금융권에서 개인정보보호 관련법이 신용정보법으로 일원화하는 조치와 관련한 금융권의 준비사항이 있다면?

[보안뉴스 원병철 기자] 금융권은 개인정보보호법과 신용정보법의 적용을 받고 있습니다. 현재 금융권이 신용정보법으로 일원화하는 조치에 대해서는 명확히 알 수 없지만, 금융위원회에서 인터넷상에 답변한 내용을 아래와 같이 소개하오니 참고하시기 바랍니다.


개인정보보호에 있어서 개인정보보법과 신용정보법은 일반법과 특별법의 관계에 있습니다. 이는 신용정보법 제3조의2에 명확하게 규정되어 있습니다. 따라서 개인신용정보에 대해서는 신용정보법을 우선적용하고, 신용정보법에서 규정되어 있지 않은 사항은 개인정보보호법을 적용받으시면 됩니다.
[김병모 KT 부산네트워크 운용본부 차장(kbm1116@naver.com)]
　
개인정보처리시스템의 접속 기록을 자체적으로 스토리지에 로그를 저장하는 경우나 각 서버 장비에 자체적으로 로그를 저장하는 경우를 볼 수 있습니다. 하지만 개인정보보호법 중 개인정보의 안정성 확보조치 기준 제 7조(접속기록의 보관 및 점검)에 따르면,
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관·관리하여야 한다.
② 개인정보처리자는 개인정보의 유출·변조·훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

라고 명시하고 있습니다. 또한, 개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치)에서는 ‘개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조, 변조 방지를 위한 조치를 취해야 한다’며 무결성을 명문화했습니다.

자체적으로 개인정보처리시스템의 접속 기록을 저장할 경우, 컴플라이언스에서 요구하는 보관주기를 관리하기 어렵고, 로그의 무결성 역시 준수할 수 없게 되기 때문에 통합로그관리솔루션이 필요합니다.
[이너버스(sales@innerbus.com)]
　
금융회사가 금융거래와 관련해 처리하는 모든 정보를 개인신용정보로 정의해 개인신용정보 보호를 강화하게 됩니다.

· 개인신용정보는 ‘생존하는 개인에 관한 정보로서 신용정보주체를 식별할 수 있는 정보’로 규정
· 신용정보법 및 신용정보업 감독 규정 등에서 요구하는 개인신용정보 보호를 위한 조치를 위해 기존 개인정보보호법의 암호화 대상인 ‘고유식별정보’ 외에 개인신용정보에 대한 암호화 등 추가적인 보호 조치가 필요함
· 암호화 대상은 ‘개인신용정보’로 기존 DB암호화 외에 추가로 ‘개인신용정보’를 포함하고 있는 로그, 이미지, 녹취 등 비정형 데이터에 대한 암호화 처리가 필요함
· 개인신용정보를 외부에 제공하는 경우 정보를 제공받은 자가 개인신용정보를 식별할 수 없도록 비식별 처리 등이 필요함
· 신용정보관리 보호인을 임명하여 업무를 수행하며, 개인신용정보의 유출, 오용․남용 방지를 위한 내부통제 시스템을 구축이 필요함
· 감독기관의 개인신용정보에 대한 규제가 자율규제로 완화가 되는 것으로 보이나 오남용 및 유출 사고가 발생하는 경우 매출액의 100분의 3 이하에 해당하는 금액의 과징금 부과 등 처벌 규정이 강화되고 있으므로 관련법의 준수 이외에도 적극적인 개인신용정보 보호조치가 필요함
[강윤채 이지서티 본부장(yckang5020@naver.com)]

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>