[정보유출 방지대책]세부적인 내용 '질의응답'
2014-03-10 09:00
아주경제 김부원 기자 = 금융위원회, 기획재정부, 미래창조과학부, 안전행정부, 방송통신위원회, 금융감독원 등은 '금융분야 개인정보 유출 재발방지 종합대책'을 10일 발표했다. 다음은 이번 종합대책과 관련한 세부적인 질의응답.
-동의서 양식은 구체적으로 어떻게 변경되나?
▶'필수 사항'과 '선택사항'을 별도 페이지로 구분하고, 필수사항부터 일괄적으로 동의함으로써 계약을 체결한다. 선택사항에 동의하지 않는다고 서비스 제공이 거부돼선 안 된다.
제3자 정보제공의 경우 포괄적 동의를 금지하고, 정보제공의 대상·목적별로 그룹화해 각각 동의를 받는다. 현재 '제공목적 달성시까지' 등으로 규정된 정보 보유 기간을 '거래 종료 이후 2년 내' 등으로 구체적으로 명시한다.
-비대면 영업 세부 통제 방안은?
▶무차별적 문자전송(SMS)을 통한 권유, 모집 등을 금지한다. 단, 마케팅 목적의 문자 수신과 관련한 별도 동의를 받거나 기존계약을 유지·관리하는 경우는 제외된다. 고객이 먼저전화를 걸거나, 블로그 등 광고 게시판 등에 연락처를 남긴 경우 등에는 가능하다.
이메일의 제목, 전화상담시 우선적으로 소속회사, 송부인(모집인 여부), 연락목적 및 정보획득경로 등을 명확히 안내해야 한다. 동일인에 대한 전화상담의 경우 통화 회수를 제한하는 방안도 검토 중이다.
-정보 이용․제공 현황 조회 시스템은 무엇이고, 언제 구축되나?
▶금융회사가 수집한 고객 개인정보의 이용 및 제공 현황을 고객이 쉽게 확인할 수 있는 시스템으로, 각 금융사의 홈페이지에 구축된다. 본인인증을 거쳐 개인정보 이용 현황 등을 조회할 수 있다.
원하지 않는 정보 제공 동의도 철회할 수 있도록 해 고객의 자기정보결정권을 보장한다. 시스템 구축은 정보 제공 동의서 양식 개편과 연계해 상반기 중 세부 구축방안을 확정하고, 4분기중 서비스가 제공될 예정이다.
-Do-not-Call(연락중지 청구 시스템)은 무엇이고, 언제 구축되나?
▶소비자가 원치 않는 금융사의 마케팅 목적 전화를 거부할 수 있도록 구현한 것으로, 금융업권별 협회가 공동으로 시스템을 구축한다. 소비자는 한 번의 등록으로 모든 업권의 금융사의 영업목적 연락에 대해 중지를 요청할 수 있다. 6월중 서비스가 개시될 예정이다.
-정보 보호 요청권은 구체적으로 무엇인가?
▶거래가 종료된 경우 금융사가 보유한 본인 정보의 파기 및 엄격한 보안조치를 요구할 수 있는 권리를 보장하기 위한 것이다. 거래가 종료된 후 고객(신용정보주체)이 본인의 정보 삭제를 금융사 등에 요청하면 해당 정보를 원칙적으로 삭제하게 된다.
법령상 보관 필요성 등을 위해 보관이 불가피한 경우 엄격히 별도 조치하여 관리해야 한다. 삭제 또는 보안조치가 이뤄지면 그 결과를 고객에 별도 통지해야 한다.
-본인정보 조회중지 요청권은 무엇이고, 어떻게 이용하나?
▶고객의 요청이 있는 경우 일정시간 신용조회를 차단해 개인 신용정보의 무단도용 등에 따른 피해를 예방할 수 있도록 보장하는 권리이다.
고객이 요청하면 명의도용이 의심되는 신용조회 발생시 일정시간 조회를 중지하고, 고객에 지체없이 통지해야 한다. 금융사 또는 신용정보회사(KCB, NICE 등)에 신청할 수 있다.
-금융보안 표준 체크리스트의 적용시기, 주요 점검 분야 및 미이행시 제재방안은?
▶올 상반기중 금감원이 '금융보안 표준 체크리스트'를 마련해 하반기부터 적용한다. 주요 점검 분야는 단말기 보호대책, 전산자료 보호대책 및 해킹 등 침해행위 방지대책 등 보안규정 전반을 포함한다.
각 금융회사가 자체적으로 '보안점검의 날'을 지정해 매월 점검하도록 하며, 금감원은 금융회사의 점검결과를 즉시 제출 받아 검사에 활용한다. 미이행시에는 당해 기관 및 책임자를 엄중히 제재한다.
-외주용역 체크리스트는 어떤 내용을 담나?
▶체크리스트는 △업무통제(업무범위 외 작업수행 통제, 운영시스템 접근통제, 고객정보 변환 사용, 고객정보 사용내역 기록․관리 등) △PC관리(USB 차단 등의 보안프로그램 설치, 백신프로그램 설치, 고객정보 PC보관 금지, 인터넷 차단 등) △전산기기 반출입 및 외부인력 통제(전산기기 반출입 통제, USB 봉인, 근무장소 통제, 외부인 출입내역 기록 관리 등) 등의 내용을 담고 있다.
-현행 규정상 금융회사 IT사업에 대한 보안성 심의를 해야 하는 경우와 추가할 사항은?
▶현재 보안성심의를 해야 하는 경우는 △전산실 신규 설치·이전, 재해복구센터를 구축하는 경우 △외국금융회사의 전산시설에 대한 해외 설치·이전 및 공동이용을 하는 경우 △그 밖에 전자금융거래 안전성 확보를 위하여 금융감독원장이 필요하다고 인정하는 경우 등이다.
향후 보안성심의 대상에 추가될 정보화사업은 금감원, 금융사 등과 협의해 보안성심의 대상을 정할 계획이다.