'금융회사 고객정보 유출 재발방지 종합대책'
[뉴스핌=노희준 기자] 앞으로 현재 많게는 50여개 항목에 이르는 개인정보 수집 항목이 꼭 필요한 경우로 제한된다.
또한 금융회사의 개인신용정보 보유기간은 기본적으로 거래종료일로부터 5년으로 줄어든다.
동시에 회원 탈퇴 등 거래를 종료한 고객 정보는 현재 고객정보와 별도로 분리 관리해야 하고 마케팅 활동 등 외부영업목적 활용이 엄격히 제한된다.
이밖에 금융지주 자회사간 고객정보 제공이 내부경영관리 목적으로만 한정되는 한편, 제3자에 대한 포괄적인 정보제공 동의도 제한된다.
금융위원회는 등 정부는 22일 금융위에서 이같은 방안 등이 포함된 '금융회사 고객정보 유출 재발방지 종합대책'을 발표했다.
우선 현행 금융회사의 정보보유 실태를 전면 점검해 꼭 필요한 정보만 수집·보관하도록 하는 방안이 추진된다.
현재는 보통 전화번호, 주소 등 약 20여개 항목에서 많은 경우 약 50여개 항목의 정보를 금융회사가 수집하고 있어 금융회사가 과다한 정보를 수집 보유한다는 지적이다.
이를 위해 금융당국은 1분기 중 금융회사별로 정보보유 현황에 대한 자체 점검 및 타당성 평가를 실시, 불필요한 정보의 수집을 중단시킬 방침이다.
현재 상법, 전자금융거래법 등 관련법령에 따라 5년~10년 이상 개인정보 보유 기간도 다른 법률에 특별한 규정이 없는 한 거래종료일로부터 5년으로 제한된다. 정보보유기간이 상이하고 과다하게 길다는 지적을 수용한 것이다.
탈회 회원 등 거래종료 고객의 개인정보를 계속 보유해오던 관행도 개선된다. 앞으로 거래종료고객 정보는 현재 고객정보와 별도로 분리(방화벽)해 보관·관리해야 한다.
동시에 거래종료 고객 정보는 보험TM, 대출상품 권유 등 마케팅 활동 등 외부 영업 목적에 활용되는 것이 엄격히 제한된다.
금융위 관계자는 "방화벽을 설치하면 별도 DB로 구분되고 영업조직의 경우 접근권한이 제한되며 외부영업 목적의 활용을 엄격 제한된다"고 말했다.
거래종료고객에 대한 '개인신용정보 보호요청제도'도 도입이 검토된다. 고객이 정보보호를 요청하면 불필요한 자료를 삭제해야 하고, 보관이 필요한 정보는 암호화해 별도 보관하는 한편, 금융회사가 이 자료를 활용하는 경우 본인에게 통지해야 하는 방안이다.
금융지주회사법상 특례에 따라 고객의 동의 없이 금융계열사간 정보공유가 가능했던 것도 원칙적으로 신용위험관리 등 내부경영관리 목적으로만 한정된다.
또한 사전동의 없이 고객정보를 외부영업에 활용하기 위해 거쳐야 하는 업무처리절차도 대폭 강화된다.
현재는 고객정보관리인 승인만 받으면 되지만 앞으로는 이사회 승인 및 이용내역 고객 통지로 변경할 방침이다. 이를 위해 금융지주회사의 고객정보업무지침서 개정에 금융당국은 나선다.
국민카드의 경우처럼 국민은행 고객 정보까지 유출되는 사태를 막기 위해 분사(Spin-off)로 인해 보관한 기존 개인신용정보 활용에도 철퇴가 내려졌다.
앞으로 분사된 회사는 그 회사의 '현재 고객이 아닌' 개인 신용정보는 별도로 방화벽(Fire-wall)을 설치해 분리 관리해야 한다.
동시에 금융당국은 신용정보법을 개정해, 분리해서 관리하는 정보 역시 일정 기간(5년)이 지나면 폐기하도록 의무화할 방침이다.
포괄적인 제3자에 대한 정보제공 동의 방식을 통한 과도한 정보제공도 금지된다. 원칙적으로 고객 정보를 제공 받을 때는 동의서에 정보제공대상 회사를 개별적으로 명시하는 경우에만 정보제공을 받을 수 있다.
제공대상 정보도 관련 부가서비스 이용 등과 관련한 필요한 정보로 한정해 선택할 수 있도록 개선할 방침이다.
제3자 취득정보의 활용기간 역시 당초 정보 활용 목적에 필요한 기간을 구체적으로 명시토록 했고, 마케팅 목적 활용은 원칙적으로 금지했다.
아울러 정보제공 금융회사에 제3자가 제공받은 기록을 제대로 파기했는지 확인할 의무를 부과했다.
[뉴스핌 Newspim] 노희준 기자 (gurazip@newspim.com)