정부는 10일 ‘금융분야 개인정보 유출 재발방지 종합대책’을 발표하고 고객 정보 이용을 고객이 결정하도록 하겠다고 밝혔다.
이 대책에는 지난 1월 거래 종료 고객이 금융회사에 불필요한 자신의 정보를 삭제할 수 있도록 한 ‘개인신용정보 보호요청제도’를 확대해 ‘자기정보결정권’을 보장할 수 있도록 하고 있다.
자세한 내용은, 본인의 신용정보가 어떻게 이용되는지 확인을 요청할 수 있고, 기존에 동의했던 정보제공을 철회할 수 있으며, 명의 도용이 의심되는 경우 1일 이내 신용조회 중지도 요청할 수 있다.
금융업권별·상품별로 최대 50개를 넘는 수집 정보 항목을 6~10개의 필수 항목과 선택 항목으로 구분하고, 수집 범위도 최소화 하도록 했다. 공통 필수 정보는 이름과 주민등록번호 등 고유 식별 번호, 주소, 연락처, 직업군, 국적 등으로 한정하고, 업권·상품별로 4개 까지 추가할 수 있도록 했다.
결혼기념일, 종교, 배우자와 가족 정보 등에 대해서는 원칙적으로 수집이 금지되며, 필수사항과 선택사항을 별도 페이지로 구분하고, 부가서비스 이용시 정보를 모든 제3자에 제공해야 했던 ‘포괄적 정보제공 동의’를 세분화해 동의를 받도록 했다. 거래 종료 후에는 원칙적으로 식별·거래정보 등만 보관하고, 3개월 이내에 파기하도록 했다.
개인정보 유출사고시 매출액 3% 과징금
개인정보 유출·활용한 금융회사에 대한 과징금은 매출액 1%에서 3%로 대폭 늘렸으며, 금융사의 보안대책 미비로 인한 과태료는 5000만원까지 부과된다. 정보유출사고가 3년 이내 재발할 때 금융사의 허가를 취소한다.
이와 함께 주민등록번호는 한번만 수집하며, 최초 거래시 고객이 직접 인증센터와 연결된 전자단말기에 입력하도록 했으며, 보안에 취약한 POS 단말기를 IC 단말기로 전환하기 위해 2016년부터 전 가맹점에 의무화를 실시한다.
이를 위해 하반기에 IC결제 우선 승인제를 도입하며, IC 결제 승인 시간이 마그네틱(MS) 결제보다 적게 소요되거나, 가맹점이 IC결제 가능 단말기에서 MS 결제 승인 요청시 최초 1회는 승인이 거절되도록 한다.
정보유출 취약점이 높은 밴사에 대해서는 여신전문금융업법상 등록제로 운영해 일정한 자격요건을 갖춰 등록하도록 할 계획이다.
더불어 사이버 보안을 강화하기 위해 고객정보의 암호화를 추진하며, 금융전산 보안관제 범위를 은행·보험·카드까지 확대하고, 금융전산 보안인증제도 도입·확대해 공개할 예정이다. 금융결제원과 코스콤의 보안관제조직(ISAC)을 분리하고, 이를 금융보안연구원과 통합하는 방식으로 ‘금융전산 보안전담 기구’를 설치한다.
