주메뉴 바로가기 본문 내용 바로가기

eg(전자정부)이 누리집은 대한민국 공식 전자정부 누리집입니다.

「금융분야 개인정보보호 가이드라인」을 개정하였습니다.
2017-02-27 조회수 : 54461
담당부서신용정보팀 담당자오유정 사무관 연락처2100-2621

1.추진배경

금융위원회와 금융감독원은 금융회사의 개인정보 보호업무를 지원하고, 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법)개인정보 보호법개인정보보호 관련 법률에 따른 명확한 업무 처리기준을 제시하기 위하여

 

금융분야 개인정보보호 가이드라인을 발간(‘13.7월)하고 지속적으로 지도하여 왔음

 

이후 금융회사의 개인정보 유출사고 재발방지를 위해 한층 강화된 신용정보법이 개정·시행되어 개인신용정보 동의방식 개선, 개인신용정보 보유기간 제한 다양한 제도가 새로이 도입·운영

 

 이러한 제도들이 차질없이 시행될 수 있도록 금융감독원 및 8개 금융협회가 실무전담반*을 구성운영하여 가이드라인 개정안을 마련하였으며 금융위원회, 행정자치부와 협의하여 최종안을 확정하였음

 

* 은행·여신·금투협회, 생보·손보협회, 저축은행중앙회, 신용정보·대부협회

 

2.주요 개정내용

 ‘14년 이후 개인정보보호 관련 법령 개정사항 반영

 

 (신용정보법) 개인신용정보의 수집제공시 필수와 선택 동의사항을 구분하여 설명한 후 동의 받도록 동의방식 개선 등

 

 (개인정보보호법) 법령상 적법한 근거가 있는 경우에만 주민등록번호를 처리할 수 있도록 하고, 보관시에는 암호화 등을 통해 보안성 강화

 

< 개정 신용정보법 주요 반영사항 >

내용

관련법규

시행일

1. 개인신용정보 처리시 수집 최소화 원칙 등 도입

법§15

’15.9.12.

2. 개인신용정보 수집·조사 및 처리 위탁시 암호화 등 안전확보 조치 강화 및 수탁자 교육 의무화 등

법§17,시행령§14

’15.9.12,’16.3.29.

3. 일정규모 이상의 신용정보 제공·이용자의 경우 신용정보 관리·보호 전담 임원 지정 의무화

법§20③

’15.9.12.

4. 거래관계 종료시 최장 5년 이내 개인신용정보의 파기 및 분리보관 의무화

법§20의2

’16.3.12.

5. 개인정보 활용 동의시, 필수적·선택적 정보의 구분 동의

법§32④,⑤

’16.3.12.

6. 정보주체의 본인 정보 이용·제공 사실에 대한 조회 시스템 구축 의무화

법§35①,시행령§30

’16.3.12,’16.3.29.

7. 정보주체의 본인 정보 삭제 요구권 신설

법§38의3②

’16.3.12.

8. 신용정보 유출사고 대응 메뉴얼 마련 의무

법§39의2②

’15.9.12.

9. 마케팅 용도로 신용정보 활용시 별도 사전동의 의무화

법§40

’15.9.12.

10. 모집업무 위탁시, 수탁자 정보 취득경위 및 불법 취득여부 확인 의무화

법§41의2

’15.9.12.

 

< 개정 개인정보 보호법 주요 반영사항 >

내용

관련법규

시행일

1. 민감정보 및 고유식별정보 처리시 안전성 확보 조치 강화

법§23 및 §24

’15.7.24, ’16.9.30.

2. 법률의 근거가 있는 경우 등으로 주민등록번호 처리범위 제한

법§24의2

’15.7.24, ’16.9.30.

3. 주민등록번호 처리시 암호화 의무 강화

법§24의2 및 시행령§21의2

’16.1.1.

4. 개인정보의 안전성 확보조치 의무 강화

법§29 및 고시

’15.2.13.

5. 개인정보보호 책임자 지정 요건 강화(정보보안 전문가임원)

시행령§32

’16.7.22.

 

 개인(신용)정보 보호업무 기준 명확화 및 판례사례 제공

 

 (법률적용) 개인정보보호법·신용정보법 등 개인정보 보호 관련 법률간 적용관계를 명확히 제시

 

- 개인 정보의 수집·이용·제공 등 구체적인 처리단계별로 우선 적용규정상세 설명

 

* (예) ① 개인신용정보 수집신용정보법 제15조 및 제16조 적용

그 밖의 개인정보 수집개인정보보호법 제15조 적용

② 개인신용정보 처리업무 위탁신용정보법 제17조 적용

그 밖의 개인정보 처리업무 위탁개인정보보호법 제26조 적용

 

※ 신용정보법 및 개인정보 보호법 적용 관계

구분

개인신용정보

(신용정보법)

개인정보

(개인정보 보호법)

수집

법 §15, §16

법 §15

이용

법 §32③④, §33, §34

법 §15, §18

제공

법 §32, §34

법 §17, §18

고유식별정보 처리

(수집)법 §15,

(이용·제공)법 §32~§34

법 §24

민감정보 처리

(수집)법 §16,

(이용·제공)법 §32~§34

법 §23

위탁

법 §17

법§26

이전

법 §32

법§27

안전성 조치

법 §19

법 §18⑤,§23②,§24③,§25⑥,§29

신용정보활용체제, 개인정보처리방침

법 §31

법 §30

신용정보관리·보호인, 개인정보 보호책임자

법 §20

법 §31

파기(삭제)

법 §20의2

법 §21

정보주체의 권리보장

법 §35, §37, §38, §38의2, §38의3

법 §35§39

유출(누설) 신고 및 통지

법 §39의2

법 §34

 

 

 (판례해석) 업무 담당자가 실무에 참고할 수 있도록 관련 판례, 유권해석 및 해설서 내용* 등을 수록

 

* 개인신용정보 정의 관련 판례, 개인정보의 안전성 확보조치 기준 해설서 Q&A 등

 

< 가이드라인 내 판례 예시 >

 

【참고】 개인신용정보 정의 관련 참고 판례 발췌 : <서울고등법원 2010. 5. 10. 자 2009라1941 결정>

신용정보의 이용 및 보호에 관한 법률」 ··· 등 관련규정을 종합하면, 개인신용정보를 타인에게 제공하기 위하여는 ··· 일반적·포괄적 동의가 아니라 구체적·개별적 동의로 해석되고, (이하 생략)

 

 (세부기준) 금융회사의 업무특성을 감안하여 개인신용정보의 수집이용제공삭제 등의 이행방법에 대해 구체적인 사례를 통하여 세부기준 제공

 

< 가이드라인 내 세부기준 예시 >

금융거래 등 상거래 관계 종료 판단 참고기준 및 예시

 

- 해당 신용정보주체에 대한 채권을 매각하는 등 모든 채권·채무관계가 종료된 시점

- 해당 신용정보주체와 금융회사간의 모든 금융거래가 종료되거나 회원 탈회된 시점

- 해당 신용정보주체의 모든 보험계약 해지 또는 보험기간이 만료된 시점

- 해당 신용정보주체의 모든 계좌가 폐쇄된 시점

- 그 밖에 해당 신용정보주체가 회원을 탈퇴하거나 거래종료된 시점 등

 

개인신용정보의 분리보관 및 삭제 방법

 

신용정보법 제20조의2에 따라, 금융거래 등 상거래가 종료된 개인신용정보는 2단계에 걸쳐 분리보관 또는 삭제하여야 함

 

개인신용정보 관리방법

 

o (1단계) 현재 거래중인 고객의 정보와 접근권한을 분리하는 등 보안통제를 강화*하여 운영

 

* 같은 Table일 경우 일반 직원의 조회를 차단하거나 접근권한이 강화된 별도의 DB 또는 Table로 관리하고, 접근권한 관리책임자를 지정하여 접근권한을 통제기록 보존

 

(이하 생략)

 

 

 

금융권 개인(신용)정보보호 관련 질의사항 반영

 

 그간 금융회사가 개인(신용)정보 보호업무와 관련하여 문의가 많았던 사항을 정리하여 Q&A 수록(총 82개)

 

< 가이드라인 내 Q&A 예시 >

【Q1-1】 신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’)상 개인신용정보의 정의에 금융실명거래 및 비밀보장에 관한 법률(이하 ‘금융실명법’) 제4조제1항에 따른 “금융거래정보”가 포함되는지요

(관련조문) 신용정보법 제2조 제2호, 금융실명법 제4조 제1항

【A】 네, 포함됩니다. 다만, 금융실명법에서 구체적으로 정하는 사항에 대해서는 금융실명법이 신용정보법보다 우선하여 적용되며, 개인신용정보보호, 개인신용정보 처리위탁 및 분리보관 등 금융실명법에서 규율하지 않는 것은 신용정보법을 적용합니다.

【Q2-3】 회사 직원이 과거 거래정보 조회 등을 통해 수집한 개인신용정보를 이용하여 보험을 정보주체와 협의 없이 몰래 가입시켰을 시, 법률 위반 사항이 있나요 있다면 어떻게 되나요

(관련조문) 신용정보법 제33조, 개인정보 보호법 제15조 및 제18조

【A】 신용정보법 제33조에 따라, 신용정보주체가 신청한 금융거래 등 상거래관계의 설정 및 유지 여부 등을 판단하는 목적이 아닌 다른 목적으로 이용했을 시에는 같은 조 및 개인정보 보호법 제18조 위반이라고 판단됩니다.

 

* 개인정보 보호법 제15조에 따라 개인정보 수집시 수집 목적 범위에서 이용 가능하며, 목적을 넘어가는 범위로 이용하는 경우 같은 법 제18조 위반사항임

【Q2-5】개인정보 수집 이용에 대하여 기 동의한 고객이 전화를 걸어왔을 때, 전화기에 표시되는 발신번호가 기존 등록된 정보와 상이한 경우 추가적인 동의절차 없이 이 번호로 현행화 가능한지요

(관련조문)개인정보 보호법 제3조, 제15조

【A】개인정보 보호법 제3조에 따라 개인정보처리자는 처리 목적에 필요한 범위에서 개인정보의 정확성완전성최신성이 보장되도록 하여야 합니다.따라서, 당초 전화번호 등의 처리에 대하여 동의한 고객이라면 개인정보처리자가 발신자번호 표시 기능을 통해 새로 알게 된 전화번호로 고객 전화번호를 현행화하여 관리하는 것은 가능합니다.다만, 전화기에 표시되는 발신자번호가 실제 고객이 사용하는 전화번호가 아닐 수 있으므로 해당 고객에게 전화번호의 최신성 여부를 확인한 후 향후 이 번호로 현행화하겠다는 내용을 알려야 할 것입니다.

【Q3-2】 업무제휴에 의하여 개인정보를 주고받는 제휴업체(카드사, 공동 마케팅사 등)와 금융회사의 관계를 위탁 관계로 볼 수 있는지요

(관련조문) 신용정보법 제17조 및 제32조, 개인정보 보호법 제17조, 제18조 및 제26조

【A】제휴업체는 통상적으로 각자의 업무 목적을 위해 개인정보를 처리하는 자에 해당하므로 금융회사와 위탁관계가 아니라 제3자 제공으로 보아야 합니다.

 

※ 개인정보 보호법 제26조에 따른 개인정보 처리 업무의 위탁은 기관 내부의 업무를 외부의 제3자에게 위탁하여 이를 대신 처리토록 하는 일종의 아웃소싱(Outsourcing)을 말하는 것임

 

 

3.향후추진계획

개정된 금융분야 개인정보보호 가이드라인을 배포*(‘17.2월)하여 금융회사의 개인정보 관련 법률 이해도를 제고하고 자체적으로 법률을 준수하도록 안내지도함으로써

 

 금융소비자의 개인정보가 안전하게 수집처리관리될 있는 신뢰감 있는 금융거래 환경 마련

 

* 각 업권별 협회를 통하여 인쇄책자를 배포하고 금융감독원 홈페이지에도 전자파일을 게시

(다운로드 방법)

 

금융감독원 홈페이지(http://www.fss.or.kr) - 업무자료 - 공통 - 개인정보보호

 

☞ 개인정보보호 포털(http://www.privacy.go.kr) - 자료마당 - 참고자료

 

향후 동 가이드라인에 법령 개정사항 등을 지속적으로 반영하여 금융회사가 개인(신용)정보보호를 위해 준수해야 할 제도 등을 안내할 예정

 

<참고> 금융분야 개인정보보호 가이드라인 목차

첨부파일 (3)첨부파일 열림
170224_금융분야_개인정보보호_가이드라인_개정본.pdf (8 MB) 파일뷰어 파일다운로드
가이드라인 보도자료 최종판.hwp (120 KB) 파일뷰어 파일다운로드
가이드라인 보도자료 최종판.pdf (496 KB) 파일뷰어 파일다운로드
콘텐츠 내용에 만족하셨나요?