“금융 개인정보보호, 실질적 가이드 제시할 것”

지난 8월 안전행정부, 금융위원회, 금융감독원, 금융협회 등과 공동으로 추진한‘금융분야 개인정보보호 가이드라인’이 완료돼 금융회사에 배포됐다. 그간 개인정보보호법과 신용정보법, 전자금융거래법 등 금융관련업법 간의 중복·충돌되는 문제로 많은 혼란이 있었던 가운데, 이번 가이드라인 출간은 금융회사의 실무에 큰 도움이 될 것으로 기대되고 있다.
이번 가이드라인 마련에는 금융감독원 개인정보보호TF의 역할이 컸다. 기본법인 개인정보보호법 준수에 있어 금융회사들의 특수한 상황과 의견을 수렴·반영하고, 구체적인 가이드라인을 제시하는 데 있어서 TF는 조율 및 가교역할을 수행했다고 볼 수 있다.
지난 5월부터 개인정보보호TF 실장을 맡고 있는 정인화 실장을 만나 TF의 성과와 계획에 대해 들어 봤다.

연보라 기자 bora@ciociso.com

2012년 3월부터 개인정보보호법이 본격 시행됨에 따라 금융회사도 개인정보보호 관련 법규에서 정한 의무를 준수하도록 지도할 필요성이 대두됐다. 특히 금융회사는 대량의 개인정보를 보유하고 있어, 만일 유출사고 발생 시 국민들에게 혼란을 야기하고 금융전반의 신뢰를 훼손할 우려가 있기 때문에 이를 체계적이고 안전하게 관리해야 하는 것이다.
정인화 금융감독원 개인정보보호TF 실장은 “금융권의 개인정보보호 체계를 정립하고 국민 개개인의 정보를 효과적으로 보호하도록 가이드하는 것이 개인정보보호TF의 핵심업무”라고 밝혔다.
정 실장에 따르면, 그동안 금융회사 검사에서 많은 금융회사들의 위반사항이 지적되고 과태료 등 행정처분이 이어져 왔다. 이러한 현상의 주요 원인에 대해 정 실장은 “금융회사들이 아직까지 개인정보보호 법규에서 요구하는 사항들을 구체적으로 어떻게 마련하고 대비해야 하는지 정확히 이해하지 못하고 있는 점에 기인하는 것으로 보인다”고 분석했다. 금융사들이 기존 고객정보 보호 업무와 새로운 법률 시행에 따른 개인정보보호 의무조치의 차이를 정확히 구분하지 못하고, 구체적인 추가조치 사항을 챙기지 못하는 경우가 많다는 것이다.
따라서 TF는 금융회사들이 개인정보보호 업무를 하는 데 실질적인 도움이 될 수 있는 구체적인 가이드를 제시하고, 교육 프로그램 등을 통해 이를 지도·전파하는 데 역량을 집중하는 것이 바람직하다는 것이 정 실장의 생각이다. 특히 그는 개인정보보호에 대한 준비상태가 취약한 중소형 금융회사에 대한 교육을 강화할 계획이라고 밝혔다.

▲ “산업혁명 이후 노동자 보호문제를 해결하기 위한 노력이 지금까지 이어져오듯, 정보화혁명에 뒤따르는 개인정보보호 문제도 비용과 시간이 걸리더라도 꼭 해결하고 넘어가야 하는 과제다” 정인화 금융감독원 개인정보보호TF 실장

지난 8월 출간한 ‘금융분야 개인정보보호 가이드라인’는 개인정보보호 TF가 가장 자랑할 만한 성과라고 할 수 있다. 안전행정부, 금융위원회, 금융감독원, 금융협회 등이 공동으로 추진한 ‘금융분야 개인정보보호 가이드라인’은 규제 신설의 차원보다는, 금융현장의 혼란을 정리하는 측면에서 기술돼 있다고 정인화 실장은 설명한다.
정 실장은 “그동안 개인정보보호법과 신용정보법, 전자금융거래법 등 금융관련업법 간에 중복·충돌되는 경우가 많아 혼란이 있었던 것이 사실”이라고시인하며, “이번 가이드라인 출간으로 금융회사의 실무에 큰 도움이 될 것으로 기대한다”고 밝혔다.
또한 TF는 지난 9월부터는 가이드라인 발표의 후속조치로, 개인정보 처리 시 유의할 사항에 대해 은행, 증권, 보험 등 금융권역별로 구분해 10회 이상 집중적으로 교육을 실시 중이다. 특히 대부업자 및 신용협동조합 등 중소형 금융회사에 대한 교육지원을 위해 지방순회 교육도 계획하고 있다.
그밖에도 TF는 금융회사의 자율규제 활동이 강화되도록 그동안의 위반사례 등을 종합해 여러 유의사항과 자체점검 체크리스트를 만들어 배포해왔다. 대표적으로 지난해 9월에는 ‘금융권의 개인정보보호 활동 강화방안’을 , 올해 4월 ‘금융회사 CCTV 설치·운영 시 유의사항’, 8월에 ‘금융회사의 개인정보문서 관리 유의사항’, 그리고 지난달 배포한 ‘금융회사의 개인정보 처리 시 유의사항’ 등이 있다.

불필요한 개인정보 수집·이용 관행 근절돼야

TF는 요즘 온라인에서 주민번호 이용을 줄이는 방안을 추진 중이다. 최근 법이 개정돼 2014년 8월7일부터는 다른 법령에 허용되는 등의 특별한 사유를 제외하고는 주민번호 수집 및 이용이 금지된다. 정 실장은 “금융회사들이 이미 오랫동안 사용해온 주민번호의 사용을 일시에 중지시킨다면 혼란이 야기될 수 있기에, 금융실무의 혼란을 방지하고 금융소비자의 편의성을 고려하면서 주민번호의 사용을 최소화할 수 있는 방안을 마련하는 것이 이 사업의 관건”이라 설명하며 “이는 온라인에서 주민번호를 입력 시 해킹이나 스미싱을 통해 주민번호가 유출돼 악용되는 사고를 막기 위한 것”이라 말했다.
개인정보보호TF 업무는 ▲금융회사 개인정보보호 활동의 효율적 추진 지원 ▲개인정보보호를 위한 금융제도 개선 ▲개인정보보호관련 감독·검사업무 지원 등 3가지로 나눌 수 있다.
정인화 실장은 그 중에서도 금융분야의 개인정보보호체계를 확립하는 것을 가장 중요한 업무로 꼽는다. 이를 위해 TF는 금융회사의 개인정보보호 업무추진 관련 애로사항 및 의견을 수렴하고, 주요 현안사항에 대해 공동 대응하고 있다.
TF의 주요 현안사항으로는 개인정보의 암호화, 과다한 개인정보수집서식의 정리 등을 들었다. 정 실장은 “금융권에서는 기존에 금융실명제법, 신용정보법 등에 근거해 주민번호를 포함한 개인정보를 수집·이용해오고 있었다. 문제는 금융거래 목적에 필요한 그 이상으로 개인정보를 수집하는 관행”이라고 꼬집으며 “이를 근절하고 꼭 필요한 최소한의 개인정보만을 수집해 이용할 수 있도록 함으로써 금융소비자의 불안을 줄이고 권리를 강화하고자 노력하고 있다”고 밝혔다.
더불어 TF는 금감원 내 감독검사, 소비자보호 부서에게 개인정보보호 부문에 대한 법률자문과, 검사역량 배양을 위한 교육도 강화하는 등 지원업무도 수행하고 있다.

TF, 실질적 권한 주고 정규조직화해야

지난 5월 새 금융감독원 개인정보보호TF 실장으로 임명된 정인화 실장은 법학을 전공하고 그간 한국은행 및 금감원에서 은행감독, 회계 및 공시 업무를 주로 맡아왔다. 종래 금감원에서 금융회사의 ‘고객정보’보호에 대한 감독을 해오고 있었기에 정 실장에게 개인정보보호는 그리 낯선 업무는 아니었다. 다만 ‘개인정보’의 범위와 보안강화 내용 등은 기존 업무에 비해 광범위하고 생소한 분야였던 것이 사실이다.
그러나 이는 같은 부서 내 IT 전문가 및 법률전문가 등 팀웍을 통해 해결할 수 있는 부분이다. 진짜 정 실장이 어려움을 느끼는 부분은, 개인정보보호법과 기존 금융관련법이 중첩 및 충돌하는 경우다.
정 실장은 “금융분야에서는 특별법 지위에 있는 신용정보보호법, 금융실명법, 전자금융거래법 등에 따라 고객 금융정보를 보호해 왔는데, 개인정보보호법에서 새롭게 요구하는 사항과 중첩 및 충돌하는 경우가 있다”며 “실무에서는 단순히 ‘특별법우선원칙’ 하나만으로 해결되지 않고 ‘Case by case’로 해결해야하는 경우가 많다”고 털어놓았다.
그는 “개인(신용)정보의 암호화, 주민번호 수집 등은 기존 법률에 근거해 축적된 지도사항, 관행, 사례 등이 있으나 개인정보보호법에서 추가적으로 요구하는 사항에 대해서는 그 범위 및 내용 등에 관해 금융실무에서 참고할 자료가 많지 않다”고 지적하는 한편, “TF가법률상 위탁된 권한이 별로 없다보니 아무래도 금융회사 지도에 신경이 쓰이고 위축이 된다”며 어려움을 토로했다. 금융회사의 업무처리나 민원처리 문의사항에 대해 소관부처의 의견을 일일이 묻게 되고 그러다보니 금융사 직원의 질의 대응에 다소 시간이 걸리거나 책임 있는 답변이 어려운 경우가 있다는 것이다.
정인화 실장은 “개인정보보호법 제정에 따라 임시조직으로서 개인정보보호TF가 설립된 후 지난 1년 반 동안 어느 정도 기본적인 문제는 해결했다고 본다”며 TF의 성과에 대해 평가하면서도 “앞으로 정보화의 진전에 따라 개인정보보호 이슈는 끊임없이 제기될 문제이기 때문에 이제는 정규 조직화하는 것이 맞지 않나”라는 의견을 조심스럽게 내비쳤다. 금융감독원 개인정보보호TF가 금융분야의 개인정보보호 업무를 총괄조정하는 실질적인 권한과 책임을 갖는 정규조직으로 이어지는 것이 그의 바람이다.

개인정보보호, 정보화혁명 따른 필연적 과제

“산업혁명 이후 노동자 보호문제를 해결하기 위한 노력이 지금까지 이어져오듯, 정보화혁명에 뒤따르는 개인정보보호 문제도 비용과 시간이 걸리더라도 꼭 해결하고 넘어가야 하는 과제다.”
정인화 실장은 개인정보보호의 당위성에 대해 이같이 말하며 강조했다.
그는 “최근 국회에서 개인정보보호법을 개정해 CEO 해임권고 등을 명시해 책임을 강화한 것도 그만큼 국민들이 불안해하고 있는 시대 상황을 반영한 것”이라고 설명하며 “이러한 사회적 요구 속에 감독당국의 역할뿐아니라 금융회사도 자율규제를 강화해야 한다”고 강조했다.