(2014.03.10) 금융분야 개인정보 유출 재발방지 종합대책 관련 설명

실질적인 첫 수업.

수업의 주요 내용은 오늘 발표한 "금융분야 개인정보 유출 재발방지 종합대책" 을 설명

아래 내용은 수업 내용을 포함하여 종합대책을 별도로 정리

보도자료_금융분야_개인정보_유출_재발방지_종합대책.hwp

별첨_금융분야_개인정보_유출_재발방지_종합대책.hwp

1. 수집정보의 필요최소화

1) 금융업권별, 상품별로 30~50여개인 수집정보 항목을 필수항목(6~10개)과 선택

   항목으로 구분, 최소화

항목		내용
필수항목	공통 필수정보	이름, 고유식별정보, 주소, 연락처, 직업군, 국적
	상품별 필수정보	금융업권, 상품별 특수성에 따른 필수정보  해당 상품을 이용하는 고객에 대해서만 별도로 수집  예) 연소득, 병력사항 등
선택항목		수집목적, 제공처, 정보 제공시 혜택 설명 및 고객동의  선택항목의 동의거부에 따른 불이익 없도록 함  계약 체결에 필수적이지 않음을 충분히 고지
금지항목		예) 결혼기념일, 종교, 배우자 및 가족 정보 등

2. 주민번호 과다노출 관행 개선

1) 최초 거래시에만 주민번호 수집

-> 계좌 개설, 상품 가입 등 화면에서만 주민번호 입력값을 둬야함.

2) 이후에는 주민번호 기입없이 신원확인 절차 거치도록 하여 노출 최소화

-> 백오피스 등에서 고객 확인용 주민번호 입력박스 제거

3) 수집한 주민번호는 내외부망 모두 암호화 저장

4) 주민번호를 불법활용 또는 유출한 경우에는 과태료 및 과징금 가중

-> 내부, 외부에서 주민번호를 입력값으로 하여 조회시 모니터링 필요

-> 출력 결과값에 주민번호 제거

-> 자료출력 업무는 보안팀, 컴플라이언스팀의 승인, 통제 프로세스 필요

3. 제3자 정보제공의 구체화

1) 제공되는 정보의 내용, 이용목적, 정보가 제공되는 업체명 및 업체 수, 제공기간,

    및 파기계획을 구체적으로 적시

->1년, 2년 등 명확한 제공기간 적시 후 모니터링 통해 해당 기간 도래시 

   파기할 수 있도록 개발

4. 무차별 비대면 방식의 개인정보 활용 엄격화

1) 무차별적 문자전송을 통한 권유, 모집 등 영업행위 금지

-> 지점, 마케팅에서의 상품 안내 SMS 발송 금지

2) 이메일, 전화 등 비대면 영업에 대한 엄격한 통제방안 마련

- 이메일의 제목, 전화상담시 우선적으로 "소속회사, 송부인, 연락목적 및 정보획

   득경로" 등을 명확히 안내

-> 고객의 연락처, 상품만기 등에 대해 정보를 어디서 획득했는지 DB 에

    보관하도록 개발

5. 신입금계좌지정 서비스 : 금융사기 피해를 최소화하고자 미지정 계좌로는 소액이체

-> 소액이체를 하루에 한번 허용할건지, 매 이체마다 소액만으로 하면 여러번

    가능한건지 등 개발 검토 필요

-> 기존 전자금융사기 예방서비스에 적용 검토, 금액은 유동적으로 개발

-> 이상금융거래탐지 시스템과 충돌 검토

6. 필요한 기간만 엄격히 보관 후 파기

1) 거래종료 후 3개월후에 원칙적으로 필요한 정보(식별정보, 거래정보 등)만 보관하

    하고 파기(예 : 학력, 직업, 직위 등) (1단계 보호조치)

-> 별도 Table 에 파기될 정보를 보관하도록 개발

-> 파기할 대상 선정하고 이체, 로그인, 주문, 보험료 납입, 카드 결제 등 이

    후 3개월동안 거래 없는지 조회 후 조치. 일상 배치

-> 다시 거래가 일어나면 복원 검토

2) 거래종료 후 5년이 경과한 정보는 원칙적으로 모두 파기 (2단계 보호조치)

-> 해당 고객들의 정보는 별도 DB 로 모두 이관

-> 전체 정보를 암호화 -> 주민번호 외 모든 정보 암호화 확인 필요

7. 본인정보 이용, 제공 현황 조회 요청권

- 고객이 본인의 신용정보가 이용, 제공되고 있는 현화(이용/제공주체, 목적, 날짜 등)

   을 언제든지 확인할 수 있는 조회시스템 구축

-> 입력값으로 주민번호는 사용 불가

-> 개인별로 정보제공 상세 정보(업체, 기간, 목적, 파기여부 등)를 웹, 업무

    시스템에 개발

8. 연락중지 청구권

-> 자료출력, 지점, 본사에서 전화, SMS 발송 대상 조회 시 이 값을 확인해야함

9. 정보 보호 청구권

- 고객이 거래종료 이후 본인정보를 보호할 것을 요청할 경우 금융회사는 파기 및 

   보안조치를 취하고 그 결과를 즉시 통보

-> 해당 고객의 정보를 DB 에서 발췌해서 바로 별도 DB 로 이관하고 암호화

    하도록 개발

10. 정보보안 주기적 점검 강화

- 금융회사별 "보안점검의 날"을 지정하여 CISO 책임하에 매월 보안점검을 실시하고

   CEO에게 점검결과 및 보완계획을 보고. 금감원에 제출

-> 매년 취약점 점검하는 것처럼 한다면 매달 엄청한 작업

-> 금융보안 표준 체크리스트 기준으로 한다고 해도 557 규정 인력으로는       부담