금융기관 개인정보관리에 관한 개인정보법 내용 정리 - 금융정보원 제공 기반

IT/정보보안|2020. 7. 7. 09:08

안녕하세요 직장인 블로거입니다. 이번시간에는 제가 업무적으로 필요하여 수강하고 있는 금융정보원 정보보안 관련 내용 중 일부를 포스팅합니다. 

 

개인정보 및 정보통신망법과 관련한 내용은 굉장히 광범위합니다. 또한 법, 시행령, 시행규칙, 규정 등 하나의 법위 다수의 규정이나 규칙이 있는 경우도 많죠.

 

특히, 금융기관의 규모가 커지면 커질수록 지켜야 할 수칙이나 범위도 넓어지니 그 많은 법과 하위령들을 하나하나 다 외워서 업무에 적용하는 컴플라이언스는 너무 어려운거 같습니다.

 

이 중 최근 수강한 정보보안 강의에서 꼭 필요한 몇가지 내용을 포스팅합니다. 저도 이렇게 적으면서 업무적으로 참고하려고 합니다. 필요하신 분들도 참고하세요(금융정보원에서 제공한 내용이라 신뢰성은 보증할 것입니다).

 

금융기관 정보보안

 

 

 

1.실지명의에 의한 금융거래를 위해 제정된 법률로는 금융실명거래 비밀보장에 관한 법률이 있습니다.

 

- 실지명의란 금융 실명 거래  비밀 보장에 관한 법률 따른, 주민 등록표상의 명의, 사업자 등록증상의 명의, 기타 대통령령이 정하는 명의를 이르는 말입니다(네이버 사전 참고)

 

 

2."전자서명"이라 함은 서명자를 확인하고 서명자가 당해 전자문서에 서명을 하였음을 나타내는데 이용하기 위하여 당해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보를 말합니다.

 

 

3.[정보통신망법]에서는 비밀번호의 일방향 암호화 저장이 명시되어 있습니다

 

- 일방향 암호화란, 이론적으로 복호화가 불가능한 암호 알고리즘을 사용하는 암호화 시스템입니다. 따라서 일방향 암호화 시스템에 의해 암호화된 비밀번호가 유출되어도 안전이 보장됩니다. 이러한 암호시스템에서 사용되는 암호화 알고리즘을 해쉬(Hash)함수라고 부르며 MD-5, SHA-1, SHA-256 등 여러 알고리즘이 공개되어 있습니다.

 

 

4.[개인정보보호법]에서의 '개인정보의 안전성 확보조치 기준’에서의 접근 권한의 관리는 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무담당자에 따라 차등 부여하여야 합니다.

 

 

5.신용정보법은 신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를 도모하며 신용정보의 오용ㆍ남용으로부터 사생활의 비밀 등을 적절히 보호함으로써 건전한 신용질서의 확립에 이바지함을 목적으로 합니다.

 

 

6.개인정보법 고유식별정보는 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가 있습니다.

 

 

7.[정보통신망법]에서는 주민등록번호를 이용할 수 있는 사업자는 주민등록번호 없이도 본인확인이 가능한 ‘주민등록번호 대체수단’을 반드시 제공해야 합니다.

 

 

8.[개인정보보호법]에서의 '개인정보의 안전성 확보조치 기준’에서의 접근 권한의 관리는 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무담당자에 따라 차등 부여하여야 합니다.

 

- 법에서 정의한 개인정보처리자는 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(개인정보보호법 제2조).

 

 

9.[정보통신망법]에서 방송통신위원회가 정하여 고시하는 정보의 암호화 저장의 대상으로는 주민등록번호, 계좌정보 및 바이오정보 등이 있습니다.

 

- 바이오정보란, 지문, 홍채, 음성, 필적 등 개인의 신체적·행동적 특성에 관한 정보로서 개인을 인증 또는 식별하기 위하여 기술적으로 처리되는 개인정보를 말합니다(바이오정보보호 가이드 라인 - 방송통신위원회)

 

 

10.불법정보수요로 인하여 개인정보가 불법 개인정보 유통업자(대출모집인 등)에게 전달되는데, 이는 개인정보가 유출되는 경로이므로 적법한 정보의 유통이라고 할 수 없습니다.

 

- 금융회사에서의 대출모집인이란, 금융회사와 업무위탁계약을 체결하고 대출상품 소개 및 상담, 관련서류 전달 등을 수행하는 개인 대출상담사와 대출모집법인을 의미합니다.

 

 

 

11.단계별 정보보호를 강화하기 위해서 정보의 보유 및 활용 단계에서 금융지주그룹이 분사 시 제3자에게 개인정보를 제공할 때는 필수사항과 선택사항을 구분하여 각각 별도의 동의를 받도록 하여야하며, 비대면 영업의 엄격한 통제, 내부통제절차 강화,고객정부 외부영업 이용 제한을 하여야 합니다.

 

 

12.금융회사 개인정보 유출 재발방지를 위하여 금융회사의 책임을 강화하고, 임원의 책임을 확대하여 사고 발생 시 엄정한 제재를 가하는 것이 필요합니다.

 

 

13.개인정보보호를 위한 정보주체의 권리침해와 피해구제 제도

 

1) 단 1건의 개인정보만 유출되더라도 정보주체에게 그 내용을 지체없이 통지

2) 정보주체의 권리보장을 위하여 개인정보보호법에는 정보주체의 열람, 정정·삭제 및 처리정지 요구권이 규정 
3) 개인정보 피해가 다수에게 발생한 경우 집단분쟁조정의 신청이 가능하도록 개인정보보호법에 관련 규정
4) 개인정보 유출사고가 발생한 경우 소비자단체 등은 법원에 개인정보 침해를 이유로 한 손해배상 청구를 할 수는 없고, 해당 개인정보처리자에게 권리침해행위의 금지 및 중지를 청구 가능

 

 

14.개인정보의 유출통지1건 이상의 개인정보가 유출되면 의무적으로 반드시 정보주체에게 통지해야 합니다.

 

 

15.금융사고 발생 시 금융회사가 조치

 

1) 사고대응 전담부서 운영 등 대응매뉴얼 시행

2) 정보유출 사고 내역을 고객에 신속, 안전하게 통보함
3) 민원처리 과정에서 점포혼잡 등 국민불편 최소화

 

 

16.개인정보보호를 위해 규칙을 준수하는 문화를 확립하는 방안

 

1) 개선된 법 제도를 알리고 지키도록 하는 문화의 확립
3) 기업의 책임 있는 개인정보 보호 및 관리 대책
3) 관리 · 감독하는 금융당국의 부단한 노력

 

 

17.금융사고 발생 시 고객 통보 단계에서 금융회사의 역할

 

1) 사이트에서 정보유출 조회가 가능하도록 시스템을 가동
2) 이메일과 우편으로 개별적으로 사고 사실을 통지
3) 24시간 비상대응센터를 가동해서 고객이 어떻게 대응해야 하는지 요령을 전파

 

 

18.행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부가 합동으로 2014년 7월에 내놓은 개인정보보호 정상화 7대 핵심 과제의 내용

 

1) 신체 · 재산 상 중대한 피해 등 불가피한 경우에는 ‘주민등록번호를 제한적으로 변경할 수 있도록 허용

2) 쉽게 구제받고 확실한 책임을 묻는 새로운 손해배상제도 도입
3) 관련 범죄수익을 환수하고 ‘개인정보범죄에 대한 처벌 강화

4) 인터넷․불법 유통시장에 떠돌고 있는 개인정보를 삭제하여 파기

 

 

19.금융회사의 주민등록번호는 암호화 보관이 원칙이며(개인정보보호법 제29조), 종합대책에서도 '외부망은 물론 내부망에도 암호화 보관'을 명시하고 있음(금융분야 개인정보 유출 재발방지 종합대책, 2014. 3월)

 

 

20.금융 회사 개인정보는 필요 최소한으로 수집해야 함

 

 

 

21.개인정보를 목적 외로 이용하거나 제3자 제공하는 경우의 기준

 

1) 신용정보 집중관리 및 활용을 위해 제공하는 것은 동의 없이 가능
2) 법원의 제출 명령에 따라 제공하는 것은 동의 없이 가능

3) 영장에 의해 제공하는 것은 동의 없이 가능

4) 별도 동의가 있었다면 당초 목적 외로 이용하거나 제3자 제공이 가능(개인정보보호법 제18조)

 

 

22.만약 고객이 마케팅 목적의 개인정보 수집에 대해 동의하지 않는다면, 금융회사는 그 고객에 대해 금융계좌 개설을 거부할 수 없음(마케팅 목적의 개인정보 수집을 거부하여도 본질적인 재화 또는 서비스의 제공을 거부할 수 없음)

 

 

23.개인정보 유출사고 발생시에는 예외없이 정보주체에 대한 통지조치가 시행되어야 합니다. (개인정보보호법 제34조)

 

 

24.금융회사 개인정보 보관 시 상대적으로 규모가 영세하고 장소도 협소한 금융회사는 반드시 별도 물리적 보관장소를 갖출 필요는 없으며 다만 최소한의 잠금장치 보관조치를 취해야 합니다.

 

 

25.개인정보 수집은 원칙적으로 동의를 받아야 하나, 법률에 규정된 경우 등은 동의 없이 수집 가능합니다.

 

 

26.금융보안연구원이 운영중인 수탁업체 개인정보보호 교육 프로그램을 이수한 경우 개인정보보호법 등에 따른 교육의무 이행을 위해 상당히 노력한 것으로 인정됩니다.

 

 

27.법인(法人)에 관한 정보는 원칙적으로 개인정보에 해당되지 않습니다.

 

- 개인정보는 생존하는 개인에 관한 정보이므로 법인정보는 원칙적으로 개인정보에 해당하지 않음

 

 

28.개인정보취급자에 대한 설명

1) 정식 임직원은 물론이고, 파견근로자나 시간제근로자 등 근로 형태를 불문하고 개인정보 관련 업무를 처리하고 있으면 개인정보취급자에 해당됩니다.

2) 업무를 목적으로 개인정보를 처리하는 자은 '개인정보처리자'입니다.
3) 개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 자는 '개인정보취급자'입니다.
4) 금융회사의 개인정보 관련 업무를 처리하는 현업 직원이 개인정보취급자가 될 수 있습니다.

댓글()