금융감독원, 금융회사의 개인정보문서 관리 강화 당부
불탄의 인포누리/재테크 세테크 : 2013. 8. 4. 14:38
반응형
금융감독원이 금융회사의 개인정보문서 유출사고를 방지하기 위해 지난 6월 28일부터 7월 12일까지 은행, 증권, 보험, 신용카드사 등 총 165개 회사를 대상으로 개인정보문서의 관리 수준에 대한 실태조사를 실시했습니다.
조사 결과, 금융회사의 개인정보문서에 대한 관리 수준은 전반적으로는 양호한 것으로 나타났으나 개인정보문서 파기를 위탁하는 과정에서는 계약서상 필수기재사항 누락, 위탁업무 및 수탁업체 미공개, 수탁업체 교육 미실시 등과 같은 일부 문제점이 발견되었습니다. 또한, 파기 계획의 수립 및 시행, 결과 확인 등에 있어 개인정보 보호책임자(CPO)의 역할과 책임이 미흡하여 이를 보다 강화할 필요가 있는 것으로 파악되었습니다.
이에 따라 금융감독원은 금융회사의 법규 준수사항을 쉽게 파악할 수 있도록 '금융회사의 개인정보문서 관리 유의사항'을 마련, 개인정보 유출 방지를 위해 안전조치의무를 준수토록 금융회사에 당부함과 함께 개인정보문서 관리 시 손쉽게 활용할 수 있는 자체점검 체크리스트를 함께 배포함으로써 금융회사의 편의성을 도모했습니다.
금융회사의 개인정보문서 관리 유의사항 주요내용(출처 : 금융감독원, http://www.fss.or.kr)은 다음과 같습니다.
▶ 개인정보문서의 관리절차 강화
개인정보문서의 안전성 확보를 위해, 개인정보가 포함된 서류나 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관해야 하며, 별도의 장소에 보관할 때에는 출입통제 절차를 수립해야 합니다. 아울러 이러한 내용을 반영한 개인정보처리방침을 수립하고 공개해야 합니다.
▶ 개인정보문서의 파기절차 준수
개인정보가 처리 목적 달성 등으로 불필요하게 되었을 때에는 원칙적으로 지체 없이 파기하고, 파기 관련 사항을 기록·관리해야 합니다. 이 때, 종이문서에 포함된 각각의 개인정보를 선택적으로 파기하는 것이 현저히 곤란하다는 점에서 분기 또는 반기 단위로 별도의 점검 및 파기절차를 마련해 시행할 수 있습니다. 파기계획의 수립 및 시행, 결과 확인 등은 개인정보 보호책임자(CPO : Chief Privacy Officer)의 책임 하에 수행해야 합니다.
▶ 개인정보문서의 위탁관리 강화
개인정보문서의 파기를 외부업체에 위탁하는 경우에는 목적 외 개인정보처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 위탁업무 감독, 손해배상 책임 등의 필수기재사항이 포함된 문서에 의하여야 하며, 수탁자가 개인정보를 안전하게 처리하는지 현장 확인하거나, 파기결과를 점검하는 등 수탁자를 감독해야 합니다. 또한 개인정보 유출사고 등이 발생하지 않도록 수탁자에 대한 개인정보보호 교육을 실시해야 합니다.
조사 결과, 금융회사의 개인정보문서에 대한 관리 수준은 전반적으로는 양호한 것으로 나타났으나 개인정보문서 파기를 위탁하는 과정에서는 계약서상 필수기재사항 누락, 위탁업무 및 수탁업체 미공개, 수탁업체 교육 미실시 등과 같은 일부 문제점이 발견되었습니다. 또한, 파기 계획의 수립 및 시행, 결과 확인 등에 있어 개인정보 보호책임자(CPO)의 역할과 책임이 미흡하여 이를 보다 강화할 필요가 있는 것으로 파악되었습니다.
이에 따라 금융감독원은 금융회사의 법규 준수사항을 쉽게 파악할 수 있도록 '금융회사의 개인정보문서 관리 유의사항'을 마련, 개인정보 유출 방지를 위해 안전조치의무를 준수토록 금융회사에 당부함과 함께 개인정보문서 관리 시 손쉽게 활용할 수 있는 자체점검 체크리스트를 함께 배포함으로써 금융회사의 편의성을 도모했습니다.
금융회사의 개인정보문서 관리 유의사항 주요내용(출처 : 금융감독원, http://www.fss.or.kr)은 다음과 같습니다.
이미지 출처 - 보안뉴스
개인정보문서의 안전성 확보를 위해, 개인정보가 포함된 서류나 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관해야 하며, 별도의 장소에 보관할 때에는 출입통제 절차를 수립해야 합니다. 아울러 이러한 내용을 반영한 개인정보처리방침을 수립하고 공개해야 합니다.
▶ 개인정보문서의 파기절차 준수
개인정보가 처리 목적 달성 등으로 불필요하게 되었을 때에는 원칙적으로 지체 없이 파기하고, 파기 관련 사항을 기록·관리해야 합니다. 이 때, 종이문서에 포함된 각각의 개인정보를 선택적으로 파기하는 것이 현저히 곤란하다는 점에서 분기 또는 반기 단위로 별도의 점검 및 파기절차를 마련해 시행할 수 있습니다. 파기계획의 수립 및 시행, 결과 확인 등은 개인정보 보호책임자(CPO : Chief Privacy Officer)의 책임 하에 수행해야 합니다.
▶ 개인정보문서의 위탁관리 강화
개인정보문서의 파기를 외부업체에 위탁하는 경우에는 목적 외 개인정보처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 위탁업무 감독, 손해배상 책임 등의 필수기재사항이 포함된 문서에 의하여야 하며, 수탁자가 개인정보를 안전하게 처리하는지 현장 확인하거나, 파기결과를 점검하는 등 수탁자를 감독해야 합니다. 또한 개인정보 유출사고 등이 발생하지 않도록 수탁자에 대한 개인정보보호 교육을 실시해야 합니다.
