<31312D30312D313020C0CCBDB4B8AEC6F7C6AE20C8AEC1A4BDC3BEC82E687770>

Size: px

Start display at page:

Download "<31312D30312D313020C0CCBDB4B8AEC6F7C6AE20C8AEC1A4BDC3BEC82E687770>"

종례 좌
5 years ago
Views:

1 Best Security Partner Vol 이슈리포트 ISSUE REPORT 발행처 금융보안연구원발행인 곽창규발행월 2011 년 1 월 개인정보보호법, 금융권에미치는영향 목차 서론개인정보보호법안소개금융권에미치는영향금융권의대응전략결론 작성 홍시환선임연구원신동일주임연구원김태희연구원 * 본글의내용은필자의개인적견해로서금융보안연구원의공식입장과는다를수있습니다.. * 문의 : 금융보안연구원보안기획팀홍시환선임연구원 ( , hongsh@fsa.or.kr)

2 서론개인정보보호법안이지난월일국회행정안전위원회를통과함으로써년넘게끌어온개인정보보호법이년에제정될것으로보인다개인정보보호에관한기본법인개인정보보호법이제정되면그간공공행정정보통신금융신용등개별법체계로인한법적용사각지대등의문제점이해소되고사회전분야에걸쳐영향을미칠것으로예상된다본고에서는향후제정될개인정보보호법안의주요내용과그로인해금융권에미치는영향을분석하고자한다이를위해현재국회법제사법위원회에계류중인개인정보보호법안과현재금융권에적용되고있는신용정보법정보통신망법등을비교분석하여금융권에필요한준비사항및대응전략을알아보고자한다 개인정보보호법안소개개인정보보호법은공공부문과민간부문을포괄하는국가사회전반의개인정보보호체계로써사회전분야에걸쳐적용될것으로보인다이에개인정보보호법안에서다루고있는주요내용을살펴보고자한다 가법적용대상및보호범위확대먼저개인정보보호법안의주요내용이라고할수있는법적용대상이업무상목적의개인정보파일을운용하는모든개인정보처리자로확대된다그리고개인정보의보호범위도기존컴퓨터등에처리되는개인정보외에민원신청서류등수기문서로확대된다 나개인정보수집이용제공등처리단계별보호기준제시개인정보수집이용제공등처리단계별보호기준을명확하게제시하였다개인정보의수집이용은정보주체의사전동의타법률에서의규정계약체결및이행정당한이익달성등을제외하고원칙적으로금지된다또한제자제공도정보주체의사전 1) 09 년개인정보침해사고총 35,167 건중법적용사각지대에서발생한비율이 68.1%(23,948 건 ) (2009 년개인정보분쟁조정사례집 ) 2) 법률제정단계 : 국회행정안전위원회 ( 통과 ) 국회법제사법위원회 ( 계류 ) 국회본회의 공포 시행 3) 신용정보의이용및보호에관한법률 ( 소관부처 : 금융위원회 ) 4) 정보통신망이용촉진및정보보호등에관한법률 ( 소관부처 : 방송통신위원회 ) 을말하며, 금융권적용에있어일부논란이있으나전자금융거래이외부가적인영리목적으로홈페이지를통한회원가입서비스등과같은경우에만적용되고있는상황임 5) 개인정보파일이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열또는구성한개인정보의집합물 6) 개인정보처리자란업무상목적으로개인정보파일을운영하는공공기관, 법인, 단체, 사업자및개인등을말함 7) 개인정보처리자의정당한이익달성은명백하게정보주체의권리보다우선하는경우로개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니해야함 - 1 -

3 동의타법률에서의규정일부사전동의가곤란한경우등을제외하고금지된다 따라서고객의개인정보수집 마케팅활용 업무위탁시법위반사항이발생하지않도 록면밀한검토가요구된다 다고유식별정보의처리규제강화 주민등록번호등고유식별정보에대한처리가원칙적으로금지되고고유식별정보처리시암호화등안전성조치가의무화된다다만정보주체의별도동의또는타법률에서규정한경우에는처리가가능하다또한고유식별정보의암호화등안전성조치는하위법률에서구체적인기준이제시될예정이므로이에대한진행사항을계속해서파악할필요가있다그밖에일정규모에해당되는경우인터넷회원가입시주민등록번호외의회원가입방법을의무적으로제공해야한다 라영상정보처리기기 규제근거마련 현재공공부문에만적용되던영상정보처리기기의규제사항이개인정보보호법안에포함되어민간부문에까지규제가가능해졌다따라서일부공익적목적등을제외하고공개된장소에는설치가금지되며만일설치할경우에는안내판설치운영관리지침마련안전성확보조치를해야한다또한불특정다수가이용하는목욕실탈의실등사생활침해우려가있는장소에도설치가금지된다그밖에영상처리기기에대한카메라임의조작녹음기능사용등도금지된다 마개인정보유출사실통지및신고제도입 개인정보유출사고에따른피해의확산방지를위해개인정보유출사고발생시정보 주체에게해당유출사실 을지체없이통지해야한다 특히대규모의개인정보가유 출된경우에는행정안전부또는전문기관 에신고해야하며 피해확산방지대책마 련이필요하다 8) 정보주체등의생명, 신체, 재산의이익보호를위해사전동의가불가피한경우 9) 주민등록번호, 운전면허번호, 여권번호등법령에따라개인을고유하게구별하기위해부여된식별정보를말함 10) 처리란개인정보의수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기그밖에이와유사한행위를말함 ( 개인정보보호법안제 2 조 ) 11) 정보통신망법의경우포털 ( 일일평균이용자 5 만명이상 ), 게임, 전자상거래, 기타정보통신서비스 ( 일일평균이용자 1 만명이상 ) 12) 아이핀 (i-pin), 공인인증서, 휴대폰인증등 13) 유출된개인정보항목, 시점및경위, 피해최소화방법, 대응조치및피해구제절차, 피해신고접수담당부서및연락처등 14) 전문기관은하위법률에서구체화될예정임 - 2 -

4 바개인정보피해구제제도개선및강화 현행정보통신망법에의해민간부문의분쟁조정을담당하던개인정보분쟁조정위원회의기능이공공부문까지확대되고분쟁조정의효력이민사상화해에서재판상화해로강화된다또한동일한피해를입은다수의피해자의분쟁을일괄조정하는집단분쟁조정제도가도입된다만일개인정보처리자가분쟁조정위원회의조정을거부하거나조정결과를수락하지않는경우에법원에권리침해행위의금지중지를요구할수있는단체소송제도가도입된다 금융권에미치는영향 향후제정될개인정보보호법이금융권에얼마나많은영향을미치는지를알아보기위해먼저국내의개인정보보호관련법률체계에대해살펴보기로한다그리고금융부문에대표적으로적용되고있는신용정보법정보통신망법등과비교분석하여금융권에미치는영향을분석하고금융권에서준비해야하는사항을살펴보고자한다 가개인정보보호관련법률체계 개인정보보호에대한국내의법률체계는크게공공부문과민간부문의이원화된구조로써민간부문은다시정보통신금융신용등소관분야별로되어있다이에따라각개별법의소관부처도공공부문은행정안전부민간부문중에서정보통신분야는방송통신위원회금융신용분야는금융위원회로구분되어있다 표 현행개인정보보호법률체계 구분개별법률적용대상소관부처 공공부문공공기관의개인정보보호법공공기관행정안전부 민간부문 정보통신정보통신망법정보통서비스제공자방송통신위원회 금융신용신용정보법신용정보제공이용자금융위원회 그러나향후제정될개인정보보호법은개인정보보호에관한기본법으로써개별법에서특별히규정한경우를제외하고개인정보보호법을따라야한다이럴경우개별 15) 금융권의경우, 전자금융거래이외부가적인영리목적으로홈페이지를통한회원가입서비스등을제공할경우에만적용 16) 개인정보보호법안제 6 조 ( 다른법률과의관계 ) 개인정보보호에관하여는 정보통신망법이용촉진및정보보호등에관한법률, 신용정보의이용및보호에관한법률 등다른법률에특별한규정이있는경우를제외하고는이법에서정하는바에따른다

5 법과기본법간에적용범위가중첩되는등해석상에다소모호한부분이발생하여법률적용에어려움이있을수있다따라서이러한혼란을막기위해정책당국의구체적인가이드라인제공이추가적으로필요해보인다 나법률비교분석 개인정보보호법이금융권에미치는영향을분석하기위해개인정보보호법안과금융권에대표적으로적용되고있는신용정보법정보통신망법에대해개인정보의처리안전한관리정보주체의권리보장기타개인정보분쟁조정위원회단체소송등을기준으로비교분석하였다다음의표에서보는바와같이개인정보보호법이제정될경우금융권에상당히많은영향을미칠것으로보인다이에따라금융기관은선제적으로법률준수를위해철저한준비가필요하다고할수있다 다금융권의준비사항 법률간비교분석결과를기반으로표와같이개인정보보호법안과신용정보법등과의차이점을분석하고금융권에서준비해야하는사항을도출하였다 개인정보의처리영역 개인정보의처리영역에서는개인정보수집에대한고지동의부분을강화하고정보주체가명확하게인지할수있도록동의사항을개인정보의처리단계별및필수선택항목등으로구분하는것이필요하다특히정보주체가개인정보의이용제공에동의를하지않는다고해서재화또는서비스제공을거부하는것이금지되어있으므로관련업무처리시법률위반사항이발생하지않도록유의해야한다 개인정보의처리제한영역 개인정보의처리제한영역에서는주민등록번호외의회원가입방법제공고유식별정보의처리시암호화등안전성조치영상정보처리기설치제한수탁자관리감독영업양도에따른고지등을보완하는것이필요하다 17) 개인정보보호법안의하위법령 ( 시행령, 시행규칙, 고시등 ) 이없는관계로 세부적인기준에대한비교분석은향후진행필요 - 4 -

6 표 법률간비교분석결과 구분개인정보보호법안신용정보법정보통신망법 수집 정보주체고지동의고지동의 정보주체외 고지 이용제공고지동의고지동의고지동의 개인정보의처리 동의방법 파기목적달성시복구불능오래된신용정보목적달성시 개인정보처리 일반 마케팅목적 단계별동의사항구분필수선택사항구분 미성년자법정대리인법정대리인 동의사항구분 동의거부시재화서비스거부금지 개인정보의처리제한 고유식별정보 업무위탁 민감정보처리 처리 별도동의 별도동의수집이용제공시 동의질병정보만해당동의이용제공시 별도동의 인터넷회원가입주민번호외방법주민번호외방법 안전성조치암호화등주민번호금융정보암호화 영상정보처리기기설치 공개장소설치금지등 위탁내용등공개공시공개 수탁자감독감독 영업양도 양도내용등고지고지 개인정보취급자감독감독교육 개인정보의안전관리 정보주체의권리보장 기타 개인정보파일등록 공공기관해당 개인정보영향평가공공의무민간자율 개인정보유출통지 의무 권리행사방법및절차공개공개 손해배상책임 개인정보피해구제제도 고의과실없음입증책임감경가능 집단분쟁조정단체소송도입 고의과실없음입증고의과실없음입증 - 5 -

7 금융권에서가장고민스러운부분이라할수있는고유식별정보의처리시암호화등안전성조치부분은앞서설명했듯이하위법률에서구체적인기준이제시될예정으로진행사항을계속해서파악할필요가있다특히하위법률제정과정에서은행증권보험카드등금융권의권역별업무특성이잘반영될수있도록금융권의적극적인대응이필요하다 개인정보의안전관리영역 개인정보의안전관리영역에서는개인정보유출사실통지및신고개인정보취급자에대한관리감독을실시하는것이필요하다개인정보유출사실통지및신고부분은사실정보통신망법에서규정한침해사고발생시관계기관에신고하도록하는규정과유사한측면이있다하지만개인정보유출사고발생에대한부분은규정하고있지않아개인정보유출사고발생에따른내부보고체계및대외기관과의연락체계를확립할필요가있다그리고대규모의개인정보취급자에대한관리감독을위해인사시스템과연동하여입사퇴사전출입등이자동적으로관리가될수있도록하는것도하나의좋은방법일수있다공공기관의경우개인정보파일등록및개인정보영향평가를의무적으로실시해야한다특히개인정보영향평가제도는민간부문은권고사항이나개인정보침해사고사전예방및관련법률준수등의장점이있어국내대형포털등에서이미자율적으로도입하여운영중에있다 정보주체의권리보장및기타영역 정보주체의권리영역에서는집단분쟁조정및단체소송제도정보주체의권리행사방법및절차를마련하는것이필요하다이를위해조직내법률부서등에서집단분쟁조정및단체소송제도의도입에따른대응이필요해보인다아울러선량한관리자로서법률준수의무와주의를다한경우에손해배상책임을감경받을수있으므로개인정보보호관련인증획득등의노력이필요하다 18) 정보통신망법제 48 조의 3( 침해사고의신고등 ) - 6 -

8 ( 표 3) 금융권의주요과제 구분 개인정보의처리영역 개인정보의처리제한영역 개인정보의안전관리영역 정보주체의권리보장및기타영역 금융권의주요과제 개인정보의수집에관한고지의무강화개인정보처리동의에관한다양한방법마련 고유식별정보의원칙적처리금지및암호화등안전성조치강화영상정보처리기설치운영제한영업양도에따른개인정보이전제한개인정보취급자에대한관리감독및정기교육실시개인정보파일의등록및공개공공기관개인정보영향평가제도도입의무화공공기관 개인정보유출사실통지및관계기관신고의무화 손해배상책임감경을위한자체노력강화집단분쟁조정단체소송대응 금융권의대응전략 이번장에서는개인정보보호법시행에대비하여금융권이어떤대응전략을수립해야하는지제안하고자한다 가개인정보보호책임자지정및전담조직강화 개인정보보호의영역은조직내특정부서또는시스템등에국한된것이아닌전사적인차원에서경영진과관련부서의협조를이끌어내야하는관계로가능한임원급의개인정보보호책임자지정및지속적인개인정보보호업무를담당할수있는전담조직을구성하는것이바람직하다또한향후제정될개인정보보호법에따른신규과제수행을위해은행증권보험카드등금융권의권역별로미리테스크포스를구성해체계적으로대응할필요가있다 나개인정보보호정책지침등규정정비 개인정보처리방침내부관리계획등개인정보보호법의요구사항을반영한개인정보보호정책지침등관련규정을재정비하고이를기반으로개인정보처리업무수탁업체서비스제휴업체등과의계약서를재검토하여법령상의요구사항을반영해야한다특 - 7 -

9 히개인정보보호정책수립시법률위반위험을최소화기위해향후제정될개인정보보호법이외기존개별법에서규정한개인정보보호관련내용도함께검토하여모두포함하는방식으로정책수립방향을설정하는것이바람직하다 다개인정보보호컴플라이언스활동강화 개인정보유출사고를사전에예방하고정책기관의개인정보보호실태점검등에효과적으로대응하기위해관련법률정책지침등에요구되는사항들을일상적으로점검할수있도록컴플라이언스활동을강화할필요가있다이러한활동을통해업무처리과정상불법적인실무관행을진단하고시정함으로써조직의개인정보보호관리수준을전반적으로향상시킬수있다이를위해기존컴플라이언스관련부서인준법감시부서감사부서등의역할재정립이필요하다 라전사적인개인정보보호관리체계수립및이행 최근스마트폰등신규기기가등장함에따라신규위협및취약점등에의한개인정보유출사고발생가능성도높아지고있다이를위해개인정보보호를체계적이고지속적으로수행할수있도록전사차원의개인정보보호관리체계를수립운영하는것이필요하다이를통해조직내개인정보의종류개인정보의흐름업무처리프로세스등개인정보의처리단계별현황관리가용이하고위험관리를통한적절한보호대책을수립할수있다 마개인정보처리시스템의안전성강화 개인정보처리시스템에대한접근권한설정및내역보관접근기록의위변조방지및백업개인정보의암호화보안서버구축악성프로그램방지안전한비밀번호의설정등안전성을강화해야한다이와관련하여개인정보유출방지시스템등개인정보보호솔루션에대해서도살펴볼필요가있다또한개인정보의기술적관리적물리적보호조치기준이하위법률에서제시될예정이므로진행사항을계속해서파악할필요가있다 바개인정보취급에대한관리감독및교육강화 개인정보유출사고의주요원인이개인정보를취급하는내부자에의한사고일가능 - 8 -

10 성이높으므로개인정보를직접처리하는개인정보취급자들에대한처리권한등을최소화해야한다또한주기적인내부감사등을통해관리감독을강화하고연회이상주기적실질적인다양한방법의개인정보보호교육을통해개인정보보호에대한마인드를강화할필요가있다 결론 지금까지개인정보보호법의제정에대비하여개인정보보호법의주요내용과금융권에미치는영향분석을통해금융권의준비사항및대응전략에대해알아보았다앞서말했듯이개인정보보호법은금융권을포함한전산업분야에걸쳐많은영향을줄것으로판단된다이를대비하기위해금융권에서는개인정보의수집이용제공등처리단계에따른법적요구사항을면밀히분석하여법률위반사항이없도록만반의준비가필요하다또한개인정보보호법제정이후하위법률에대한지속적인모니터링을통해보다구체적인기준및절차를마련하여이행해야할것으로보인다끝으로이제개인정보보호법의준수는더이상미룰수없는당면과제이자시대적인요구사항이되었다이제부터라도선제적인투자와대응을통해금융권이우리사회의개인정보보호수준을한층업그레이드하는데모범이되어야겠다 참고문헌 개인정보보호법안일부개정법률안대안 행정안전위원회 신용정보의이용및보호에관한법률 법률제 호 정보통신망이용촉진및정보보호등에관한법률 법률제 호 타법개정 정보보호 커버스토리개인정보보호법제정정보화강국의방향키 정보보호 개인정보보호법통과 보험연구원 개인정보보호법안의주요내용과보험산업에의시사점 개인정보보호기초와활용인포더북스스마트시대에서의개인정보보호대응전략컨퍼런스한국 협회 개인정보보호 어떻게준비할것인가 행정안전부 금융위원회 금융감독원 - 9 -

개인정보처리방침_성동청소년수련관.hwp

개인정보처리방침_성동청소년수련관.hwp 서울시립성동청소년수련관 개인정보 처리방침 서울시립성동청소년수련관은 개인정보 보호법 제30조에 따라 정보주체의 개인정 보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리지침을 수립 공개합니다. 제1조(개인정보의 처리목적) 1 서울시립성동청소년수련관은 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고