< 기사 내용 >

□ 동아일보는 「외국계가 잠식한 클라우드...우리 국민정보 유출 우려」(11.16일) 제하의 기사에서,

① “미국 클라우드법은 수사기관이 클라우드 기업의 해외 서버에 저장된 메일, 문서, 기타 통신 자료 등을

 열람할수 있도록 권한을 부여하고 있어 현지 당국이 합법적으로 우리 국민의 정보를 감시할 수 있는 상황이다.”

② “개정안에서는 정보처리시스템의 국내 설치를 규정하고 있기는 하지만 관리시스템까지 포함하는지는 불명확하다.

 관리시스템의 국내 설치를 의무화하지 않으면 국내에 관리 인력을 둘 의무가 없어 정보유출 등 문제가 발생해도

 해외에 있는 담당자가 대응해 조치가 지연될 우려가 크다.”

③ “개인정보 유출 등 사고 발생시 국내법 적용과 집행의 한계가 존재한다. KISA에서도 "해외 클라우드 사업자는

 클라우드 서비스를 제공할 때 개인정보보호 등 국내 관련 법규를 따르지 않을 수 있고, 이 경우 국내법에 따라

 개인정보가 보호받지 못할 수 있다.”고 경고하고 있다.“고 보도

< 참고 내용 >

가. 기사내용 ① 관련

□ 미국 CLOUD법(Clarifying Lawful Overseas Use of Data Act)은 범죄 조사에 필요한 해외 소재

 데이터 확보 및 안보 유지를 위해 제정한 것으로, 외국 정부의 법령을 고려하여 데이터를 요청할 수 있음

ㅇ 따라서, 국내 클라우드시스템에 대해서는 미국 클라우드법에 따른 미국정부의 데이터 제공 요청에 반드시 따라야 하는 것은 아님*

* ① 고객 또는 가입자가 미국인이 아니며 미국에 거주하지 않고, ② 요구된 데이터 공개로 인해 사업자가 자격 있는

 외국 정부의 법을 위반할 중대한 위험이 있는 경우,

사업자는 미국 정부의 데이터 요구에 대한 각하 또는 변경을 법원에 청구할 수 있음

 (Clarifying Lawful Overseas Use of Data Act §2703)

나. 기사내용 ② 관련

□ 금번 금융권 클라우드 이용 확대 추진시 중요정보 처리시스템의 안전성을 확보하기 위해

 클라우드 이용(금융회사), 제공(제공자)시 엄격한 기준을 도입할 계획

ㅇ (금융회사) 중요정보 클라우드 이용시 정보보호 의무 준수, 서비스 제공자 관리·감독,

 중요장비 이중화 등 안전성 관리를 강화

ㅇ (제공자) 금융 특수성을 반영해 금융회사 수준의 시스템 구축·운영, 암호화 적용 등

 클라우드 서비스 제공자가 준수해야 할 기준을 마련

□ 또한, 금융회사와 클라우드 제공자 계약시 클라우드 서비스 이용 관련 금융당국의 조사·접근(현장방문 포함)에

 협조할 의무를 명시

다. 기사내용 ③ 관련

□ 개인신용정보·고유식별정보는 클라우드 활용 여부와 상관없이 국내 개인정보보호법·신용정보법 등

 개인정보보호 법령에 따라 철저하게 보호·관리되고 법령 위반시 행정제재 및 형사처벌 등으로 규율

< 개인정보보호법, 신용정보법상 보호조치 >

□ 또한, 금융회사와 제공자간 클라우드 이용 계약 체결시 개인정보유출, 전자적 침해사고 등에 대한

 책임 소재를 명확히 규정하도록 할 계획