2013. 12. 4 이성욱 팀장
Contents I II 금융개인정보 유출 사고 금융권 개인정보보호 컴플라이언스 동향 III 금융부문 개인정보보호 컴플라이언스 관리방안 IV 금융부문 개인정보 처리업무 수탁업체 관리방안 -2-
I. 금융개인정보 유출 사고 -3-
I. 금융개인정보 유출 사고 1. 사고 사례 및 처리결과 회사 개인(금융)정보침해 사고 개요 피해 및 사고내용 처리 결과 은행 은행 캐피탈 社 카드 社 캐피탈 社 담당자 실수로 단체메일에 고객 3만 여명의 이름, 이메일 등이 포함된 명단을 파일로 첨부해 발송( 06) 시중은행의 현금자동입출기(ATM)을 교체하면서 2천여만건의 개인금융 정보가 담긴 하드디스크 수백개를 중고상이 빼돌려 판매( 11.2) 캐피탈의 관리 부실을 이용하여 고객 175만여명의 개인정보를 해킹하고 캐피탈을 협박( 11.4) 카드사 서버를 196회에 걸쳐 해킹해 47만 여건을 노트북 복사 후 일부 유출( 11.8) 고객 8,000여명의 개인정보와 신용 정보를 조회하고 유출한 임직원 적발 ( 13.5) 유출 피해자 1,024명 손해배상 소송 제기 중고로 판매된 하드디스크에 저장된 약 1년까지의 저장 데이터(전자저널, 사진 등) H캐피탈이 서버에 접속할 수 있는 ID, 비밀번호와 해킹방지시스템에 대한 관리를 부실하게 한 것이 주요 원인 카드사 고객의 이름과 주민번호, 카드 번호 등 개인정보 192만 여건을 조회하고 이 가운데 47만 여건을 노트북에 옮기고, 이중 600여건을 텔레마케팅 업체에 넘김 개인정보처리시스템에 접속해 고객 정보를 조회하고, 고객의 성명 휴대 전화번호 회사명 신용등급 등이 담긴 정보를 별도 엑셀파일로 작성 한 후 회사 프린터 출력 또는 SNS를 통해 문자 또는 조회화면 사진파일을 제 3자에게 전달(개인신용정보 516건, 개인식별정보 5,280건 등) -4- 소송인 대상 배상금 지급 판결( 07) -이름, 이메일 : 10만원 -주민등록번호 포함 시 : 20만원 ATM 운송 폐기업체 대표 이모씨를 불구속 입건 금융당국에서 저장매체에 수록된 고객정보 관리 강화 요청 해커 및 개인정보를 판 대부업체 직원 기소(실형 선고) 금융당국으로부터 기관경고 와 함께 정보기술ㆍ보안 담당 임원 3명에 대한 감봉 3개월 의 중징계 개인정보 유출 혐의(신용정보의 이용 및 보호에 관한 법률 위반)로 고객관리 부서 박 모씨(34)에 대해 불구속 기소 금융당국에서 기관주의 및 과태료 600만원 을 부과 금융당국에서 기관주의 및 과태료 600만원 을 부과 사건에 관여한 직원 3명 '견책, 직원을 관리할 의무가 있는 임원 2명 '주의'의 제재조치
I. 금융개인정보 유출 사고 1. 사고 사례 및 처리결과 기타사항. 2013년 5월 해외 대규모 ATM 현금 인출 사고 뉴욕 연방경찰청은 지난해 12월 Ras Al-Khaimah PSC 국립은행과 올 2월 오만 무스카트 은행을 해킹해 전세계 20여개국 ATM에서 불법으로 4,500만 달러(한화 약 500억원)를 인출한 사이버 범죄자 7명을 금융사기 공모 및 돈세탁 등의 협의로 구속함 상대적으로 보안이 취약한 중동 은행을 대상으로 했으며 잔고와 인출한도를 조작하여 호텔키 또는 기한이 만료된 신용카드에 정보를 입력하여 카드를 배송하여 캐셔들이 인출함 호텔키 또는 기한만료 된 신용카드에 정보 입력 후 20여개국으로 배송 Hacker가 해킹을 통해 정보 조작 캐셔들이 배송받은 카드를 이용하여 ATM에서 인출 법인계좌 대상 인출한도 변경 잔액 변경 -5-
I. 금융개인정보 유출 사고 2. 피싱 파밍 스미싱 등을 통한 금융정보 유출 사례 유사도메인을 이용한 피싱 사고 개요 - 실제 인터넷 뱅킹 사이트 도메인과 유사한 도메인 사용 - 이용자 ID와 주민등록번호, 전화, 계좌번호, 비밀번호 등을 순차적으로 입력하도록 유도 - 미국/중국/홍콩 등에 서버를 두고 있고 도 메인 등록자 이름이 동일 시사점 - 실제 사이트와 유사한 도메인 사용 - 국내 금융기관 대상 피싱 공격 -6-
I. 금융개인정보 유출 사고 2. 피싱 파밍 스미싱 등을 통한 금융정보 유출 사례 가짜 은행사이트에 의한 피해 : SMS를 통한 보안승급 요청 메시지 +인터넷 사이트 주소 발송 등을 통한 피싱사이트 방문 유도 출처 : 2011.4.18 금융감독원 보도자료 ( 가짜 은행사이트로 유도하는 문자메시지 조심하세요! ) -7-
I. 금융개인정보 유출 사고 2. 피싱 파밍 스미싱 등을 통한 금융정보 유출 사례 신종 스미싱 공격기법 출현 등 소액결제 피해 지속 발생 금융정보 유출 시도, 공인인증서 탈취 및 보안카드 번호 입력 유도 등 2012년 발견된 스미싱 악성코드 29개, 2013년 1월~8월까지 총 2,433 개 발견됨 -8-
I. 금융개인정보 유출 사고 3. 개인정보 침해로 인한 피해 배경 기업 측면 개인정보 유출사고로 인한 2차 피해 발생으로 이용자의 정신적/금전적 피해 뿐만 아니라 해당 기업의 비즈니스 연속성에 큰 영향을 미침 형사책임(행정처분) 금전적 피해 발생 개인정보 유출 소송/분재조정 발생 고객이탈, 민원증가 매출감소/주가하락 이미지 하락/해고 파산 위기 개인정보 침해 집단 소송 현황 K이동통신사 5개월간 800여만명 고객정보 유출 집단소송 진행중 S사(N포털) 개인정보 유출 20만원 배상 위자료 지급 판결(2013. 2) - 대규모 개인정보 유출사건에 따른 이용자의 정신적 피해를 인정한 첫 판결 - 판결 이후 해당 기업의 주가가 약 7% 이상 폭락 3,500만명(유출 피해자) ⅹ 20만원 = 약7조(해당 기업 연 매출액(약 1,900억원의 35배) 진행 중인 H캐피탈(175만명), K통신회사(800만명)에 대입할 경우 - H캐피탈은 3,500억, K통신회사는 1조 6000억 추정 법원판결 : 해당 기업이 일련의 행위들이 피고가 개인정보 보호 의무에 소홀했다는 것을 의미한다 며 개인정보 유출이 재산상 피해를 입혔다는 입증 자료는 없으나 개인정보가 회수되지 않았기 때문에 위자료 지급 책임을 면할 수 없다 고 -9- 판결
I. 금융개인정보 유출 사고 3. 개인정보 침해로 인한 피해 금감원, 개인정보 허술 관리 금융회사 CEO에 주의 -10-
II. 금융권 개인정보보호 컴플라이언스 동향 -11-
II. 금융권 개인정보보호 컴플라이언스 동향 1. 컴플라이언스 이슈 개인정보보호법, 신용정보법, 정보통신망법 등 법률간 유사, 중복 등이 발생 가능 구분 신용정보법 정보통신망법 개인정보보호법 법률 성격 특별법 특별법 일반법 소관 부처 금융위원회 미래창조과학부 안전행정부 주요 적용 대상 신용정보 제공 이용자 등 (금융회사 등) 정보통신서비스제공자 등 (온라인 포털, 쇼핑몰 등) 공공 민간 사업자 (타 법률에서 정해지지 않은 모든 사업자) 용어 개인신용정보 개인정보 개인정보 기술적/관리적 조치 관련 기준 법 제19조 신용정보전산시스템의 안전보호 동법 시행령 제16조 신용정보업 감독규정 제20조 (별표3) 법 제28조 개인정보의 보호조치 동법 시행령 제15조 개인정보의 기술적 관리적 보호 조치 기준 법 제29조 안전조치의무 동법 시행령 제30조 개인정보의 안전성 확보 조치 기준 금융분야 개인정보보호 가이드라인에 따르면, 개인정보보호법, 신용정보법, 전자금융거래법 상 안전성 확보 조치 사항은 상당 부분 유사함 - 상이한 부분 : 내부관리계획 수정이력 관리(개인정보보호법), 사용자 계정 공동사용 예외적 허용 (전자금융거래법), 고유식별정보 내부망 저장시 암호화(개인정보보호법), 개인정보가 수록된 서류 /USB 등을 잠금장치가 있는 안전한 장소에 보관(개인정보보호법) 등 - 법률간 암호화 대상 및 보조저장매체 전달시 암호화, 비밀번호 일방향 암호화 적용 등도 상이 -12-
II. 금융권 개인정보보호 컴플라이언스 동향 1. 컴플라이언스 이슈 신용정보 vs 개인정보 신용정보 법인신용정보 개인신용정보 개인정보 인적사항 신념/사상 생체인식정보 법인명 법인등록번호 기업 지분보유 현황 소득 재산 카드/계좌번호 신용평가정보 교육정보 근로정보 병역정보 생체정보 신체정보 법적정보 신용정보법 개인정보보호법, 정보통신망법 -13-
II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 개인정보보호 법령 및 지침 고시 해설(안행부, 2011.12) 개인정보보호 법령 및 지침 고시 해설에서는 개인정보보호법, 동법 시행령/시행규칙, 표준지침 고시의 적용기준을 제시하고 있음 타 법률과의 관계에서 금융 관련은 신용정보법, 정보통신 분야는 정보통신망법을 중심 으로 비교 설명하고 있음 - 금융 개인정보보호 관련 법률로 신용정보법, 보험업법, 은행법, 금융실명거래법을 분류 금융 개인정보보호관련 법률 관련부처 제 개정일 신용정보의 이용 및 보호에 관한 법률 금융위원회(서민금융팀) 2011.9.30 보험업법 금융위원회(보험과) 2011.7.21 은행법 금융위원회(은행과) 2011.7.21 금융실명거래 및 비밀보장에 관한 법률 금융위원회(은행과) 2011.3.31-14-
II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 개인정보보호 법령집(안행부/NIA, 2012.3) 일반법인 개인정보보호법 관련 법규 및 각 분야별 개인정보보호 관련 법률을 분류함 - 개인정보보호법의 경우 관련 지침 고시 규칙 등 관련 법규 소개 - 개인정보 법률을 12개 분야 * 로 관련 법령 분류 * 행정일반, 재정 경제, 교육학술, 형사 사법, 병역 보훈, 농림 수산, 산업 공정거래, 보건 복지, 노동, 국토개발 교통, 금융 신용, 정보통신 금융 신용 분야에서 개인정보보호 관련 법률로 다음과 같이 총 10개 법률로 분류함 금융 신용 분야 개인정보보호관련 법률 관련부처 제 개정일 공중 등 협박목적을 위한 자금조달 행위의 금지에 관한 법률 금융위원회(금융정보분석원) 2011.9.15 금융실명거래 및 비밀보장에 관한 법률 금융위원회(은행과) 2011.3.31 금융지주회사법 금융위원회(금융정책과) 2010.6.8 보험업법 금융위원회(보험과) 2011.7.21 상호저축은행법 금융위원회(중소금융과) 2011.7.21 신용정보의 이용 및 보호에 관한 법률 금융위원회(서민금융팀) 2011.9.30 여신전문금융업법 금융위원회(중소금융과) 2012.3.21 은행법 금융위원회(은행과) 2011.7.21 전기통신금융사기 피해금 환급에 관한 특별법 금융위원회(은행과) 2011.3.29 전자금융거래법 금융위원회(전자금융팀) 2012.6.1-15-
II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융회사 개인정보보호 자체점검 체크리스트(금감원 개인정보TF, 2012.9) 개인정보보호 자체점검 체크리스트에서는 개인정보보호법 및 동법 시행령, 표준 지침, 안전성 확보조치 기준 고시를 반영하여 금융회사의 개인정보 자체점검 시 도움을 주기 위해 작성됨 - 개인정보의 Life Cycle에 따라 아래와 같이 4개 단계, 35개 점검항목으로 구성 배경 금융회사 CCTV 설치 운영시 유의사항(금감원 개인정보보호T/F, 2013.4) 개인정보보호법 시행(2011.9.30)으로 CCTV 설치 운영에 대한 의무사항이 크게 강화되었으며, 안전행정부는 민간분야 영상정보처리기기 설치 운영 가이드라인 을 마련하여 인터넷에 공개 (2012.12월) 이와 관련하여 금융회사가 CCTV 설치 운영 시 유의하여야 할 사항을 안내하고자 함 11개 주요항목, 20개 체크리스트로 구성됨 -16-
II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융분야 개인정보보호 가이드라인(2013.7) 발간 배경 개인정보 보호에 대한 사회적 요구 증가 - 개인정보의 오 남용이나 해킹 등을 통한 유출 사건이 발생함에 따라 개인정보 보호 강화를 위한 개인정보 보호법 제정(2011.9.30일 시행) 금융기관의 개인정보 보호를 위한 명확한 기준 제시 필요 - 기존 금융관련 법령과 중첩되는 내용이나 새롭게 적용되는 내용 등과 관련하여 금융업 담당자들의 실무상 혼란을 방지할 수 있도록 명확한 기준을 제시할 필요 발간 목적 금융업무 담당자의 개인정보 처리 지원 - 관계 법령의 제정 취지 및 내용, 업종별 특수성 등을 종합적으로 고려, 금융업 담당자가 실무에 참고할 수 있는 개인정보 처리 기준 제시 개인정보보호법 조기 정착 - 은행, 보험, 증권 등 금융 분야의 단계별 개인정보 처리 기준 및 유의사항을 관련 질의응답 사례 등을 통해 이해하기 쉽게 설명 -17-
II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융분야 개인정보보호 가이드라인(2013.7) 가이드라인 적용 대상 : 금융회사 발간부처 : 금융위원회, 금융감독원, 안전행정부 관련법 : 신용정보법, 전자금융거래법, 개인정보보호법 신용정보법과의 관계 개인정보 신용정보 <그 밖의 개인정보> <그 밖의 신용정보> 신용도 판단과 < 개인신용정보 > 무관한 정보로서 거래 상대방의 개인에 관한 정보 거래 상대방의 신용도 판단에 (임직원정보, 영상정보, 신용도 판단에 필요한 정보로서 거래상대방이 아닌 자의 필요한 정보로서 기업 및 법인 정보 정보, 상품소개 또는 구매 (법인등록번호, 금융 개인에 관한 정보 권유 목적의 정보 등 신용정보법 미적용 고객정보 등) (연락처, 금융거래 기록 등) 거래기록 등) <개인신용정보>와 <그 밖의 개인정보>를 포함하여 이하 개인(신용)정보 라 함 -18-
II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융분야 개인정보보호 가이드라인(2013.7) 법률 적용 원칙 개인신용정보 - 신용정보법을 우선 적용하고 신용정보법에 규정되어 있지 않은 사항은 개인정보 보호법을 적용하되, 전자금융거래법, 금융실명법 등 개별법에서 특별히 정하는 사항에 대해서는 해당 법률 적용 개인신용정보를 제외한 개인정보 (그 밖의 개인정보) - 금융실명법, 은행법 등 개별 법률에서 특별히 정하는 사항*을 우선 적용하고, 특별히 정하지 않은 사항에 대하여는 개인정보보호법 적용 * (예시) 금융실명법( 3), 은행법( 35의5), 자본시장법( 189), 금융지주회사법( 48의2) 등 신용정보 중 기업 법인에 관한 정보 (그 밖의 신용정보) - 신용정보법을 우선 적용하되, 신용정보법 미적용 업종은 개별 법률 적용 신용정보법은 신용정보제공이용자, 신용정보집중기관 및 신용정보회사에 대하여 적용 -19-
II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융회사의 개인정보문서 관리 유의사항(2013.8) -20-
II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융회사의 개인정보 처리시 유의사항 발표 (2013.9, 금감원) 금융회사 개인정보보호 실태에 대한 점검 결과, 주요 위반사항 내용 - 마케팅 목적의 개인정보 수집 시 미동의로 인한 서비스 거부 - 개인정보 처리 위탁계약서에 필수기재사항 누락 - PC에 보관된 개인정보파일에 안전성 확보조치 미흡 - 자동화기기 CCTV로 계좌번호 및 비밀번호를 촬영 보관 - 개인정보문서 파기 시 수탁업체에 대한 관리 소홀 등 배경 온라인상 주민번호 수집 이용 최소화 모범사례 (2013.10, 금감원) 금융권역별 의견을 수렴하여 마련한 온라인상 주민번호 대체가 가능한 모범사례 제공 - 금융서비스와 관련이 적은 서비스의 경우, 아이핀(i-PIN), 휴대폰 인증 등을 이용한 본인확인 방법으로 주민번호 사용을 대체 -21-
II. 금융권 개인정보보호 컴플라이언스 동향 2. 금융부문 개인정보보호 컴플라이언스 배경 금융회사의 개인정보보호 자가진단 조치 매뉴얼 (2013.11, 금감원) 금융회사에서 개인정보보호 업무 관련 자가진단 및 조치에 유용하게 활용할 수 있는 자가진단 체크리스트가 포함된 업무 매뉴얼을 마련하여 배포 - 개인정보보호제도 시행에 따른 자율규제의 강화를 위한 자료로 활용 - 개인정보보호 업무 일반(관리체계 구축, 처리단계별 보호기준 준수, 위탁업체 관리 강화, 암호화 등 안전성 확보조치 마련, 개인정보취급자에 대한 교육 강화) - CCTV 설치운영(설치운영 제한, 설치 운영 금지, 임의조작/녹음 금지, 안내판 설치, 운영/관리 방침 수립, 관리책임자 지정, 목적외 이용 및 제3자 제공, 보관 및 파기, 설치/운영 위탁, 설치/운영에 대한 점검 등) - 개인정보문서 관리(관리절차 마련, 파기절차 준수, 위탁관리 강화) - 개인정보 유출시 조치방법(5일이내 통지 또는 홈페이지 고지, 1만명 이상 유출된 경우 5일이내 안행부(KISA)에 신고, 금융위/금감원에 사고보고 등) -22-
III. 금융부문 개인정보보호 컴플라이언스 관리방안 (금융개인정보보호 컴플라이언스 참조가이드) -23-
III. 금융부문 개인정보보호 컴플라이언스 관리방안 1. Silo Approach(개별 접근 방식) Problems 개인정보 보호법 신용정보 보호법 전자금융 거래법 정보통신 망법 금융 실명제법 관련표준 및 인증 국제법 등 기타 법률 많은 비용 소모 - 컨설턴트들이 특정 분야에서 대해서만 전문성을 지니고 있어, 여러 분야의 Compliance 요구사항을 적용하는 기업은 많은 비용이 들어감 전반적인 Compliance에 대한 효과성 측정이 어려움 - Compliance 활동의 중복성 및 불일치가 발생할 가능성이 높으며, 통합화된 감시가 어려움 -24-
III. 금융부문 개인정보보호 컴플라이언스 관리방안 2. Unified Approach(통합 접근 방식) 개요 Network Frontiers LLC와 Latham & Watkins LLP(law firm)가 공동으로 2005년 최초 개발하였으며, 전 세계 법규, 표준 및 우수 사례를 분석하여 IT통제에 대한 단일 매트릭스 개발을 목표로 시작 현재 전 세계 500여개 법규 및 표준에 대해 분석함 Microsoft, CA, OpenPages 등 많은 회사들이 라이센스 계약을 체결하여 GRC 솔루션에 콘텐츠로 활용하고 있음 주요 내용 중복사항 매핑 - 주요 법규 또는 표준 기준으로 다른 법규 또는 표준들이 공통으로 갖고 있는 통제들을 매핑 통제 리스트 작성 - 조직과 관련 있는 법규 및 표준을 선택하여 이를 기준으로 조직의 통제 리스트를 생성 상충되는 부분 명확화 - 각 법규 및 표준이 요구하는 사항이 중복되는 부분에 대해 여러 전문가들의 의견을 참조하여 의사결정을 진행함 -25-
III. 금융부문 개인정보보호 컴플라이언스 관리방안 3. 컴플라이언스 통합 프레임워크 연구 연구 추진 배경 및 목적 추진배경 다양한 금융부문 정보보안 컴플라이언스의 중복 적용 금융부문 정보보안 체크리스트 일원화 필요 추진목적 금융부문별 정보보안 적용 수준의 차이 발생 금융회사의 정보보호 규제 준수 여부 확인 및 보안관리 강화 금융회사 정보보안 컴플라이언스 관리의 효율성 제고 및 비용절감 금융 부문별로 적합한 컴플라이언스 자가진단도구 개발 -26-
III. 금융부문 개인정보보호 컴플라이언스 관리방안 3. 컴플라이언스 통합 프레임워크 연구 금융권에서 많이 적용되는 법률, 표준, 기준 등을 중심으로 상관관계 분석 금융권 정보보안 규제의 중점 분석 국내외 기준 보안관련 규제 금융관련 규제 기타 규제 ISO27001 정보보호안전진단 전자금융거래법 국가정보화 기본법 KISA ISMS 정보통신망법 금융실명거래법 전자정부법 PCI-DSS 개인정보보호법 전자서명법 장애인차별금지법 Basel II 정보통신기반보호법 신용정보이용보호법 전자상거래 소비자보호법 SOX 전자거래기본법 자본시장금융투자법 IT컴플라이언스 항목 도출 정보보안 관련 통제의 분류 및 상관관계 분석 -27-
III. 금융부문 개인정보보호 컴플라이언스 관리방안 4. 금융IT 보안 컴플라이언스 참조가이드 개발(2012) 개발 배경 금융회사가 직면한 다양한 보안 규제(전자금융감독규정 모범규준, 타법률 등)에 대해 보다 체계적으로 컴플라이언스 활동을 지원할 수 있는 참조 가이드 개발 필요성 보안 위협이 증가함에 따라 금융당국은 정보보호 강화 정책의 일환으로 관련 법규 개정 작업을 통해 금융IT 보안 컴플라이언스 통제를 강화 금융회사에 필요한 금융IT 보안규제 사항을 중심으로 각 규제 사항을 이해하는데 참고할 수 있도록 전자금융거래법 중심의 금융IT 보안 컴플라이언스 참조 가이드 를 개발 -28-
III. 금융부문 개인정보보호 컴플라이언스 관리방안 4. 금융IT 보안 컴플라이언스 참조가이드 개발(2012) 배경 도메인/통제항목 금융IT 보안 컴플라이언스 통제항목은 11개 도메인, 47개 세부도메인, 204개 통제 항목 관리적 기술적 물리적 -29-
III. 금융부문 개인정보보호 컴플라이언스 관리방안 4. 금융IT 보안 컴플라이언스 참조가이드 개발(2012) 배경 참조가이드 구성 도메인 1, 2, 3, 4 도메인 6, 7, 8 도메인 5 도메인 9, 10, 11-30-
III. 금융부문 개인정보보호 컴플라이언스 관리방안 5. 금융개인정보보호 컴플라이언스 참조가이드 개발(2013.11) 개발 배경 금융권에 적용되는 개인정보보호 관련 법규 사항을 조사 분석하고, 각 규제사항을 이해 하는데 참고할 수 있는 다양한 정보를 제공하기 위해 컴플라이언스 참조가이드 개발 필요성 각종 고객 개인정보 유출사고 등으로 인하여 개인정보보호법 등 관련 규제 강화 신용정보법, 금융실명제법 등 개인정보와 관련된 법률과의 중복, 상충 등 이슈 존재 개인정보와 신용정보(이하 개인정보) 보호를 위해 다양한 법규에서 요구하는 법률적 사항들을 분석하여 관련 도메인/통제항목을 도출 후 금융회사에서 관련 법규 및 정보를 쉽게 참조가 가능한 금융개인정보보호 컴플라이언스 가이드 개발 -31-
III. 금융부문 개인정보보호 컴플라이언스 관리방안 5. 금융개인정보보호 컴플라이언스 참조가이드 개발(2013.11) 배경 도메인/통제항목 개인정보보호법 및 신용정보법을 중심으로 9개 도메인 84개의 통제항목 작성 -32-
III. 금융부문 개인정보보호 컴플라이언스 관리방안 5. 금융개인정보보호 컴플라이언스 참조가이드 개발(2013.11) 배경 참조가이드 내용 구 분 가. 도메인 및 적용법률 분류 내 용 도메인 이름과 관련 개인정보보호법 및 신용정보법 분류 등을 표현 나. 통제 사항 각 도메인별 통제항목과 통제 내용 등을 표현 다. 근거 법규 통제항목이 근거하고 있는 개인정보보호법 및 신용정보법 을 비교 분석 라. 요약 주요 참조 사항 및 해당 내용에 대한 요약 설명 마. 용어정의 관련 통제의 주요 단어에 대한 근거 법규 용어정의 인용 바. 통제항목 가이드 금융당국 및 중앙행정기관(안전행정부 등) 공식적인 문서(해 설서, 가이드 등) 비교 분석 사. 금융 관련 특별법 참고 사항 금융 관련법내 개인정보보호 관련 내용 비교 분석 아. 기타 타 법률 참고 사항 타 분야에서 관련 참고 내용 비교 분석 자. 국내외 표준 참고사항 ISO27001, K-ISMS 등 국내외 표준 내용 비교 분석 -33-
IV. 금융부문 개인정보 처리업무 수탁업체 관리방안 -34-
IV. 금융부문 개인정보 처리업무 수탁업체 관리방안 1. 법률 요구사항 및 현황 개인정보보호법 제26조 제4항에 따른 수탁자 감독 및 교육 <개인정보보호법 제26조제4항> 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실 도난 유출 변조 또는 훼손 되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수 탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. - 금융회사는 업무 특성상 많은 수탁사업자 * 와 계약(최소 수십개 회사) * DM업체, 신용정보회사, (위탁회사 통제 하의)공동 전산개발 및 유지 지원 업무 등 - 금융회사간의 업무 위수탁 관계 * 도 존재, 금융회사가 제3자로 부터 업무 수탁 받는 경우 ** * 제휴 현금카드 발급업무, 계좌개설 관련 자료 관리업무, 증권계좌 개설대행 업무 위탁 등 ** 은행의 아파트 관리비 수납 대행업무, 각종 공과금 수납 대행업무 등 - 다수의 회사와 계약을 맺은 수탁사업자는 다수의 회사로부터 감독 및 교육을 받아야 함 -35-
IV. 금융부문 개인정보 처리업무 수탁업체 관리방안 2. 대응 현황 개인정보 관련 업무 수탁자 감독 금융회사별 수탁자에 대한 개별 점검 수행(업무 부담) - 금융보안연구원에서 개인정보 수탁업체 안전성 점검 체크리스트 작성 및 제공 - 금융회사 점검 수행자 대상 점검 방법 등 교육 수행(요청시) - 향후 금융권에서 공동으로 계약하고 있는 대규모 수탁업체(신용정보회사 등)에 대한 합동 점검 등의 효율적인 방안 마련 필요 개인정보 관련 업무 수탁자 교육 공동/개별 수탁자 교육 수행 - (금융회사간 업무위수탁 관계에 있는 금융회사 대상)금융권 수탁업무 관련 개인정보 보호 교육 수행(2013.5, 금감원, 안행부, 금보원 참여), 하반기(2013. 10) 추가 교육 - 일부 금융회사에서는 수탁업체 대상 자체 교육 수행(업무 부담) - 2014년도에는 금융회사와 수탁관계가 있는 비금융회사 대상 교육 진행 예정 -36-
IV. 금융부문 개인정보 처리업무 수탁업체 관리방안 2. 대응 현황 개인정보 수탁업체 안전성 점검 체크리스트 영역 세부 영역 문항수 관리적 계약사항의 검토, 이행, 개선 3 내부관리계획의 수립 및 시행 2 점검문항은 개인정보의안전성확보조치 기준고시 와 관련 규정을 기준으로 작성 관리적, 기술적, 물리적 영역으로 구분 기술적 접근권한의 관리 3 사용자계정 및 비밀번호 관리 2 비인가 사용자 접근통제 4 개인정보 암호화 5 접근기록의 보관 2 보안프로그램 설치 및 운영 2 관리적 점검문항 5개 항목, 기술적 점검문항 18개 항목, 물리적 점검 문항 2개 항목으로 구성 관리적 영역은 계약 이행 및 내부관리계획 수립 및 관리, 기술적 영역은 시스템 접근통제 및 관리 영역에 대한 점검을 주요 목적으로 함, 물리적 물리적 접근통제 1 중요정보 보관관리 1 합 계 25 점검항목은 당일(1일) 점검이 수행이 가능 하도록 구성 물리적 영역은 주요 통제구역의 인력 및 주요자산의 접근통제와 중요정보의 물리적 보관관리를 주요 점검 목적으로 함 -37-
IV. 금융부문 개인정보 처리업무 수탁업체 관리방안 3. 업무 제휴, 위탁 등 외부 주문 관련 기타 이슈 전자금융보조업자 안전성 합동 점검 배 경 전자금융감독규정 제60조(외부주문등에 대한 기준) 1 금융기관 또는 전자금융업자는 전자금융거래를 위한 외부주문등의 경우에는 다음 각 호의 사항을 준수하여야 한다. 10. 전자금융보조업자에 대한 재무건전성을 연1회 이상 평가하여 재무상태 악화에 따른 도산에 대비하고 전자금융보조업자의 주요 경영활동에 대해 상시 모니터링을 실시 11. 전자금융보조업자가 제공하는 서비스의 품질수준을 연1회 이상 평가할 것 14. 외부주문등은 자체 보안성검토 및 정기 보안점검 실시 2 금융기관 또는 전자금융업자는 제1항제10호 및 제11호의 평가결과를 금융감독원장에게 보고하여야 한다. -38-
IV. 금융부문 개인정보 처리업무 수탁업체 관리방안 이미지를 표시할 수 없습니다. 컴퓨터 메모리가 부족하여 이미지를 열 수 없거나 이미지가 손상되었습니다. 컴퓨터를 다시 시작한 후 파일을 다시 여십시오. 여전히 빨간색 x가 나타나면 이미지를 삭제한 다음 다시 삽입해야 합니다. 3. 업무 제휴, 위탁 등 외부 주문 관련 기타 이슈 전자금융보조업자 안전성 합동 점검 개별 점검 - 금융회사/제휴사업자 모두 많은 인력 및 비용 소모 - 기준이 달라 서로 다른 결과 도출 금융회사 점검 체크리스트 합동 점검 - 공통의 목적을 가진 금융회사가 참여하여 점검대상 사업자에 대해 합동점검반을 구성하여 일관성있는 점검 체크리스트를 통해 점검 후 결과를 공유함으로 효율적인 점검 금융회사 점검 체크리스트 -39-
감사합니다 -40-