금융위원회와 금융감독원, 개정된 법안 내용 반영해 발표

[보안뉴스 원병철 기자] 금융 분야에서의 개인정보보호 가이드라인이 새롭게 개정됐다. 금융위원회와 금융감독원은 금융회사의 개인정보 보호업무를 지원하고, ‘신용정보의 이용 및 보호에 관한 법률(이하 신용정보법)’ 및 ‘개인정보보호법’ 등 개인정보보호 관련 법률에 따른 명확한 업무 처리기준을 제시하기 위해 기존 발표했던 금융분야 개인정보보호 가이드라인의 새로운 개정안을 발간했다.


금융권 개인정보보호 가이드라인은 지난 2013년 7월 처음 발간됐다. 이후 금융회사의 개인정보 유출사고 재발방지를 위해 한층 강화된 신용정보법이 개정·시행되어 개인신용정보 동의방식 개선, 개인신용정보 보유기간 제한 등 다양한 제도가 새로 도입·운영됐다.

이후 이러한 제도들이 차질 없이 시행될 수 있도록 금융감독원 및 8개 금융협회가 실무전담반을 구성·운영해 가이드라인 개정안을 마련했으며, 금융위원회, 행정자치부와 협의해 최종안을 확정한 것으로 알려졌다.

개인정보보호 관련 법령 개정사항 반영
개정안의 주요 개정내용을 보면, 우선 2014년 이후 개인정보보호 관련 법령 개정사항을 반영했다. 신용정보법 개인신용정보의 수집·제공시 필수와 선택 동의사항을 구분해 설명한 후, 동의 받도록 동의방식을 개선한 것이나 개인정보보호법 법령상 적법한 근거가 있는 경우에만 주민등록번호를 처리할 수 있도록 하고, 보관시에는 암호화 등을 통해 보안성을 강화한 내용이 포함됐다.


또한, 개인(신용)정보 보호업무 기준 명확화와 판례·사례를 제공했다. 개정안에는 개인정보보호법·신용정보법 등 개인정보 보호 관련 법률간 적용관계를 명확히 제시해 개인정보의 수집·이용·제공 등 구체적인 처리단계별로 우선 적용규정을 상세하게 설명했다. 그리고 업무 담당자가 실무에 참고할 수 있도록 관련 판례와 유권해석 및 해설서 내용 등을 수록했다.


한편, 금융권 개인(신용)정보보호 관련 질의사항도 반영했다. 그간 금융회사가 개인(신용)정보 보호업무와 관련하여 문의가 많았던 사항을 정리해 Q&A로 수록(총 82개)한 것이다.

금융위원회와 금융감독원은 개정된 금융분야 개인정보보호 가이드라인을 배포해 금융회사의 개인정보 관련 법률 이해도를 제고하고 자체적으로 법률을 준수하도록 안내·지도함으로써 금융소비자의 개인정보가 안전하게 수집·처리·관리될 수 있는 신뢰감 있는 금융거래 환경을 마련하겠다고 밝혔다. 또한, 향후 가이드라인에 법령 개정사항 등을 지속적으로 반영해 금융회사가 개인(신용)정보보호를 위해 준수해야 할 제도 등을 안내할 예정이다. 다음은 가이드라인과 관련한 주요 Q&A 내용이다.


[금융권 개인(신용)정보 보호 관련 FAQ]
Q. 금융회사의 개인정보 암호화와 관련하여 개인정보보호법, 전자금융거래법, 신용정보법, 정보통신망법 등에서 각기 상이한 범위의 고객정보 암호화 의무를 규정하고 있는 바, 당사와 같은 금융회사는 어느 법률의 적용을 받아서 고객정보를 암호화해야 하는지요?
(관련조문) 신용정보법 제3조의2, 개인정보보호법 제6조

개인신용정보의 처리에 대해서는 신용정보법이 우선 적용되고 신용정보법에 규정되지 않은 사항은 일반법인 개인정보보호법이 적용됩니다. 동 사항은 신용정보법 제3조의2에 명시되어 있으므로 참고하시기 바랍니다. 따라서 금융회사의 경우에는 개인신용정보 처리에 대한 접근통제 및 암호화에 대하여는 신용정보법이 정하는 바를 따르되, 신용정보법이 특별히 정하지 않은 사항에 대하여는 개인정보보호법에서 정하는 바를 따라야 합니다.

또한, 전자금융거래법과 신용정보법의 관계에서도 개인신용정보의 처리와 관련된 사항은 신용정보법이 우선 적용되며 그 외의 사항에 대하여는 전자금융거래법이 적용되기 때문에 암호화 조치에 대하여도 개인신용정보의 암호화 외의 사항에 대한 암호화의 경우에는 전자금융거래법상의 암호화 규정을 준수해야 할 것으로 판단됩니다.

아울러 법령 준수(신용정보법, 개인정보보호법, 정보통신망법)에 있어서 금융회사 법률상충과 관련한 부담을 최소화하는 방향으로 검토하고 있습니다.

Q. 계약자로부터 제출받는 법정서류(가족관계증명서, 주민등록등본 등)에 계약자 이외의 가족 개인정보가 포함되어 있는 경우, 이들에 대하여 모두 동의를 받아야하는지요?
(관련조문) 신용정보법 제15조 및 개인정보 보호법 제15조

실명 확인에 필요한 서류(주민등록등본, 가족관계증명서)를 금융회사가 수집·보관하는 것은 개인정보 처리에 해당하므로, 이러한 서류를 수집하여 보관하고자 하는 경우에는 계약자 본인 이외의 가족 정보 중 수집 근거가 없는 개인정보는 삭제하여 제출받거나 보관해야 합니다.

예를 들면, 금융회사가 계약자 본인 이외 가족의 주민등록번호가 표기된 주민등록등본을 제출받은 경우로서 해당 가족의 주민등록번호 수집 근거 및 동의가 없는 경우에는 주민등록번호 뒷자리를 검게 칠하여 알아볼 수 없도록 한 후 보관합니다.

Q 모 경찰서 A경위입니다. B고객이 금융사 ATM기에서 현금 인출 승인 후 현금을 찾아가지 않았고, 이를 인지한 B고객이 돈이 없어진 것을 확인 후 우리 경찰서에 신고했습니다. 경찰관을 대동하여 CCTV 확인결과 C고객이 수령한 것으로 확인되었고, 이에 해당 ATM의 출금 기록을 금융사에 요청했으나 개인정보보호를 이유로 제공하지 않았습니다. 이럴 경우 ① ATM의 기계정보 및 인출기록이 개인정보인지요? ② 만약 개인정보라면 영장발부 없이 긴급히 처리할 수 있는지요?
(관련조문) 신용정보법 제32조제6항 및 제33조

① 단순 ATM의 기계정보 및 인출기록은 신용정보법상 개인신용정보, 개인정보보호법상 개인정보로 보긴 어려울 수 있으나, 제공받을 정보의 자세한 내용에 따라서 개인신용정보가 될 소지도 있어 현재 상황에서는 해당 여부를 판단하기 어렵습니다.

② 신용정보법 제32조제6항제5호, 제6호 및 제33조제3호에 따르면 법원의 제출명령 또는 법관이 발부한 영장에 따라 제공한 경우나 범죄 때문에 피해자의 생명이나 신체에 심각한 위험 발생이 예상되는 등 긴급한 상황에서 법관의 영장을 발부받을 시간적 여유가 없는 경우로서 검사 또는 사법경찰관의 요구에 따라 제공하는 경우에는 자료 제출이 가능합니다.

이 경우 개인신용정보를 제공받은 검사는 지체 없이 법관에게 영장을 청구해야 하고, 사법경찰관은 검사에게 신청하여 검사의 청구로 영장을 청구해야 하며, 개인신용정보를 제공받은 때부터 36시간 이내에 영장을 발부받지 못하면 지체 없이 제공받은 개인신용정보를 폐기해야 합니다.

다만, 피해자의 생명이나 신체에 심각한 위험 발생이 예상되는 등 긴급하지 않은 상황에서 영장이나 법원 명령 없이 자료제출은 불가능하므로, 평시 상황이라면 수사기관에서 영장을 발급 후에 자료를 제출하는 것이 옳다고 판단됩니다.

Q 업무용 PC에서 고유식별정보나 바이오정보를 처리하는 경우 개인정보 암호화는 어떻게 해야 할까요?
(관련조문) 신용정보법 제19조 및 개인정보 보호법 제29조

PC에 저장된 고유식별정보의 경우 상용프로그램(한글, 엑셀 등)에서 제공하는 비밀번호 설정 기능을 사용하여 암호화를 적용하거나, 안전한 암호화 알고리즘을 이용하는 소프트웨어를 사용하여 암호화해야 합니다. 바이오 정보의 경우, 복호화가 가능한 양방향 암호화 저장이 필요하나, 이는 식별 및 인증 등의 고유기능에 사용되는 경우로 한정되며, 콜센터 등 일반 민원 상담시 저장되는 음성기록이나 일반 사진 정보는 암호화 대상에서 제외됩니다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>