[개인정보 보호 대책 Q&A] 금융거래 서식상 주민번호란 삭제

▲ 필수 정보 및 선택적 제공 정보의 구체적 예시는.

- 현재 금융업권별·상품별로 30∼50여개인 수집정보 항목을 필수항목(6∼10개)과 선택항목으로 구분·최소화할 방침이다. 전체 금융회사 등에 공통으로 적용되는 필수정보는 이름, 고유식별정보(주민번호, 여권번호 등), 집(직장) 주소, 연락처, 직업, 국적 등 6가지다.

금융회사는 업권 공통 필수정보 이외에 업권 또는 상품 특성에 따른 필수정보 및 금융이용자가 선택적으로 제공할 수 있는 필수정보 등을 추가로 요구할 수 있다.

▲ 금융회사와 최초 거래를 개시할 경우 주민번호 제공 방법은.

- 고객 키패드 입력(Key-in)을 통한 주민번호 제공을 원칙으로 함에 따라 대부분 금융거래 서식상 주민번호란은 삭제된다. 다만 법령상 규정 준수, 단체계약 체결, 보험금 지급 등의 경우 예외적으로 서식상 기입을 통해 주민번호 수집이 가능하다.

점포 방문 고객은 원칙적으로 키패드 입력(Key-in), 금융기관에 신분증 사본 제공을 통해 주민번호를 제공하고 전화통화 고객은 전화 다이얼을 이용한 주민번호 Key-in을 원칙으로 하되 음성녹취 방식 선택도 가능하다.

음성으로 신원 확인이 가능하므로 금융기관의 신분증 사본 보관은 원칙적 금지된다. 단 불가피할 경우 추후 전자형태의 신분증 사본을 내부망에 저장할 수 있다.

모집인을 통한 고객은 모집인의 단말기에 주민번호를 Key-in하거나 금융회사와 통화해 주민번호를 제공한다. 신분증 사본 보관시 모집인의 단말기로 전자화(촬영)해 금융기관 내부망에 바로 전송하고 전송후 즉시 파기한다.

인터넷을 이용한 고객은 화면상 보안 키패드에서 Key-in해 주민번호를 제공한다.

▲ 거래중인 금융기관과 금융거래시 주민번호 제공해야 하나.

- 이미 거래중인 금융기관과 거래시 고객은 이전 거래에서 주민번호를 제공했기 때문에 또다시 제공할 필요가 없다. 거래방식별로 신분증(점포·모집인), 인증시스템(인터넷), 주민번호 이외의 식별정보(통화)를 통한 신원확인 절차는 거칠 필요가 있다.

금융기관은 신분증 사본을 전자형태로 내부망에 보관시 개인정보법에 따른 주민번호 암호화에 맞추어 사본도 암호화해야 한다. 또 복사 등 실물형태로 신분증 사본 보관시 주민번호 뒷자리를 삭제해 주민번호가 노출되지 않도록 조치한다.

고객이 주민번호를 제공하지 않음을 원칙으로 하므로 금융거래 서식상 주민번호란은 삭제된다. 다만 법령상 규정 준수, 신분증 및 인증시스템 재발급·갱신, 단체계약 체결 등의 경우 예외적으로 주민번호 재수집이 가능하다.

▲ 비대면 영업 세부 통제 방안은

- 무차별적 문자전송(SMS)을 통한 권유·모집 등 영업행위는 금지된다.

단 마케팅 목적의 문자 수신 관련 별도 동의를 받거나 기존계약을 유지·관리하는 경우 및 고객이 먼저 전화를 걸어오는 경우(In-bound), 블로그 등 광고 게시판 등에 연락처를 남긴 경우 등에는 영업이 가능하다.

또한 이메일의 경우 제목으로, 전화상담시에는 소속회사, 송부인(모집인 여부), 연락목적 및 정보획득 경로 등을 명확히 안내하는 등 고객이 관련 내용을 확인할지를 쉽게 선택할 수 있도록 해야 한다.

금융위는 향후 동일인에 전화상담 통화 횟수를 일주일에 1회로 제한하는 등의 방안도 검토중이다.

▲ 정보이용·제공 현황 조회시스템은 어떤 것이고 언제쯤 구축되나.

- 정보 이용·제공 현황 조회 시스템은 상반기중 세부 구축방안을 확정, 4분기 서비스가 제공될 예정이다.

이 시스템은 금융회사가 수집한 고객 개인정보의 이용 및 제공 현황을 고객이 쉽게 확인할 수 있도록 한 것으로 각 금융회사별로 홈페이지에 시스템을 구축하고 본인인증을 거쳐 이용·제공주체, 목적, 날짜 등 개인정보 이용 현황 등을 조회할 수 있도록 한다.

또한 원하지 않는 정보제공 동의도 철회 할 수 있도록 해 고객의 자기정보 결정권을 실질적으로 보장하는 역할을 한다.

▲ 현행 규정상 금융회사 IT사업에 대한 보안성 심의를 해야 하는 경우와 추가할 사항은

- 보안성 심의는 금융감독원이 금융회사 정보화 사업에 대해 보안대책을 사전에 점검함으로써 보안사고를 예방하기 위한 제도다.

현재 보안성 심의를 해야 하는 경우는 △전산실 신규 설치·이전, 재해복구센터 구축 △외국금융회사의 전산시설에 대한 해외 설치·이전 및 공동이용 △전자금융거래 안전성 확보를 위해 금융감독원장이 필요하다고 인정하는 경우 등이다.

금융위는 향후 대규모 정보시스템 구축(10억이상) 정보화 사업, 다량의 개인정보(100만명 이상) 처리 정보시스템 구축 사업 등 보안성 심의 대상에 추가될 정보화 사업을 금융감독원, 금융회사 등과 협의해 정할 계획이다.

▲ 외주용역 체크리스트는 어떤 내용을 담고 있나

- 외주용역 체크리스트는 외주용역 수행중에 발생할 수 있는 정보유출사고 등을 예방하기 위한 보안통제 점검항목으로 구성돼 있다.

업무통제 관련 체크리스트는 업무범위 외 작업수행 통제, 운영시스템 접근통제, 고객정보 변환 사용, 고객정보 사용내역 기록·관리 등이고 PC관리 관련해서는 USB 차단 등의 보안프로그램 설치, 백신프로그램 설치, 고객정보 PC보관 금지, 인터넷 차단 등이 있다.

또한 전산기기 반출입 및 외부인력 통제 관련 체크리스트에는 전산기기 반출입 통제, USB 봉인, 근무장소 통제, 외부인 출입내역 기록·관리 등의 내용이 담겨 있다.