슬라이드 1

Similar documents
개인정보처리방침_성동청소년수련관.hwp

CONTENTS Ⅰ 가이드라인 개요 6 Ⅱ 기본원칙 10 Ⅲ 개인정보 처리단계별 원칙 개인(신용)정보 수집 개인(신용)정보 이용 개인(신용)정보 제공 고유식별정보 및 민감정보의 처리 개인(신용)정보 처리 업무 위탁

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

메뉴얼41페이지-2


개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

내지(교사용) 4-6부

암호내지

ㅇ 카드 부정사용에 따른 피해에 대해서는 관련 법률에 따라 같이 카드사에서 전액 보상해 나갈 것 종전과 ㅇ 3개 카드사가 무료로 결제내역 확인문자(SMS) 서비스를 제공하고, KCB는 전 국민에 대해 1 년동안 개인정보 보호서비스 * 를 제공 * 대출카드발급 관련업무


사고란 무엇일까요? 03 사고는 왜 주의해야 할까요? 1) 사고의 피해 유형 개인정보가 유출될 경우, 명의 도용으로 인한 금전 피해 및 사생활(프라이버시) 침해 등의 피해가 발생할 수 있습니다. 065 사고란 생존하는 개인에 관한 정보 (성명 주민등록번호

해설서-앞(웹사이트개발운영을위한개인정보안내서)

2-A. 필수개인 ( 신용 ) 정보수집 이용 제공동의서 ( 여신금융거래 ) ( 주 ) 신한저축은행귀중 신한저축은행과의여신 ( 금융 ) 거래와관련하여신한저축은행이본인의개인 ( 신용 ) 정보를수집 이용하거나제 3 자에게제공하고자하는경우에는 개인정보보호법 제 15 조제 1

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

< B5BFBEC6BDC3BEC6BBE E687770>

??


Windows 8에서 BioStar 1 설치하기

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

확정급여형3차

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인

- 2 -

ps

2016년 신호등 4월호 내지A.indd

1. 상고이유 제1점에 대하여 구 도시 및 주거환경정비법( 법률 제9444호로 개정되기 전의 것, 이하 구 도시정비법 이라 한다) 제4조 제1항, 제3항은 시 도지사 또는 대도시의 시장이 정비구 역을 지정하거나 대통령령이 정하는 경미한 사항을 제외한

<4D F736F F D20C0FCC0DAB1DDC0B6BCADBAF1BDBA20C0CCBFEBBEE0B0FC28B1B820C7CFB3AAC0BAC7E0295FB0B3C1A4C8C45F F2E646F6378>

슬라이드 1

2 국어 영역(A 형). 다음 대화에서 석기 에게 해 줄 말로 적절한 것은? 세워 역도 꿈나무들을 체계적으로 키우는 일을 할 예정 입니다. 주석 : 석기야, 너 오늘따라 기분이 좋아 보인다. 무슨 좋은 일 있니? 석기 : 응, 드디어 내일 어머니께서 스마트폰 사라고 돈

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

좀비PC

슬라이드 1

CONTENTS Ⅰ 가이드라인개요 6 Ⅱ 기본원칙 10 Ⅲ 개인정보처리단계별원칙 개인 ( 신용 ) 정보수집 개인 ( 신용 ) 정보이용 개인 ( 신용 ) 정보제공 고유식별정보및민감정보의처리 개인 ( 신용 ) 정보처리업

2-1-3.hwp


개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

■홈플러스 보도자료(개인정보 합수단).hwp

<38C2F7C6EDC1FD2DB0B3C0CEC1A4BAB8BDC5B0EDBBF3B4E3BBE7B7CAC1FDBFF8B0ED2E687770>

<C0CFC1A4BFDC28C0DBBEF7C1DF292E687770>

슬라이드 1

며 오스본을 중심으로 한 작은 정부, 시장 개혁정책을 밀고 나갔다. 이에 대응 하여 노동당은 보수당과 극명히 반대되는 정강 정책을 내세웠다. 영국의 정치 상황은 새누리당과 더불어 민주당, 국민의당이 서로 경제 민주화 와 무차별적 복지공약을 앞세우며 표를 구걸하기 위한

804NW±¹¹®

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A728BFCDC0CCBFA1BDBAC0E5292E687770>

¾Æµ¿ÇÐ´ë º»¹®.hwp

목차 1. 불완전판매 2. 개인정보보호 3. 금융사기피해사례및예방

<B5B6BCADC7C1B7CEB1D7B7A52DC0DBBEF7C1DF E687770>

Zentralanweisung

1. 상고이유 제1, 2점에 관하여 가. 먼저, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률( 법률 제11690호로 개정되기 전의 것, 이하 구 정보통신망법 이라 한다) 제44조의7 제3항이 정한 정보의 취급 거부 등 에 웹사이트의 웹호스팅

京 畿 鄕 土 史 學 第 16 輯 韓 國 文 化 院 聯 合 會 京 畿 道 支 會

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>

슬라이드 1


명동예술극장 개인정보 처리방침

우리나라의 전통문화에는 무엇이 있는지 알아봅시다. 우리나라의 전통문화를 체험합시다. 우리나라의 전통문화를 소중히 여기는 마음을 가집시다. 5. 우리 옷 한복의 특징 자료 3 참고 남자와 여자가 입는 한복의 종류 가 달랐다는 것을 알려 준다. 85쪽 문제 8, 9 자료

상품 전단지

::: 해당사항이 없을 경우 무 표시하시기 바랍니다. 검토항목 검 토 여 부 ( 표시) 시 민 : 유 ( ) 무 시 민 참 여 고 려 사 항 이 해 당 사 자 : 유 ( ) 무 전 문 가 : 유 ( ) 무 옴 브 즈 만 : 유 ( ) 무 법 령 규 정 : 교통 환경 재

2

DBPIA-NURIMEDIA

화이련(華以戀) hwp

ÆòÈ�´©¸® 94È£ ³»Áö_ÃÖÁ¾

歯1##01.PDF

<5BC1F8C7E0C1DF2D31B1C75D2DBCF6C1A4BABB2E687770>

120229(00)(1~3).indd

01Report_210-4.hwp

<C3D1BCB15FC0CCC8C45FBFECB8AE5FB1B3C0B0C0C75FB9E6C7E D352D32315FC5E4292E687770>



교육 과 학기 술부 고 시 제 호 초 중등교육법 제23조 제2항에 의거하여 초 중등학교 교육과정을 다음과 같이 고시합니다. 2011년 8월 9일 교육과학기술부장관 1. 초 중등학교 교육과정 총론은 별책 1 과 같습니다. 2. 초등학교 교육과정은 별책

시험지 출제 양식

177

제주어 교육자료(중등)-작업.hwp

¸é¸ñ¼Ò½ÄÁö 63È£_³»Áö ÃÖÁ¾

<C3D6C1BE5FBBF5B1B9BEEEBBFDC8B0B0DCBFEFC8A C3D6C1BEBABB292E687770>

초등국어에서 관용표현 지도 방안 연구

6±Ç¸ñÂ÷

과 위 가 오는 경우에는 앞말 받침을 대표음으로 바꾼 [다가페]와 [흐귀 에]가 올바른 발음이 [안자서], [할튼], [업쓰므로], [절믐] 풀이 자음으로 끝나는 말인 앉- 과 핥-, 없-, 젊- 에 각각 모음으로 시작하는 형식형태소인 -아서, -은, -으므로, -음

민주장정-노동운동(분권).indd

untitled

<C0CEBCE2BABB2D33C2F7BCF6C1A420B1B9BFAAC3D1BCAD203130B1C72E687770>


E1-정답및풀이(1~24)ok

< BDC3BAB8C1A4B1D4C6C75BC8A3BFDC D2E687770>

<C1B6BCB1B4EBBCBCBDC3B1E2342DC3D6C1BE2E687770>

최우석.hwp

교사용지도서_쓰기.hwp

時 習 說 ) 5), 원호설( 元 昊 說 ) 6) 등이 있다. 7) 이 가운데 임제설에 동의하는바, 상세한 논의는 황패강의 논의로 미루나 그의 논의에 논거로서 빠져 있는 부분을 보강하여 임제설에 대한 변증( 辨 證 )을 덧붙이고자 한다. 우선, 다음의 인용문을 보도록

cls46-06(심우영).hwp

0429bodo.hwp

伐)이라고 하였는데, 라자(羅字)는 나자(那字)로 쓰기도 하고 야자(耶字)로 쓰기도 한다. 또 서벌(徐伐)이라고도 한다. 세속에서 경자(京字)를 새겨 서벌(徐伐)이라고 한다. 이 때문에 또 사라(斯羅)라고 하기도 하고, 또 사로(斯盧)라고 하기도 한다. 재위 기간은 6

[ 목차 ]


- 2 - 결혼생활 유지에 중대한 지장을 초래하는 정신질환 병력과 최근 10년간 금고 이상의 범죄경력을 포함하고, 신상정보(상대방 언어 번역본 포함)의 내용을 보존토록 하는 등 현행법의 운영상 나타나는 일부 미비점을 개선 보완함으로써 국제결혼중개업체의 건전한 영업을 유

목 차 Ⅰ 개인정보보호법주요내용 Ⅱ I-PIN, My-PIN 활용 Ⅲ 개인정보보호를위한사업자수칙

Microsoft Word - mp1_protection_v2.docx

RHEV 2.2 인증서 만료 확인 및 갱신

Transcription:

2013. 12. 4 이성욱 팀장

Contents I II 금융개인정보 유출 사고 금융권 개인정보보호 컴플라이언스 동향 III 금융부문 개인정보보호 컴플라이언스 관리방안 IV 금융부문 개인정보 처리업무 수탁업체 관리방안 -2-

I. 금융개인정보 유출 사고 -3-

I. 금융개인정보 유출 사고 1. 사고 사례 및 처리결과 회사 개인(금융)정보침해 사고 개요 피해 및 사고내용 처리 결과 은행 은행 캐피탈 社 카드 社 캐피탈 社 담당자 실수로 단체메일에 고객 3만 여명의 이름, 이메일 등이 포함된 명단을 파일로 첨부해 발송( 06) 시중은행의 현금자동입출기(ATM)을 교체하면서 2천여만건의 개인금융 정보가 담긴 하드디스크 수백개를 중고상이 빼돌려 판매( 11.2) 캐피탈의 관리 부실을 이용하여 고객 175만여명의 개인정보를 해킹하고 캐피탈을 협박( 11.4) 카드사 서버를 196회에 걸쳐 해킹해 47만 여건을 노트북 복사 후 일부 유출( 11.8) 고객 8,000여명의 개인정보와 신용 정보를 조회하고 유출한 임직원 적발 ( 13.5) 유출 피해자 1,024명 손해배상 소송 제기 중고로 판매된 하드디스크에 저장된 약 1년까지의 저장 데이터(전자저널, 사진 등) H캐피탈이 서버에 접속할 수 있는 ID, 비밀번호와 해킹방지시스템에 대한 관리를 부실하게 한 것이 주요 원인 카드사 고객의 이름과 주민번호, 카드 번호 등 개인정보 192만 여건을 조회하고 이 가운데 47만 여건을 노트북에 옮기고, 이중 600여건을 텔레마케팅 업체에 넘김 개인정보처리시스템에 접속해 고객 정보를 조회하고, 고객의 성명 휴대 전화번호 회사명 신용등급 등이 담긴 정보를 별도 엑셀파일로 작성 한 후 회사 프린터 출력 또는 SNS를 통해 문자 또는 조회화면 사진파일을 제 3자에게 전달(개인신용정보 516건, 개인식별정보 5,280건 등) -4- 소송인 대상 배상금 지급 판결( 07) -이름, 이메일 : 10만원 -주민등록번호 포함 시 : 20만원 ATM 운송 폐기업체 대표 이모씨를 불구속 입건 금융당국에서 저장매체에 수록된 고객정보 관리 강화 요청 해커 및 개인정보를 판 대부업체 직원 기소(실형 선고) 금융당국으로부터 기관경고 와 함께 정보기술ㆍ보안 담당 임원 3명에 대한 감봉 3개월 의 중징계 개인정보 유출 혐의(신용정보의 이용 및 보호에 관한 법률 위반)로 고객관리 부서 박 모씨(34)에 대해 불구속 기소 금융당국에서 기관주의 및 과태료 600만원 을 부과 금융당국에서 기관주의 및 과태료 600만원 을 부과 사건에 관여한 직원 3명 '견책, 직원을 관리할 의무가 있는 임원 2명 '주의'의 제재조치

I. 금융개인정보 유출 사고 1. 사고 사례 및 처리결과 기타사항. 2013년 5월 해외 대규모 ATM 현금 인출 사고 뉴욕 연방경찰청은 지난해 12월 Ras Al-Khaimah PSC 국립은행과 올 2월 오만 무스카트 은행을 해킹해 전세계 20여개국 ATM에서 불법으로 4,500만 달러(한화 약 500억원)를 인출한 사이버 범죄자 7명을 금융사기 공모 및 돈세탁 등의 협의로 구속함 상대적으로 보안이 취약한 중동 은행을 대상으로 했으며 잔고와 인출한도를 조작하여 호텔키 또는 기한이 만료된 신용카드에 정보를 입력하여 카드를 배송하여 캐셔들이 인출함 호텔키 또는 기한만료 된 신용카드에 정보 입력 후 20여개국으로 배송 Hacker가 해킹을 통해 정보 조작 캐셔들이 배송받은 카드를 이용하여 ATM에서 인출 법인계좌 대상 인출한도 변경 잔액 변경 -5-

I. 금융개인정보 유출 사고 2. 피싱 파밍 스미싱 등을 통한 금융정보 유출 사례 유사도메인을 이용한 피싱 사고 개요 - 실제 인터넷 뱅킹 사이트 도메인과 유사한 도메인 사용 - 이용자 ID와 주민등록번호, 전화, 계좌번호, 비밀번호 등을 순차적으로 입력하도록 유도 - 미국/중국/홍콩 등에 서버를 두고 있고 도 메인 등록자 이름이 동일 시사점 - 실제 사이트와 유사한 도메인 사용 - 국내 금융기관 대상 피싱 공격 -6-

I. 금융개인정보 유출 사고 2. 피싱 파밍 스미싱 등을 통한 금융정보 유출 사례 가짜 은행사이트에 의한 피해 : SMS를 통한 보안승급 요청 메시지 +인터넷 사이트 주소 발송 등을 통한 피싱사이트 방문 유도 출처 : 2011.4.18 금융감독원 보도자료 ( 가짜 은행사이트로 유도하는 문자메시지 조심하세요! ) -7-

I. 금융개인정보 유출 사고 2. 피싱 파밍 스미싱 등을 통한 금융정보 유출 사례 신종 스미싱 공격기법 출현 등 소액결제 피해 지속 발생 금융정보 유출 시도, 공인인증서 탈취 및 보안카드 번호 입력 유도 등 2012년 발견된 스미싱 악성코드 29개, 2013년 1월~8월까지 총 2,433 개 발견됨 -8-

I. 금융개인정보 유출 사고 3. 개인정보 침해로 인한 피해 배경 기업 측면 개인정보 유출사고로 인한 2차 피해 발생으로 이용자의 정신적/금전적 피해 뿐만 아니라 해당 기업의 비즈니스 연속성에 큰 영향을 미침 형사책임(행정처분) 금전적 피해 발생 개인정보 유출 소송/분재조정 발생 고객이탈, 민원증가 매출감소/주가하락 이미지 하락/해고 파산 위기 개인정보 침해 집단 소송 현황 K이동통신사 5개월간 800여만명 고객정보 유출 집단소송 진행중 S사(N포털) 개인정보 유출 20만원 배상 위자료 지급 판결(2013. 2) - 대규모 개인정보 유출사건에 따른 이용자의 정신적 피해를 인정한 첫 판결 - 판결 이후 해당 기업의 주가가 약 7% 이상 폭락 3,500만명(유출 피해자) ⅹ 20만원 = 약7조(해당 기업 연 매출액(약 1,900억원의 35배) 진행 중인 H캐피탈(175만명), K통신회사(800만명)에 대입할 경우 - H캐피탈은 3,500억, K통신회사는 1조 6000억 추정 법원판결 : 해당 기업이 일련의 행위들이 피고가 개인정보 보호 의무에 소홀했다는 것을 의미한다 며 개인정보 유출이 재산상 피해를 입혔다는 입증 자료는 없으나 개인정보가 회수되지 않았기 때문에 위자료 지급 책임을 면할 수 없다 고 -9- 판결

I. 금융개인정보 유출 사고 3. 개인정보 침해로 인한 피해 금감원, 개인정보 허술 관리 금융회사 CEO에 주의 -10-

II. 금융권 개인정보보호 컴플라이언스 동향 -11-

II. 금융권 개인정보보호 컴플라이언스 동향 1. 컴플라이언스 이슈 개인정보보호법, 신용정보법, 정보통신망법 등 법률간 유사, 중복 등이 발생 가능 구분 신용정보법 정보통신망법 개인정보보호법 법률 성격 특별법 특별법 일반법 소관 부처 금융위원회 미래창조과학부 안전행정부 주요 적용 대상 신용정보 제공 이용자 등 (금융회사 등) 정보통신서비스제공자 등 (온라인 포털, 쇼핑몰 등) 공공 민간 사업자 (타 법률에서 정해지지 않은 모든 사업자) 용어 개인신용정보 개인정보 개인정보 기술적/관리적 조치 관련 기준 법 제19조 신용정보전산시스템의 안전보호 동법 시행령 제16조 신용정보업 감독규정 제20조 (별표3) 법 제28조 개인정보의 보호조치 동법 시행령 제15조 개인정보의 기술적 관리적 보호 조치 기준 법 제29조 안전조치의무 동법 시행령 제30조 개인정보의 안전성 확보 조치 기준 금융분야 개인정보보호 가이드라인에 따르면, 개인정보보호법, 신용정보법, 전자금융거래법 상 안전성 확보 조치 사항은 상당 부분 유사함 - 상이한 부분 : 내부관리계획 수정이력 관리(개인정보보호법), 사용자 계정 공동사용 예외적 허용 (전자금융거래법), 고유식별정보 내부망 저장시 암호화(개인정보보호법), 개인정보가 수록된 서류 /USB 등을 잠금장치가 있는 안전한 장소에 보관(개인정보보호법) 등 - 법률간 암호화 대상 및 보조저장매체 전달시 암호화, 비밀번호 일방향 암호화 적용 등도 상이 -12-

II. 금융권 개인정보보호 컴플라이언스 동향 1. 컴플라이언스 이슈 신용정보 vs 개인정보 신용정보 법인신용정보 개인신용정보 개인정보 인적사항 신념/사상 생체인식정보 법인명 법인등록번호 기업 지분보유 현황 소득 재산 카드/계좌번호 신용평가정보 교육정보 근로정보 병역정보 생체정보 신체정보 법적정보 신용정보법 개인정보보호법, 정보통신망법 -13-

II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 개인정보보호 법령 및 지침 고시 해설(안행부, 2011.12) 개인정보보호 법령 및 지침 고시 해설에서는 개인정보보호법, 동법 시행령/시행규칙, 표준지침 고시의 적용기준을 제시하고 있음 타 법률과의 관계에서 금융 관련은 신용정보법, 정보통신 분야는 정보통신망법을 중심 으로 비교 설명하고 있음 - 금융 개인정보보호 관련 법률로 신용정보법, 보험업법, 은행법, 금융실명거래법을 분류 금융 개인정보보호관련 법률 관련부처 제 개정일 신용정보의 이용 및 보호에 관한 법률 금융위원회(서민금융팀) 2011.9.30 보험업법 금융위원회(보험과) 2011.7.21 은행법 금융위원회(은행과) 2011.7.21 금융실명거래 및 비밀보장에 관한 법률 금융위원회(은행과) 2011.3.31-14-

II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 개인정보보호 법령집(안행부/NIA, 2012.3) 일반법인 개인정보보호법 관련 법규 및 각 분야별 개인정보보호 관련 법률을 분류함 - 개인정보보호법의 경우 관련 지침 고시 규칙 등 관련 법규 소개 - 개인정보 법률을 12개 분야 * 로 관련 법령 분류 * 행정일반, 재정 경제, 교육학술, 형사 사법, 병역 보훈, 농림 수산, 산업 공정거래, 보건 복지, 노동, 국토개발 교통, 금융 신용, 정보통신 금융 신용 분야에서 개인정보보호 관련 법률로 다음과 같이 총 10개 법률로 분류함 금융 신용 분야 개인정보보호관련 법률 관련부처 제 개정일 공중 등 협박목적을 위한 자금조달 행위의 금지에 관한 법률 금융위원회(금융정보분석원) 2011.9.15 금융실명거래 및 비밀보장에 관한 법률 금융위원회(은행과) 2011.3.31 금융지주회사법 금융위원회(금융정책과) 2010.6.8 보험업법 금융위원회(보험과) 2011.7.21 상호저축은행법 금융위원회(중소금융과) 2011.7.21 신용정보의 이용 및 보호에 관한 법률 금융위원회(서민금융팀) 2011.9.30 여신전문금융업법 금융위원회(중소금융과) 2012.3.21 은행법 금융위원회(은행과) 2011.7.21 전기통신금융사기 피해금 환급에 관한 특별법 금융위원회(은행과) 2011.3.29 전자금융거래법 금융위원회(전자금융팀) 2012.6.1-15-

II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융회사 개인정보보호 자체점검 체크리스트(금감원 개인정보TF, 2012.9) 개인정보보호 자체점검 체크리스트에서는 개인정보보호법 및 동법 시행령, 표준 지침, 안전성 확보조치 기준 고시를 반영하여 금융회사의 개인정보 자체점검 시 도움을 주기 위해 작성됨 - 개인정보의 Life Cycle에 따라 아래와 같이 4개 단계, 35개 점검항목으로 구성 배경 금융회사 CCTV 설치 운영시 유의사항(금감원 개인정보보호T/F, 2013.4) 개인정보보호법 시행(2011.9.30)으로 CCTV 설치 운영에 대한 의무사항이 크게 강화되었으며, 안전행정부는 민간분야 영상정보처리기기 설치 운영 가이드라인 을 마련하여 인터넷에 공개 (2012.12월) 이와 관련하여 금융회사가 CCTV 설치 운영 시 유의하여야 할 사항을 안내하고자 함 11개 주요항목, 20개 체크리스트로 구성됨 -16-

II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융분야 개인정보보호 가이드라인(2013.7) 발간 배경 개인정보 보호에 대한 사회적 요구 증가 - 개인정보의 오 남용이나 해킹 등을 통한 유출 사건이 발생함에 따라 개인정보 보호 강화를 위한 개인정보 보호법 제정(2011.9.30일 시행) 금융기관의 개인정보 보호를 위한 명확한 기준 제시 필요 - 기존 금융관련 법령과 중첩되는 내용이나 새롭게 적용되는 내용 등과 관련하여 금융업 담당자들의 실무상 혼란을 방지할 수 있도록 명확한 기준을 제시할 필요 발간 목적 금융업무 담당자의 개인정보 처리 지원 - 관계 법령의 제정 취지 및 내용, 업종별 특수성 등을 종합적으로 고려, 금융업 담당자가 실무에 참고할 수 있는 개인정보 처리 기준 제시 개인정보보호법 조기 정착 - 은행, 보험, 증권 등 금융 분야의 단계별 개인정보 처리 기준 및 유의사항을 관련 질의응답 사례 등을 통해 이해하기 쉽게 설명 -17-

II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융분야 개인정보보호 가이드라인(2013.7) 가이드라인 적용 대상 : 금융회사 발간부처 : 금융위원회, 금융감독원, 안전행정부 관련법 : 신용정보법, 전자금융거래법, 개인정보보호법 신용정보법과의 관계 개인정보 신용정보 <그 밖의 개인정보> <그 밖의 신용정보> 신용도 판단과 < 개인신용정보 > 무관한 정보로서 거래 상대방의 개인에 관한 정보 거래 상대방의 신용도 판단에 (임직원정보, 영상정보, 신용도 판단에 필요한 정보로서 거래상대방이 아닌 자의 필요한 정보로서 기업 및 법인 정보 정보, 상품소개 또는 구매 (법인등록번호, 금융 개인에 관한 정보 권유 목적의 정보 등 신용정보법 미적용 고객정보 등) (연락처, 금융거래 기록 등) 거래기록 등) <개인신용정보>와 <그 밖의 개인정보>를 포함하여 이하 개인(신용)정보 라 함 -18-

II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융분야 개인정보보호 가이드라인(2013.7) 법률 적용 원칙 개인신용정보 - 신용정보법을 우선 적용하고 신용정보법에 규정되어 있지 않은 사항은 개인정보 보호법을 적용하되, 전자금융거래법, 금융실명법 등 개별법에서 특별히 정하는 사항에 대해서는 해당 법률 적용 개인신용정보를 제외한 개인정보 (그 밖의 개인정보) - 금융실명법, 은행법 등 개별 법률에서 특별히 정하는 사항*을 우선 적용하고, 특별히 정하지 않은 사항에 대하여는 개인정보보호법 적용 * (예시) 금융실명법( 3), 은행법( 35의5), 자본시장법( 189), 금융지주회사법( 48의2) 등 신용정보 중 기업 법인에 관한 정보 (그 밖의 신용정보) - 신용정보법을 우선 적용하되, 신용정보법 미적용 업종은 개별 법률 적용 신용정보법은 신용정보제공이용자, 신용정보집중기관 및 신용정보회사에 대하여 적용 -19-

II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융회사의 개인정보문서 관리 유의사항(2013.8) -20-

II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융회사의 개인정보 처리시 유의사항 발표 (2013.9, 금감원) 금융회사 개인정보보호 실태에 대한 점검 결과, 주요 위반사항 내용 - 마케팅 목적의 개인정보 수집 시 미동의로 인한 서비스 거부 - 개인정보 처리 위탁계약서에 필수기재사항 누락 - PC에 보관된 개인정보파일에 안전성 확보조치 미흡 - 자동화기기 CCTV로 계좌번호 및 비밀번호를 촬영 보관 - 개인정보문서 파기 시 수탁업체에 대한 관리 소홀 등 배경 온라인상 주민번호 수집 이용 최소화 모범사례 (2013.10, 금감원) 금융권역별 의견을 수렴하여 마련한 온라인상 주민번호 대체가 가능한 모범사례 제공 - 금융서비스와 관련이 적은 서비스의 경우, 아이핀(i-PIN), 휴대폰 인증 등을 이용한 본인확인 방법으로 주민번호 사용을 대체 -21-

II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융회사의 개인정보보호 자가진단 조치 매뉴얼 (2013.11, 금감원) 금융회사에서 개인정보보호 업무 관련 자가진단 및 조치에 유용하게 활용할 수 있는 자가진단 체크리스트가 포함된 업무 매뉴얼을 마련하여 배포 - 개인정보보호제도 시행에 따른 자율규제의 강화를 위한 자료로 활용 - 개인정보보호 업무 일반(관리체계 구축, 처리단계별 보호기준 준수, 위탁업체 관리 강화, 암호화 등 안전성 확보조치 마련, 개인정보취급자에 대한 교육 강화) - CCTV 설치운영(설치운영 제한, 설치 운영 금지, 임의조작/녹음 금지, 안내판 설치, 운영/관리 방침 수립, 관리책임자 지정, 목적외 이용 및 제3자 제공, 보관 및 파기, 설치/운영 위탁, 설치/운영에 대한 점검 등) - 개인정보문서 관리(관리절차 마련, 파기절차 준수, 위탁관리 강화) - 개인정보 유출시 조치방법(5일이내 통지 또는 홈페이지 고지, 1만명 이상 유출된 경우 5일이내 안행부(KISA)에 신고, 금융위/금감원에 사고보고 등) -22-

III. 금융부문 개인정보보호 컴플라이언스 관리방안 (금융개인정보보호 컴플라이언스 참조가이드) -23-

III. 금융부문 개인정보보호 컴플라이언스 관리방안 1. Silo Approach(개별 접근 방식) Problems 개인정보 보호법 신용정보 보호법 전자금융 거래법 정보통신 망법 금융 실명제법 관련표준 및 인증 국제법 등 기타 법률 많은 비용 소모 - 컨설턴트들이 특정 분야에서 대해서만 전문성을 지니고 있어, 여러 분야의 Compliance 요구사항을 적용하는 기업은 많은 비용이 들어감 전반적인 Compliance에 대한 효과성 측정이 어려움 - Compliance 활동의 중복성 및 불일치가 발생할 가능성이 높으며, 통합화된 감시가 어려움 -24-

III. 금융부문 개인정보보호 컴플라이언스 관리방안 2. Unified Approach(통합 접근 방식) 개요 Network Frontiers LLC와 Latham & Watkins LLP(law firm)가 공동으로 2005년 최초 개발하였으며, 전 세계 법규, 표준 및 우수 사례를 분석하여 IT통제에 대한 단일 매트릭스 개발을 목표로 시작 현재 전 세계 500여개 법규 및 표준에 대해 분석함 Microsoft, CA, OpenPages 등 많은 회사들이 라이센스 계약을 체결하여 GRC 솔루션에 콘텐츠로 활용하고 있음 주요 내용 중복사항 매핑 - 주요 법규 또는 표준 기준으로 다른 법규 또는 표준들이 공통으로 갖고 있는 통제들을 매핑 통제 리스트 작성 - 조직과 관련 있는 법규 및 표준을 선택하여 이를 기준으로 조직의 통제 리스트를 생성 상충되는 부분 명확화 - 각 법규 및 표준이 요구하는 사항이 중복되는 부분에 대해 여러 전문가들의 의견을 참조하여 의사결정을 진행함 -25-

III. 금융부문 개인정보보호 컴플라이언스 관리방안 3. 컴플라이언스 통합 프레임워크 연구 연구 추진 배경 및 목적 추진배경 다양한 금융부문 정보보안 컴플라이언스의 중복 적용 금융부문 정보보안 체크리스트 일원화 필요 추진목적 금융부문별 정보보안 적용 수준의 차이 발생 금융회사의 정보보호 규제 준수 여부 확인 및 보안관리 강화 금융회사 정보보안 컴플라이언스 관리의 효율성 제고 및 비용절감 금융 부문별로 적합한 컴플라이언스 자가진단도구 개발 -26-

III. 금융부문 개인정보보호 컴플라이언스 관리방안 3. 컴플라이언스 통합 프레임워크 연구 금융권에서 많이 적용되는 법률, 표준, 기준 등을 중심으로 상관관계 분석 금융권 정보보안 규제의 중점 분석 국내외 기준 보안관련 규제 금융관련 규제 기타 규제 ISO27001 정보보호안전진단 전자금융거래법 국가정보화 기본법 KISA ISMS 정보통신망법 금융실명거래법 전자정부법 PCI-DSS 개인정보보호법 전자서명법 장애인차별금지법 Basel II 정보통신기반보호법 신용정보이용보호법 전자상거래 소비자보호법 SOX 전자거래기본법 자본시장금융투자법 IT컴플라이언스 항목 도출 정보보안 관련 통제의 분류 및 상관관계 분석 -27-

III. 금융부문 개인정보보호 컴플라이언스 관리방안 4. 금융IT 보안 컴플라이언스 참조가이드 개발(2012) 개발 배경 금융회사가 직면한 다양한 보안 규제(전자금융감독규정 모범규준, 타법률 등)에 대해 보다 체계적으로 컴플라이언스 활동을 지원할 수 있는 참조 가이드 개발 필요성 보안 위협이 증가함에 따라 금융당국은 정보보호 강화 정책의 일환으로 관련 법규 개정 작업을 통해 금융IT 보안 컴플라이언스 통제를 강화 금융회사에 필요한 금융IT 보안규제 사항을 중심으로 각 규제 사항을 이해하는데 참고할 수 있도록 전자금융거래법 중심의 금융IT 보안 컴플라이언스 참조 가이드 를 개발 -28-

III. 금융부문 개인정보보호 컴플라이언스 관리방안 4. 금융IT 보안 컴플라이언스 참조가이드 개발(2012) 배경 도메인/통제항목 금융IT 보안 컴플라이언스 통제항목은 11개 도메인, 47개 세부도메인, 204개 통제 항목 관리적 기술적 물리적 -29-

III. 금융부문 개인정보보호 컴플라이언스 관리방안 4. 금융IT 보안 컴플라이언스 참조가이드 개발(2012) 배경 참조가이드 구성 도메인 1, 2, 3, 4 도메인 6, 7, 8 도메인 5 도메인 9, 10, 11-30-

III. 금융부문 개인정보보호 컴플라이언스 관리방안 5. 금융개인정보보호 컴플라이언스 참조가이드 개발(2013.11) 개발 배경 금융권에 적용되는 개인정보보호 관련 법규 사항을 조사 분석하고, 각 규제사항을 이해 하는데 참고할 수 있는 다양한 정보를 제공하기 위해 컴플라이언스 참조가이드 개발 필요성 각종 고객 개인정보 유출사고 등으로 인하여 개인정보보호법 등 관련 규제 강화 신용정보법, 금융실명제법 등 개인정보와 관련된 법률과의 중복, 상충 등 이슈 존재 개인정보와 신용정보(이하 개인정보) 보호를 위해 다양한 법규에서 요구하는 법률적 사항들을 분석하여 관련 도메인/통제항목을 도출 후 금융회사에서 관련 법규 및 정보를 쉽게 참조가 가능한 금융개인정보보호 컴플라이언스 가이드 개발 -31-

III. 금융부문 개인정보보호 컴플라이언스 관리방안 5. 금융개인정보보호 컴플라이언스 참조가이드 개발(2013.11) 배경 도메인/통제항목 개인정보보호법 및 신용정보법을 중심으로 9개 도메인 84개의 통제항목 작성 -32-

III. 금융부문 개인정보보호 컴플라이언스 관리방안 5. 금융개인정보보호 컴플라이언스 참조가이드 개발(2013.11) 배경 참조가이드 내용 구 분 가. 도메인 및 적용법률 분류 내 용 도메인 이름과 관련 개인정보보호법 및 신용정보법 분류 등을 표현 나. 통제 사항 각 도메인별 통제항목과 통제 내용 등을 표현 다. 근거 법규 통제항목이 근거하고 있는 개인정보보호법 및 신용정보법 을 비교 분석 라. 요약 주요 참조 사항 및 해당 내용에 대한 요약 설명 마. 용어정의 관련 통제의 주요 단어에 대한 근거 법규 용어정의 인용 바. 통제항목 가이드 금융당국 및 중앙행정기관(안전행정부 등) 공식적인 문서(해 설서, 가이드 등) 비교 분석 사. 금융 관련 특별법 참고 사항 금융 관련법내 개인정보보호 관련 내용 비교 분석 아. 기타 타 법률 참고 사항 타 분야에서 관련 참고 내용 비교 분석 자. 국내외 표준 참고사항 ISO27001, K-ISMS 등 국내외 표준 내용 비교 분석 -33-

IV. 금융부문 개인정보 처리업무 수탁업체 관리방안 -34-

IV. 금융부문 개인정보 처리업무 수탁업체 관리방안 1. 법률 요구사항 및 현황 개인정보보호법 제26조 제4항에 따른 수탁자 감독 및 교육 <개인정보보호법 제26조제4항> 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실 도난 유출 변조 또는 훼손 되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수 탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. - 금융회사는 업무 특성상 많은 수탁사업자 * 와 계약(최소 수십개 회사) * DM업체, 신용정보회사, (위탁회사 통제 하의)공동 전산개발 및 유지 지원 업무 등 - 금융회사간의 업무 위수탁 관계 * 도 존재, 금융회사가 제3자로 부터 업무 수탁 받는 경우 ** * 제휴 현금카드 발급업무, 계좌개설 관련 자료 관리업무, 증권계좌 개설대행 업무 위탁 등 ** 은행의 아파트 관리비 수납 대행업무, 각종 공과금 수납 대행업무 등 - 다수의 회사와 계약을 맺은 수탁사업자는 다수의 회사로부터 감독 및 교육을 받아야 함 -35-

IV. 금융부문 개인정보 처리업무 수탁업체 관리방안 2. 대응 현황 개인정보 관련 업무 수탁자 감독 금융회사별 수탁자에 대한 개별 점검 수행(업무 부담) - 금융보안연구원에서 개인정보 수탁업체 안전성 점검 체크리스트 작성 및 제공 - 금융회사 점검 수행자 대상 점검 방법 등 교육 수행(요청시) - 향후 금융권에서 공동으로 계약하고 있는 대규모 수탁업체(신용정보회사 등)에 대한 합동 점검 등의 효율적인 방안 마련 필요 개인정보 관련 업무 수탁자 교육 공동/개별 수탁자 교육 수행 - (금융회사간 업무위수탁 관계에 있는 금융회사 대상)금융권 수탁업무 관련 개인정보 보호 교육 수행(2013.5, 금감원, 안행부, 금보원 참여), 하반기(2013. 10) 추가 교육 - 일부 금융회사에서는 수탁업체 대상 자체 교육 수행(업무 부담) - 2014년도에는 금융회사와 수탁관계가 있는 비금융회사 대상 교육 진행 예정 -36-

IV. 금융부문 개인정보 처리업무 수탁업체 관리방안 2. 대응 현황 개인정보 수탁업체 안전성 점검 체크리스트 영역 세부 영역 문항수 관리적 계약사항의 검토, 이행, 개선 3 내부관리계획의 수립 및 시행 2 점검문항은 개인정보의안전성확보조치 기준고시 와 관련 규정을 기준으로 작성 관리적, 기술적, 물리적 영역으로 구분 기술적 접근권한의 관리 3 사용자계정 및 비밀번호 관리 2 비인가 사용자 접근통제 4 개인정보 암호화 5 접근기록의 보관 2 보안프로그램 설치 및 운영 2 관리적 점검문항 5개 항목, 기술적 점검문항 18개 항목, 물리적 점검 문항 2개 항목으로 구성 관리적 영역은 계약 이행 및 내부관리계획 수립 및 관리, 기술적 영역은 시스템 접근통제 및 관리 영역에 대한 점검을 주요 목적으로 함, 물리적 물리적 접근통제 1 중요정보 보관관리 1 합 계 25 점검항목은 당일(1일) 점검이 수행이 가능 하도록 구성 물리적 영역은 주요 통제구역의 인력 및 주요자산의 접근통제와 중요정보의 물리적 보관관리를 주요 점검 목적으로 함 -37-

IV. 금융부문 개인정보 처리업무 수탁업체 관리방안 3. 업무 제휴, 위탁 등 외부 주문 관련 기타 이슈 전자금융보조업자 안전성 합동 점검 배 경 전자금융감독규정 제60조(외부주문등에 대한 기준) 1 금융기관 또는 전자금융업자는 전자금융거래를 위한 외부주문등의 경우에는 다음 각 호의 사항을 준수하여야 한다. 10. 전자금융보조업자에 대한 재무건전성을 연1회 이상 평가하여 재무상태 악화에 따른 도산에 대비하고 전자금융보조업자의 주요 경영활동에 대해 상시 모니터링을 실시 11. 전자금융보조업자가 제공하는 서비스의 품질수준을 연1회 이상 평가할 것 14. 외부주문등은 자체 보안성검토 및 정기 보안점검 실시 2 금융기관 또는 전자금융업자는 제1항제10호 및 제11호의 평가결과를 금융감독원장에게 보고하여야 한다. -38-

IV. 금융부문 개인정보 처리업무 수탁업체 관리방안 이미지를 표시할 수 없습니다. 컴퓨터 메모리가 부족하여 이미지를 열 수 없거나 이미지가 손상되었습니다. 컴퓨터를 다시 시작한 후 파일을 다시 여십시오. 여전히 빨간색 x가 나타나면 이미지를 삭제한 다음 다시 삽입해야 합니다. 3. 업무 제휴, 위탁 등 외부 주문 관련 기타 이슈 전자금융보조업자 안전성 합동 점검 개별 점검 - 금융회사/제휴사업자 모두 많은 인력 및 비용 소모 - 기준이 달라 서로 다른 결과 도출 금융회사 점검 체크리스트 합동 점검 - 공통의 목적을 가진 금융회사가 참여하여 점검대상 사업자에 대해 합동점검반을 구성하여 일관성있는 점검 체크리스트를 통해 점검 후 결과를 공유함으로 효율적인 점검 금융회사 점검 체크리스트 -39-

감사합니다 -40-