 전화번호가 아닐 수 있으므로 해당 고객에게 전화번호의 최신성 여부를 확인한 후 향후 이 번호로 현행화하겠다는 내용을 알려야 할 것입니다. |
|
【Q3-2】 업무제휴에 의하여 개인정보를 주고받는 제휴업체(카드사, 공동 마케팅사 등)와 금융회사의 관계를 위탁 관계로 볼 수 있는지요 |
|
(관련조문) 신용정보법 제17조 및 제32조, 개인정보 보호법 제17조, 제18조 및 제26조 |
|
【A】제휴업체는 통상적으로 각자의 업무 목적을 위해 개인정보를 처리하는 자에 해당하므로 금융회사와 위탁관계가 아니라 제3자 제공으로 보아야 합니다.
※ 개인정보 보호법 제26조에 따른 개인정보 처리 업무의 위탁은 기관 내부의 업무를 외부의 제3자에게 위탁하여 이를 대신 처리토록 하는 일종의 아웃소싱(Outsourcing)을 말하는 것임 |
3.향후추진계획
□ 개정된 금융분야 개인정보보호 가이드라인을 배포*(‘17.2월)하여 금융회사의 개인정보 관련 법률 이해도를 제고하고 자체적으로 법률을 준수하도록 안내지도함으로써
금융소비자의 개인정보가 안전하게 수집처리관리될 수 있는 신뢰감 있는 금융거래 환경 마련
* 각 업권별 협회를 통하여 인쇄책자를 배포하고 금융감독원 홈페이지에도 전자파일을 게시
|
(다운로드 방법)
☞ 금융감독원 홈페이지(http://www.fss.or.kr) - 업무자료 - 공통 - 개인정보보호
☞ 개인정보보호 포털(http://www.privacy.go.kr) - 자료마당 - 참고자료 |
□ 향후 동 가이드라인에 법령 개정사항 등을 지속적으로 반영하여 금융회사가 개인(신용)정보보호를 위해 준수해야 할 제도 등을 안내할 예정
<참고> 금융분야 개인정보보호 가이드라인 목차