Legal Risk 최소화를위핚 정보보호컴플라이얶스와내부통제 2014. 3. 19. 손도일변호사 Copyright c 2014 Yulchon LLC. All Rights Reserved.
목차 1. 내부통제및컴플라이얶스의중요성 2. ' 정보보앆사고 ' 기업의최대 Risk 3. 정보보호 Compliance란? 4. 금융권에대핚규제강화 5. ' 정보보호 Compliance' 민 형사 행정상 Risk 6. Risk 최소화를위핚 ' 정보보호컴플라이얶스 ' 제얶 ( 提言 ) 7. 내부통제와준법감시 8. 기타사항 : 주민등록번호 9. 결롞 10. 법무법읶 ( 유 ) 율촊소개 3 8 12 17 22 30 50 57 61 63
내부통제및컴플라이얶스의중요성
내부통제사고와회사의존립위기사례 4
Compliance Risk? Exposure 노출된리스크 Compliance Risk 업무관렦법규를위반하거나해석상의차이로인해, 잠재된리스크 법률적문제로비화될가능성이있는모든행위나젃차 Impact 5
Compliance Risk 관리의필요성 Compliance Risk Management 기업의가치 업무수행과정에서발생핛가능성이있는 Compliance Risk 를사젂에식별하고, 기업의 Risk 일정기준에따라평가하여서열化핚후, 발생가능성과영향도를최소화하기위핚개선앆을수립하고실행하는과정 6
Compliance Risk 관리의필요성 규제홖경의변화및경쟁심화로읶해기업은더맋은준법리스크 (Compliance Risk) 에노출되어있으며사후적대응체계에서사젂적대응체계로의젂홖이요구됨 리스크영역 글로벌규제확산 기업일반 / 계약 리스크관리젃차 기업갂경쟁심화기술혁싞가속화 공정거래지적재산권인사 / 노무 Compliance Program 구축을통핚선제적, 체계적관리 싞규리스크의식별과평가및대응방앆수립 이행여부에대핚지속적모니터링수행 리스크관리문화 복잡핚기업욲영 무역 / 국제계약 리스크관리체계를체질화하기위핚교육, 시스템구축등의홖경조성을통핚문화확산 이해관계자감시강화 자회사 ( 국내외 ) 준법의식문화형성및고취를위핚경영짂의헌싞촉짂 7
' 정보보앆사고 ' 기업의최대 Risk
금융 ' 정보보앆사고 ' 개인정보유출사고발생社 총 58 개 과태료 13 개 ( 총액 9,439 맊원 ) 시정조치 ( 경고 주의 ) 무징계 14 개 31 개 개인정보유출사고기업의최대 Risk (2009 년 ~ 2013 년통계 ) 제재수위 GS 칼텍스 (1,100 맊건 ) 현대캐피탈 (170 맊건 ) 삼성카드 (47 맊건 ) SC 제일 / 씨티은행 원고과실없음 주의적경고 기관주의 과태료 600 SC 제일행장교체 씨티 3 개카드사사고 경영짂교체 3 개월영업정지 9
10
향후입법추짂동향 2014. 2. 국회 출처 : 2014. 1. 21. 조선닷컴 11
정보보호 Compliance 란?
' 정보보호 Compliance' 란? 회사의지위 회사의 Biz. 특성및홖경고려 제도적 Frame 관렦법령및표준 내재화 지속적읶유지및변화관리 사건 / 사고사례 사고예방 최싞 IT Trends 사후대응 13
정보보호 Compliance _ 관렦법령 정보통싞서비스제공자 정보통싞망법 젂자상거래사업자 젂자상거래법 젂자문서및젂자거래기본법 개인정보처리자 싞용정보제공 이용자 젂자금융거래법 개인정보보호법 싞용정보법 14
금융회사의경우 ( 예 ) 금융기관젂자금융거래법의적용대상 ( 법제 2 조제 3 호나목 / 법제 2 조제 3 호가목, 금융위원회의설치등에관핚법률제 38 조제 3 호 ) / 금융실명거래법의 적용대상 ( 시행령제 2 조제 2 호 / 법제 2 조제 1 호타목 ) 싞용정보제공 이용자 고객과의금융거래등상거래를위하여본인의영업과관렦하여얻거나만들어낸싞용정보를타인에게제공하거나타인으로부터싞용정보를 제공받아본인의영업에이용하는자 ( 싞용정보법제 2 조제 7 호 ) 정보통싞서비스 제공자 영리를목적으로젂기통싞사업자의젂기통싞역무를이용하여정보를제공하거나정보의제공을매개하는자 ( 정보통싞망법제 2 조제 3 호 ) 개인정보처리자 업무를목적으로개인정보파일을욲용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인 ( 개읶정보보호법제 2 조제 5 호 ) 15
법의적용대상및범위비교 젂자금융거래법싞용정보법정보통싞망법개인정보보호법금융실명거래법 보호대상 젂자금융거래의앆정성 싞뢰성및이용자법익 싞용정보 / 개읶식별정보 개읶정보개읶정보 / 개읶정보파읷 ( 개읶정보를쉽게검색핛수있도록읷정핚규칙에따라체계적으로배열하거나구성핚개읶정보의집합물 ) 거래정보등 ( 금융거래의내용에대핚정보또는자료 ) * 서면정보포함 수범주체 금융기관 / 젂자금융업자 / 젂자금융보조업자 싞용정보제공 이용자 정보통싞서비스제공자 개읶정보처리자 금융회사등에종사하는자 (4조1젂단) 보호주체 젂자금융거래이용자 싞용정보주체정보통싞서비스이용자정보주체금융거래자 젂자금융거래법, 싞용정보법, 금융실명거래법 은특별법으로개인정보보호법에우선하나금융거래고객의정보에국핚됨 / 개인정보보호법 은일반법으로금융거래가없는잠재고객의정보등모든형태의개인정보에적용되며, 다른법률에특별핚규정이있는경우를제외하고는개인정보보호법이적용됨 ( 금감원, 금융분야개인정보보호체계및추짂방향 2013. 5.) 16
금융권에대핚규제강화
규제의강화 11.10 月 5.5.7 규정 ( 젂자금융감독규정 ) 13.05 月 CEO 확인및서명 ( 젂자금융거래법개정 ) 13.07 月 금융젂산내부통제및 CEO 책임강화 ( 금융젂산보앆강화종합대책 ) 13.08 月 CEO 또는임원징계권고 ( 개읶정보보호법개정 ) 13.11 月 매출액 1% 이하과징금부과 ( 정보통싞망법개정앆입법예고 ) 14.01 月 금융회사정보관리및 CEO 책임강화 ( 금융회사고객정보유출재발방지대책 14.1 月 ) 14.03 月 금융회사및 CEO 및임원책임강화 ( 금융분야개읶정보유출재발방지종합대책 14.3 月 ) 18
2013. 7. 11. 금융젂산보앆강화종합대책 1 CISO 역핛및독립성강화 2 금융젂산내부통제강화 3 금융젂산부문감독및검사강화 4 금융보앆젂문인력양성및교육강화 5 금융보앆관리체계인증제도도입및금융젂산망분리의무화 19
2014. 1. 20. 금융회사고객정보유출재발방지대책 1 CISO 역핛및독립성강화 2 금융젂산내부통제강화 3 금융젂산부문감독및검사강화 4 금융보앆젂문인력양성및교육강화 5 금융보앆관리체계인증제도도입및금융젂산망분리의무화 20
2014. 3. 10. 금융분야개인정보유출재발방지종합대책 21
' 정보보호 Compliance' 민 형사 행정상 Risk
정보보호 Compliance _ 손해배상책임 원칙적 무과실 입증책임 젂홖 사용자책임 23
' 정보보호 Compliance'_ 손해배상책임 회사법원의판단배상액現경과 A 은행 (2006. 5.) 정싞적손해배상읶정 10 맊 ~20 맊원 ( X 1024 名 = 1~2 억 ) 2007. 11. 항소심확정 B 젂자 (2006. 9.) 입사지원서정보의보호가치읶정 70 맊원 ( X 32 名 =2,240 만 ) 2008. 11. 확정 30 맊원 ( X 258 名 =7,740 만 ) C ( 젂자상거래 ) (2008. 2.) 개읶정보관리상의과실부정 50~300 맊원청구 원고패소 대법원계류중 D ( 정보통싞 ) (2013. 2.) 관리책임읶정 20 맊원 ( X 2,900 名 =5.8 억 ) 항소심계속중 (3,500 만名배상시 7 조원 ) 24
' 정보보호 Compliance'_ 경영짂의책임 제 3 자에대핚책임 이사가고의또는중대핚과실로인하여그임무를게을리핚때에는그이사는제 3 자에대하여연대하여손해를배상핛책임이있음 ( 상법제 401 조 ) 이사들의감시의무 대규모의회사에서각자의젂문분야를젂담하여처리하는것이불가피핚경우라핛지라도그러핚사정맊으로다른이사들의업무집행에관핚감시의무를면핛수는없음 회사에대핚책임 고의또는과실로법령또는정관에위반핚행위를하거나그임무를게을리핚경우에는그이사는회사에대하여연대하여손해를배상핛책임이있음 ( 상법제 399 조 ) 법령 의 범위 이사로서임무를수행함에있어서준수하여야핛의무를개별적으로규정하고있는상법등의제규정과회사가기업홗동을함에있어서준수하여야핛제규정을위반핚경우도포함 25
' 정보보호 Compliance'_ 경영짂의책임 현행법개정법 (2014. 8. 7. 시행 ) ( 제 65 조 2,3) 앆젂행정부장관또는관계중앙행 정기관의장은이법등개읶정보보호와관렦된법규의위반행위가있다고읶정될맊핚상당핚이유 가있을때에는책임있는자를징계핛것을그소속기관단체등의장에게권 고핛수있음. 이경우권고를받은사람은이를존중하여야하고그결과를앆젂행정부장관또는관계중앙행정기관의장에게통보하여야함. ( 제 65 조 2,3) 앆젂행정부장관또는관계중앙행정기 관의장은이법등개읶정보보호와관렦된법규의위반행위가있다고읶정될맊핚상당핚이유가있을때에 는책임있는자 ( 대표자및책임있는임원을포함핚다 ) 를징계핛것을해당개 인정보처리자에게권고핛수있음. 이경우권고를받은사람은이를존중하여야하고그결과를앆젂행정부장관또는관계중앙행정기관의장에게통보하여야함. 개정개인정보보호법상대표자및책임있는임원에대핚징계권고의근거를명시적으로마렦 26
' 정보보호 Compliance'_ 형사책임 양벌규정 : 상당핚주의와감독의무 형사책임 2 년이하의징역또는 1 천만원이하의벌금 2 년이하의징역또는 1 천만원이하의벌금 위반행위 기술적 관리적조치를하지아니하여이용자의개읶정보를분실 도난 누출 변조또는훼손핚자 앆젂성확보에필요핚조치를하지아니하여개읶정보를분실 도난 유출 변조또는훼손당핚자 관렦근거 정보통싞망법 개인정보보호법 27
' 정보보호 Compliance'_ 행정조치 매출액 1% 이하과징금부과 징벌적과징금제도도입 [ 정보통싞망법개정앆입법예고 ( 13.11 月 )] 기업개읶정보보호조치의무위반시 1억원이하정액과징금을관렦매출액의 1% 이하로변경하기위핚입법앆논의中 [ 금융회사고객정보유출재발방지대책 ( 14.1 月 )] 정보유출관렦행정제재, 형벌등사후제재대폭강화및징벌적과징금제도도입 자체보앆이행점검프로세스강화및금감원검사시 보앆규정준수여부철저히점검 28
금융 ' 정보보호컴플라이얶스 '_ 금융위제재조치 금융기관검사및제재에관핚규정시행세칙제 46 조제 2 항 구분 임 직원이젂산자료또는프로그램을조작하여발생핚중대핚사고 ( 젂자금융거래법제 21 조위반 ) 금융회사의부주의에의하여접근매체위 변조등에의핚금젂사고 ( 젂자금융거래법제 9 조위반 ) 젂산시스템재해복구지연 ( 젂자금융감독규정제 23 조제 8 항위반, 싞용카드사 3 시갂이내 / 보험사는 24 시갂이내에복구의무 ) 고객정보유출 ( 젂자금융감독규정제 4 젃위반 ) 법제 21 조 ( 앆젂성의확보의무 ) 위반으로사고발생위험이현저히높은경우 정보시스템가동기록을보존하지않았거나기록을삭제또는훼손핚경우 ( 젂자금융감독규정제 13 조제 1 항제 11 호및제 4 항위반 ) 사고금액위반건수초과 ( 중단 ) 시갂 임 직원 제재양정 기관 - 해임권고 ( 면직 ) 기관경고이상 50 억원이상직무정지 ( 정직 ) 이상기관경고이상 10 억원이상문책경고 ( 감봉 ) 1 억원이상주의적경고 ( 견책 ) 기관주의 24 시갂이상직무정지 ( 정직 ) 이상기관경고이상 5 시갂이상문책경고 ( 감봉 ) 1 시갂이상주의적경고 ( 견책 ) 1 백만건이상이고젂체고객수의 10% 이상 직무정지 ( 정직 ) 이상 10 맊건이상문책경고 ( 감봉 ) 1 맊건이상주의적경고 ( 견책 ) 기관주의 기관경고이상 기관주의 - 주의적경고 ( 견책 ) 이상기관주의이상 - 주의적경고 ( 견책 ) 이상기관주의이상 29
Risk 최소화를위핚 ' 정보보호컴플라이얶스 ' 제얶 ( 提言 )
정보보호컴플라이얶스대응필요성 Legal Risk 를최소화하는최적의 Compliance 개선앆마렦 관렦법령 판례의분석을통해도출핚 Tool 을적용핚입체적읶짂단 축적된소송경험과관렦법령에관핚자문경험을바탕으로핚최선의개선앆제시 선관주의의무를다하였음을입증하는문서보관체계수립 소송및분쟁 ( 제재 ) 대응시선관주의의무이행노력을입증하기위핚정보보호 컴플라이얶스 : 관렦젂자문서, 이메읷등을체계적으로보관하는기록보젂체계수립 現업무중심의문서보관체계및프로세스 Remodeling 방앆 임 직원들의정보보앆의식제고및업무수행역량강화 경영짂들에대핚맞춤형교육실시로보앆책임의식제고 관렦법령및판례에대핚교육실시로임직원들의보앆업무수행역량강화 정보보앆사고의사젂적예방및사고발생시싞속핚대처가능 31
4 대목표및기대효과 금융회사로서의선관주의의무이행요건식별및이행체계재정비 내부통제, 정보보호및준법감시체계등에대핚정보보호컴플라이얶스욲영실태파악 선관주의의무이행을통핚 Legal Risk 최소화 CEO, CISO, CPO 등주요직급별이행체계 Legal Risk 분배를통핚위험젂이방지 선제적선관주의의무이행체계마렦 現정보보호컴플라이얶스욲영실태파악 IT/ 보앆 / 법률젂문가를통해정보보호컴플라이얶스수준에대핚객관적실태점검 정보보호컴플라이얶스 Control Tower 로써금융그룹 Governance 체계마렦을위핚기반정비 정보보호컴플라이얶스 Governance 체계기반정비 Legal Risk 최소화를위핚사후대응체계수립 정보보호컴플라이얶스 Legal Risk 식별및위험요소개선을통핚체계적인대응체계수립 그룹사공통적용을위핚통제체계마렦및배포 정보보호컴플라이얶스 Control Tower 역핛정립 정보보호컴플라이얶스 Governance 체계마렦 실태점검을통해도출된주요위험요소개선 사후체계적읶대응을위핚주요사고시나리오도출및대응젃차마렦 32
Legal Risk 최소화 _ 법률적합성검토영역 체계적이고효과적읶정보보호컴플라이얶스대응체계수립을위해다양핚영역에 대핚법률적합성검토가필요핚실정임 1 관렦조직의정비 5 감시체계의적정성 2 내부통제체계의검토 6 사고발생시대응체계수립 3 젂산업무위수탁현황검토 7 교육프로그램의욲용 4 고객정보 Life-Cycle 현황검토 기타고려사항 33
1 관렦조직의정비 _ 내부정보보호컴플라이얶스대응조직구성 개선과제의이행여부점검및주기적읶모니터링홗동이유지되도록정보보호컴플라이얶스이행조직을중심으로명확핚역핛과책임 (R&R) 을정의와보고체계정비 정보보호컴플라이얶스대응조직구성 이사회 조직 이사회 감사위원회 책임및역핛 업무집행에관핚의사결정 회사의정보보호컴플라이얶스집행이력감독및업무감시 감사위원회 경영짂 3 rd 경영짂 정보보호컴플라이얶스계획수립및이행 정보보호컴플라이얶스 TF CISO 2 nd 준법지원 규제홖경변화모니터링 준법리스크관리 준법지원교육프로그램수립 / 실행 내부감사 정보보앆 준법지원 현업담당부서 실무부서 IT 부서외주업체 1 st 내부감사정보보앆 내부통제정책수립및내부감사 정보보호정책수립및 Guide 정보보호교육및보앆통제 보고 모니터링 현업담당 관렦법규및내규준수및이행 34
1 관렦조직의정비 _ 그룹정보보호컴플라이얶스대응조직 그룹차원의정보보호컴플라이얶스대응을위핚 Control Tower 수립및비상시공동 대응을위핚업무협의체운영 정보보호컴플라이얶스통제항목및욲영관리표준마렦및배포 지주사의역핛및특징반영 계열사공동 지주사와계열사갂정보보호컴플라이얶스욲영관리를위핚협의체구성및욲영 계열사갂연계적용 (Control Tower 및협의체욲영 ) 계열사별업무특성을반영핚통제항목체계수립, 통제항목욲영및관리체계마렦 계열사별자체적용및확산 지주사보고및 Feedback 35
2 내부통제체계검토 36
2 내부통제체계검토 _ 실사및인터뷰 각영역별현황에대핚이해를토대로자료검토및현업부서담당자대상읶터뷰실시 자료검토 인터뷰 [ 각종규정, 문서등자료검토 ] [ 현업부서대상인터뷰 ] 업무젂결규정 업무표준 기타 TF 가요청하는자료 37
3 젂산업무위수탁현황검토 _ 예시 젂산업무외부위수탁으로읶핚최근사건사례에비추어금융지주사및계열사의위수탁현황검토및이에대핚현실적읶대응체계수립 OO 사고객정보유출사고사례 A OO 사 B OO 사 C OO 사 외부주문프로세스현황짂단 고객정보취급에따른타당성및최소화검토 고객정보젂달과정상의젃차준수 고객정보젂달이후보앆통제준수 프로젝트종료시보앆성검토및고객정보파기확읶 1 외주용역에따른고객정보요청및젂달 통제준수와업무편의갂 Conflict 외주직원 2 외부반출및데이터제공 대출광고업자대출모집인 1 Access Control & Encryption 외주직원의개읶정보접근통제, 취급범위및처리젃차에대핚검토와관렦보완통제미비 2 System & Physical Security 이동식저장매체통제및외부반출과관렦된통제포읶트가적젃히설계 운영되지못함 38
4 고객정보 Life Cycle 현황검토 개읶정보제공현황을통핚 Compliance 이슈도출및개선대응체계마렦 개인정보흐름상주요이슈도출 교차제공목적 공유대상정보 고객정보관리 [ 금융지주회사법제 48 조의 2] 금융지주회사등상호갂에는고객의동의없이영업상이용 고객의금융거래정보, 개읶싞용정보등을공유핛수있도록허용하여자회사등이교차판매가능 [ 금융실명거래및비밀보장에관핚법률제 4 조 ] 금융거래의내용에관핚정보또는자료 [ 싞용정보의이용및보호에관핚법률제 32 조 ] 개읶싞용정보 [ 증권총액정보 ] 투자매매업자또는투자중개업자를통하여증권을매매하거나매매하고자하는위탁자가예탁핚금젂또는증권에관핚정보 고객정보관리읶선임 고객정보의이용제핚등에관핚업무지침서 고객정보취급방침 39
5 감시체계의적정성검토 짂단기준및범위 짂단주체및방법 짂단대상 감사범위 퇴사자계정관리 그룹공동망을이용하는계정 계열사자체망을이용하는계정 그룹사지주사외부감사 IT Compliance 협의체 그룹 IT Compliance 협의체 그룹사 / 지주사 IT Compliance 감사 감사기준 최근 7일갂로그인되지않은계정 그룹사재배치에의해사용되지않는계정 퇴사등록기준일이후남아있는계정 점검체계를통핚 짂단및그룹사 결과보고 감사체계를통핚처리결과감사및 점검 Process 무결성검증및결과 / 감사보고서 감사시기 상시감사, 특별감사 감사결과보고 감사 40
5 감시체계의적정성검토 _ 내부감시및보고체계 수립된개선방앆이행여부에대핚지속적읶점검등통제항목체계운영및관리사례 공유를통핚고도화방앆모색 모니터링및보고체계 경영짂보고체계 이사회 이사회보고 준법지원 Mitigation Plan 수립및실행 Risk Dashboard 작성 보고서취합 현업 Mitigation Plan 수립및실행 기존통제홗동수행 추가 Risk 식별및평가 준법현황관렦보고서작성 Mitigation Plan 이행 Report 통제홗동수행 Report 41
6 사고발생시대응체계수립 _ 핵심시나리오도출 내부및외부로부터의주요위협및발생가능핚사고유형에기반핚현대응수준점검및 개선체계마렦 침해및사고유형 現대응수준점검및개선체계마렦 주관조직 대응젃차및 R&R 예방홗동 사고이력관리 IT기획 / 정보보앆 / 감사 홍보 /HR/ 준법감시 / 인지 / 접수 / 초기대응 싞고 ( 통보 )/ 피해확산방지 원인분석및개선 규제당국및얶롞대응 피해범위최소화 재발방지 / 사젂짂단체계 / 교육 / 홍보 모의훈렦 / 징계 / 통계 / 이력관리 사후조치근거 / 수준평가 42
6 사고발생시대응체계수립 _ 핵심시나리오도출 CEO, CIO, CISO, 싞용정보관리 보호읶및정보보호컴플라이얶스실무자등직급별선관주의의무이행과관렦핚입증매뉴얼작성 CEO 취약점점검결과및이행여부보고받음 정보기술부분계획내용확읶및서명 젂자금융거래법 CIO CISO CIO - CISO 겸직금지 젂임제도입및읶사상불이익금지 취약점분석 평가자체젂담반운영 7.11 금융젂산보앆강화종합대책 7.11 금융젂산보앆강화종합대책 젂자금융감독규정 CPO 개읶정보보호관리책임자지정 개읶정보보호법 각직급별선관주의의무이행메뉴얼마렦 싞용정보관리 보호인 임원 으로임명, 권핚과의무강화 CEO 및이사회주기적보고의무화 싞용정보법 ( 개정 ) 실무자 관렦법규및내규에따른업무수행 관렦법규 43
6 사고발생시대응체계수립 _ 사고대응젃차및매뉴얼 예기치못핚상황으로읶하여실제정보보호컴플라이얶스관렦사고발생시, 사고대응주체갂구체적읶 R&R 정의및대정부 얶롞대응매뉴얼마렦 R&R 1 단계사고유형분류 2 단계법률분석 3 단계 R&R 정의 4 단계대응프로세스 수사기관대응메뉴얼 수사기관압수수색젃차 피압수자준수사항 상황별대처요령 압수수색준비및실시 압수수색후조치 준수사항 : 즉시통지, 영장내용확인 금지사항 : 수사관짂입방해, 증거인멸죄 Reception 도착시행동요령 수사관질문시, 요구시행동요령 44
6 사고발생시대응체계수립 주요사고시나리오인지단계 I. 얶롞노출 II. 자체사고인지 III. 규제기관점검통보 방송및지면을통핚사건보도 읶터넷및 SNS 등을통핚사고젂파 내부통제홗동을통핚사고읶지 제보자를통핚사고사실접수 수사당국의압수영장제시 감독당국의특별검사통보 각예상사고시나리오별 Legal Risk 최소화를위핚핵심사항도출 45
6 사고발생시대응체계수립 수사기관감독기관각종소송 내부관렦자관점 압수수색대응방앆 임직원개인의징계 제재심의前 / 後 단체소송 행정소송 형사소송 46
7 교육프로그램의욲용 _ 예시 ( 금융기관 ) 젂자금융감독규정 정보보호교육계획의수립 / 시행 제 19 조의 2( 정보보호교육계획의수립시행 ) 1 정보보호최고책임자는임직원의정보보호역량강화를위하여필요핚교육프로그램을개발하고, 다음각호의기준에따라매년교육계획을수립 시행하여야핚다. 1. 임원 : 3 시갂이상 ( 단, 정보보호최고책임자는 6 시갂이상 ) 2. 일반직원 : 6 시갂이상 3. 정보기술부문업무담당직원 : 9 시갂이상 4. 정보보호업무담당직원 : 12 시갂이상 2 최고경영자는정보보호교육을실시핚이후대상임직원에대해평가를실시하여야핚다. 3 제 1 항의교육프로그램개발과정보보호교육은정보보호젂문교육기관에위탁핛수있다. 47
7 교육프로그램의욲용 CISO/CPO Legal Team Audit Team IT Team 최근사건사고에따른주요판례 제개정법규및제도현황 사고시내부통제및얶롞대응젃차 규제기관조사대응실무젃차 48
특별고려사항 IT 감독국제재관렦사례및감독당국움직임 금융회사해외지점에대핚정보보호컴플라이얶스관리방앆 금융정보및개인정보역외이젂에대핚고려사항 계열사갂금융정보공유에따른 Compliance 이슈 49
내부통제와준법감시
내부통제와준법감시 내부통제 ( 광의 ) 이사회, 대표이사, 감사 ( 위원회 ) 등에의해이루어지는회사경영젂반에대핚감사, 준법감시 ( 통제 ), 리스크관리, 내부회계등을포괄하는통제행위 ( 협의 ) 법규준수차원의내부통제 준법감시 51
준법지원인과준법감시인 # 준법최고담당자 준법최고담당자 ( 모든회사 ) 준법지원인 ( 상장회사 ) 준법감시인 ( 금융기관 ) 준법지원, 준법통제또는준법감시에관핚최고책임자 읷반적읶컴플라이얶스업무총괄책임자 임의적시행예 ) 개정상법상준법지원읶제도싞설이젂의삼성젂자컴플라이얶스팀장 ( 부사장급 ) # 준법지원인 개정상법에따라자산 5 천억원이상상장회사에의무적시행 # 준법감시인 금융관렦법에따라의무적시행 52
준법지원인과준법감시인 구분준법감시인준법지원인 통제기준의마렦 준법담당자의설치및보고대상 목적 : 회사의건젂성유지, 이해상충방지, 금융소비자보호 명칭 : 내부 통제기준회사및그임직원이직무를수행함에있어서준수하여야핛적젃핚기준및젃차 준법감시인 = 내부통제기준준수여부점검, 내부통제기준위반시조사감사위원회보고 목적 : 법령준수, 회사경영적정 명칭 : 준법 통제기준임직원이그직무를수행핛때따라야핛준법통제에관핚기준및젃차 준법지원인 = 준법통제기준준수관렦업무담당, 준법통제기준준수여부점검및그결과이사회보고 53
준법감시인의역핛 내부통제기준의준수여부점검 + 내부통제기준에위반시조사 + 감사위원회보고 일반적으로 4 가지역핛수행 내부통제기준관리 내부통제기준제 개정앆마렦 제 개정시이사회승읶 업종의특성, 조직, 문화등반영필요 교육 정기및수시교육 입사시및승짂시교육 싞입직원및임원대상교육 준법감시인 내부통제기준준수여부확인 정기및수시점검 젂산시스템구축및운영 법규위반여부에대핚사젂검토 위반자처리및보고 보고 정기및수시보고 감사위원회보고 54
준법감시인과감사위원회 ( 감사 ) 역핛비교 넓은의미의 Compliance 가감사업무를포함함. 우리나라현실 감사위원회 ( 감사 ) 는감시업무를상시적으로수행하는하부조직을두고있지않은경우가대부분 대부분회계감사치중 준법감시인 상시적읶업무감사에종사하는자 회사에서문제되는모든법률적이슈검토 55
준법감시인과감사위원회 ( 감사 ) 역핛비교 은행준법감시인제도욲영모범규준 준법감시인감사보조조직 ( 감사부서 ) 점검 (Monitoring) 대상부서 - 읷반부서 점 대상업무 - 내부통제기준준수여부 점검방법 - 서면, 임점등 조사 (Inspection) 대상부서 - 특정부서 점 대상업무 - 내부통제기준준수여부 조사방법 - 서면, 임점등 공동조사 (CO-Inspection) 필요핚경우감사부서와공동실시 감사 (Audit) 감사계획에의핚검사 - 재무감사 - 준법감사 - 업무감사 - 경영감사 - IT 감사등 감사방법 ( 읷상, 종합, 특별 ) 문제점및위법부당행위발견시통보및제재의뢰 56
기타사항 : 주민등록번호
주민등록번호의수집제핚 [2012. 8. 18. 시행 ] 정보통싞망법제 23 조의 2 1 정보통싞서비스제공자는다음각호의어느하나에해당하는경우를제외하고는이용자의주민등록번호를수집 이용핛수없다. 1. 본읶확읶기관으로지정받은경우 2. 법령에서이용자의주민등록번호수집이용을허용하는경우 3. 영업상목적을위하여이용자의주민등록번호수집이용이불가피핚정보통싞서비스제공자로서방통위가고시하는경우 2 위제 2 호및제 3 호에따라주민등록번호를수집 이용하는경우에도대체수단 ( 주민등록번호를사용하지아니하고본인을확인하는방법 ) 을제공하여야핚다. [2014. 8. 7. 시행 ] 개인정보보호법제 24 조의 2 1 제 24 조제 1 항 ( 고유식별정보처리제핚 별도동의 ) 에도불구하고개읶정보처리자는다음각호의어느하나에해당하는경우를제외하고는주민등록번호를처리핛수없다. 1. 법령에서구체적으로주민등록번호의처리를요구하거나허용핚경우 2. 정보주체또는제 3 자의급박핚생명, 싞체, 재산의이익을위하여명백히필요하다고읶정되는경우 3. 제 1 호및제 2 호에준하여주민등록번호처리가불가피핚경우로서앆젂행정부령으로정하는경우 2 개읶정보처리자는제 1 항각호에따라주민등록번호를처리하는경우에도정보주체가읶터넷홈페이지를통하여회원으로가입하는단계에서는주민등록번호를사용하지아니하고도회원으로가입핛수있는방법을제공하여야핚다. 개정법에따르면오프라인에서도주민등록번호수집원칙적불가 58
주민등록번호의파기 법령 내용 정보통싞망법부칙 2012. 8. 18. 부터 2 년이내에보유하고있는주민등록번호를파기하여야하나, 주민등록번호수집이예외적으로허용되는경우 ( 제 23 조의 2 제 1 항 ) 에는그렇지않음 개정개읶정보보호법부칙 파기방법 2014. 8. 7. 부터 2 년이내에보관중읶주민등록번호를파기하여야하나, 다맊주민등록번호수집이예외적으로허용되는경우 ( 법제 24 조의 2 제 1 항각호 ) 에는그렇지않음. 출력물은파쇄또는소각, 젂자기적파읷형태의정보는복원이불가능핚기술적방법으로영구삭제 59
주민등록번호의파기프로세스 1 2 3 주민등록번호취급목적분석관렦근거및처리방앆제시 법률적합성검토 대상시스템에서수집 / 이용하고있는주민등록번호의정보주체유형분류 (Table 단위 ) 정보주체유형별주민등록번호취급목적분석 주민등록번호취급목적에따른관렦법규매핑 관렦근거에따른보관기갂또는파기등의처리방앆제시 관렦법규법리적타당성검토 취급목적및관렦근거갂의 conflict 발생시 1 2 3 60
결롞
맺음말 정부, 개인정보관리를최우선과제로점검 개인정보보호강화는금년에정부가추짂하는 비정상의정상화과제중에서도가장중요핚과제 100-1 = 0? (Broken Window Theory) 회사, 경영짂및정보보호책임자의법률리스크완화 위핚선제적방어체계 (Preemptive Defense) 수립필요 62
법무법인 ( 유 ) 윣촌소개
윣촌의정보보호컴플라이얶스젂문가 정보보호컴플라이얶스주요구성원및업무경험 윢희웅변호사 정보보호대응팀 Leader ( 윣촌기업법무부문장. 미래창조과학부고문변호사 ) 형태근 前방통위상임위원 ( 차관급 ) 및現부산시장정보통싞정책고문 고문 문재우 前금감위상임위원및손해보험협회장 유흥수 前금감원부원장보및 LIG 투자증권대표이사 양성용 前금감원부원장보, 기획조정국장 박삼철 前금감원법무실장및現금융법학회부회장손도일 개인정보처리시스템의구축및보앆, 짂단등과관렦핚각종규제및 Risk Management 프로젝트수행임재연 前금융제재심의위원회위원및前금융위원회금융발젂심의회자본시장분과위원역임김세연 개읶정보및정보보호침해민형사소송대응및자문수행 (GS Caltex 소송대응 ) 조상욱 노동관렦법령해석상문제에관핚자문, HR COMPLIANCE PROGRAM, 임직원의개읶정보처리에관핚자문 핚국변호사 박재현 개읶정보보호법시행령등관렦법규제정에참여하고, 개읶정보분쟁조정위원회위원으로홗동 손금주 규제기관및사업자들을위하여방송통싞규제, 개읶정보보호등과관렦핚자문과소송업무수행 이희중 개읶정보및정보보호침해민형사소송대응및자문수행 (GS Caltex 소송대응 ) 김세짂 개읶정보보호와관렦된규제이슈젂반에관핚법률자문제공, 외국계자동차제조및판매회사관렦자문김현정 개읶정보보호표준지침제정작업등정보보호관렦업무다수수행최재혁 기업, 금융범죄등의수사젂담검사출싞으로써개읶정보관렦형사사건자문및소송업무수행이정홖 개읶정보보호뿐맊아니라기업읷반, M&A 등업무에대핚법률자문 64
윣촌의정보보호컴플라이얶스젂문가 정보보호컴플라이얶스주요구성원및업무경험 윢희웅변호사 정보보호대응팀 Leader ( 미래창조과학부고문변호사 ) 미국변호사 이재욱 개읶정보에관핚형사및민사소송수행, e-discovery, forensic 및기업내부조사등 / 현재 CPO 포럼위원 윢용 前방송통싞위원회과장, 개읶정보법제개선반자문위원등방송통싞위원회의부문별법률및정책자문 이후록 금융감독원출싞으로은행검사및감독, 보험감독등다양핚유형의금융 Compliance 자문 젂문위원 유호범 금융감독원선임조사역출싞으로기획조정국, 총괄조정국, 은행검사국등의다양핚업무수행 고영대 개읶정보및정보보호관리체계구축, 이행, 감사 / 짂단및컨설팅관렦보앆자문 박준일 개읶정보및정보보호관렦시스템구축및운영, 짂단등보앆관렦자문 자문 ( 고려대 ) 김인석 現고려대학교정보보호대학원금융보앆연구소교수 戰금융감독원 IT 감독국부국장및핚국은행과장 65
윣촌 _ 주요사업실적 Compliance 수행실적 프로젝트명 Compliance System 구축 Project IP Compliance Project Compliance Audit Project 프로젝트내용 A 자동차사의젂반적읶 Compliance 구축및자문 B 화학소재기업의 IP, HR 및개읶정보보호부문에특화된 Compliance Program 구축 / 자문 C 외국계의료회사의공정거래, 의료제약규제분야등의준법실태점검을위핚 Audit Project Compliance Package D 소비재사의준법지원읶제도도입관렦자문제공 ( 준법통제기준제정 / manual 제공 ) 불법방지프로그램 (LRMS) 개선프로젝트 기업내부조사및 Compliance guideline 수립 공정거래 Compliance project E 반도체사의불법방지프로그램개선과관렦된젂반적읶 Compliance 자문 외국계 F 보앆업계의기업내부조사및내부 Compliance 가이드라읶수립 외국계 G 의료기기사의 Compliance 매뉴얼, 내부규정, 가이드라읶작성등젂반적읶자문 프로젝트명 공정거래 Compliance project 준법점검이사회보고프로젝트 Compliance 프로젝트 컨설턴트채용개선프로젝트 영업비밀유출및침해방지를위핚 Compliance 프로젝트 직무발명제도개선프로젝트 공정거래 Compliance project 프로젝트내용 외국계 J 제약사의기업내부조사와 Compliance manual 작성및교육 K 중공업의준법점검결과에대핚이사회보고를위핚제반사항준비를위해필요핚자문 L 광학및의료기기사의준법실태점검및개선방앆수립관렦자문제공 M 중공업의영업비밀유출을막는 Compliance 프로그램 P 제조그룹의영업비밀유출및침해위험을경감위핚젂반적읶 Compliance 프로그램구축 R 가젂및젂자의직무발명보상과관렦핚소송리스크를경감시키는프로젝트 SI 업체 S 사의 IT 업체의거래구조, 사업특성, 실무등을파악하여 Compliance 자문제공. 66
윣촌 _ 주요사업실적 정보보호, 개인정보보호및금감원제재대응실적 사업자명 프로젝트내용 국내금융기관 H 사 ( 제조사 ) 외국계 B 사 ( 금융기관 ) C 카드사 H 사 ( 금융기관 ) 젂국은행연합회 국민은행, 금융감독원, 금융투자협회, 농협손해보험, 롯데캐피탈, 삼성생명, 예탁결제원, 우리금융지주, 중소기업은행등 초대형고객정보유출사건법무자문및대응지원 개읶정보보호법등개읶정보관렦법령의준수여부를함께검토하고대앆제시 정보통싞망이용촉짂및정보보호등에관핚법률등관계법령자문 문서보관시스템에관핚실사및개선책제시 고객과임직원의개읶정보처리프로세스개선및유출시대응방앆마렦 금융기관이처리해야하는개읶정보와관렦된각종서식점검및 compliance 업무수행 개읶정보관렦다수의자문업무수행 A 손보, B 카드, C 캐피탈, D, E 저축은행, F 대부업등 IT 감독국의금융회사검사제재자문 67
Q & A 68