정보보호 상시평가제는?

• 2020.12.07 금융위원회에서는 금융권 개인신용정보 보호실태를 상시적·체계적으로 점검하는 "정보보호 상시평가제(이하 "상시평가제")"를 도입한다고 언론보도함 (언론보도 링크)
• 상시평가제란 "금융권이 활용·관리하는 개인신용정보에 대한 보호실태를 총체적으로 점검하는 체계"임 (금융위원회/금융보안원, 금융권 정보보호 상시평가제 도입방안, 2020.12,  pp.3)
• (History) 참고로 상시평가제 이전에는 2018.12.31 시행 신용정보법 제20조제5항에 따라 신용정보 관리·보호인(이하 "CIAP")가 수행해야하는 업무에 대해서 금융위윈회에 제출을 하는 절차였다가, 2020.02.04에 개정되어 지금의 상시평가제가 탄생(?)하게 된 것임
• 상시평가제 절차는 다음과 같음
  1. 금융회사 등이 제공된 체크리스트를 이용하여 자체 평가를 수행
  2. 금융위원회가 정하여 고시하는 기준(신용정보업감독규정 제22조의2제3항)과 서식(동규정 별지8의3)에 따라 평가 결과와 신용정보법 제20조제4항제1호 각 목의 업무를 대표자 및 이사회에 보고한 내용을 금융위원회에 제출(금융보안원 정보보호 상시평가제 사이트에 제출)
  3. 금융보안원은 결과에 대한 평가 실시 및 금융당국에 결과 보고

(참고) 평가 결과에 대하여 대표자 및 이사회에 보고하여야 한다는 명시적 근거는 없음.

---

[관련 법령 내용]

 

• 신용정보법 제20조제6항에는 CIAP가 개인신용정보의 관리 및 보호 실태 점검 결과(상시평가제 자체 평가 결과 동일)를 금융위에 제출할 것이 명시됨
• 신용정보법 제45조의5에는 실태 점검 결과에 대한 점수/등급화가 명시됨
• 신용정보법 시행령 제17조제7항, 제8항에는 대상이 누구인지, 어떻게 해야하는지가 명시됨
• 신용정보법 시행령 제37조제6항에는 금융보안원에 실태 점검 결과 접수 및 점수/등급 표시를 위탁 내용이 명시됨
• 신용정보업감독규정 제22조의2제3항에는 실태 점검 결과를 당해 연도 1분기 말일까지 금융보안원에 제출하는 내용이 명시됨
• 신용정보업감독규정 제45조의2에는 상시평가제에 대한 구체적인 내용이 명시됨

신용정보법 제20조

제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) ⑥ 대통령령으로 정하는 신용정보회사등의 신용정보관리ㆍ보호인은 처리하는 개인신용정보의 관리 및 보호 실태를 대통령령으로 정하는 절차와 방법에 따라 정기적으로 점검하고, 그 결과를 금융위원회에 제출하여야 한다.

 

신용정보법 제45조의5

제45조의5(개인신용정보 활용ㆍ관리 실태에 대한 상시평가) ① 금융위원회는 대통령령으로 정하는 신용정보회사등이 제20조제6항에 따라 신용정보관리ㆍ보호인을 통하여 점검한 결과를 제출받아 확인하고, 그 결과를 점수 또는 등급으로 표시할 수 있다. ② 금융위원회는 제1항에 따라 표시한 점수 또는 등급, 그 밖에 대통령령으로 정하는 사항을 금융감독원장에게 송부하여 제45조제3항에 따른 검사에 활용하도록 할 수 있다. ③ 제1항에 따른 점검결과의 확인 및 점수ㆍ등급의 표시, 제2항에 따른 송부의 방법 및 절차 등에 대해서는 금융위원회가 정하여 고시한다.

 

신용정보법 시행령 제17조

제17조(신용정보관리ㆍ보호인의 지정 등) ⑦ 법 제20조제6항에서 “대통령령으로 정하는 신용정보회사등”이란 다음 각 호의 기관을 말한다. 1. 신용정보회사, 본인신용정보관리회사, 채권추심회사 및 신용정보집중기관 2. 제5조제2항제1호부터 제20호까지의 규정에 따른 금융기관(제14호, 제17호 및 제19호에 따른 금융기관은 제외한다) 3. 제21조제2항제4호, 제5호, 제8호, 제16호, 제18호 및 제19호(직전 사업연도 말 기준으로 총 자산이 100억원을 초과하는 기관에 한정한다)의 기관 4. 그 밖에 금융위원회가 정하여 고시하는 기관 ⑧ 법 제20조제6항에서 “대통령령으로 정하는 절차와 방법”이란 신용정보관리ㆍ보호인이 법 제20조제4항제1호 각 목에 따른 업무에 대하여 연 1회 이상 점검을 실시한 후, 그 결과를 대표자 및 이사회에 보고하고 금융위원회가 정하여 고시하는 기준과 서식에 따라 금융위원회에 제출하는 것을 말한다.

 

신용정보법 시행령 제37조

제37조(권한의 위임 또는 위탁) ⑥ 금융위원회는 법 제49조에 따라 다음 각 호의 업무를 금융보안원에 위탁한다. 1. 법 제20조제6항에 따른 개인신용정보의 관리 및 보호 실태 점검 결과의 접수 2. 법 제45조의5제1항에 따른 신용정보관리ㆍ보호인의 점검 결과 제출의 확인, 그 결과의 점수 또는 등급 표시 및 같은 조 제2항에 따른 그 결과의 송부 ⑦ 금융감독원장, 종합신용정보집중기관, 데이터전문기관, 신용정보협회 및 금융보안원은 제2항부터 제6항까지의 규정에 따라 위탁받은 업무의 처리 내용을 6개월마다 금융위원회에 보고해야 한다.

 

신용정보업감독규정 제22조의2

제22조의2(신용정보관리·보호인의 지정대상 등) ① 영 제17조제2항제3호 후단에 따라 상시 종업원 수를 산정하는 경우「소득세법」에 따른 원천징수의무자가 근로소득세를 원천징수한 자의 수로 한다. ② 종합신용정보집중기관의 신용정보관리·보호인은 법 제20조제5항에 따라 보고서를 대표자 및 이사회에 보고하기 전에 영 제17조제8항에 따른 신용정보집중관리위원회(이하 "신용정보집중관리위원회"라 한다)에 보고하여야 한다. ③ 법 제20조제6항에 따라 신용정보관리·보호인은 다음 각 호의 사항을 당해 연도 1분기 말일까지 별지 제8호의3 서식에 따라 영 제36조의5제4항의 기관에 제출하여야 한다. 1. 신용정보관리·보호인이 직전 연도 중 법 제20조제4항제1호의 업무를 수행한 실적 2. 제1호의 실적을 기재한 보고서를 대표이사 또는 대표자 및 이사회에 보고한 실적

※ (사견) 참고로 신용정보업감독규정 제22조의2제3항에 명시된 "영 제36조의5제4항" 부분이 잘못된 생각이 듬. 찾아보면, 해당 조항이 없음............아마도, 추측컨데 영 제37조제6항이 맞지 않을까함.

 

[첨부] 별표8호의3 서식

[별지 8의3] 신용정보관리ㆍ보호인의 점검 결과(제22조의2제3항 관련).hwp

0.01MB

신용정보업감독규정 제45조의2

제45조의2(개인신용정보 활용·관리 실태에 대한 상시평가) ① 법 제45조의5제3항에 따른 점검결과의 확인 및 점수·등급의 표시, 송부의 방법 및 절차 등(이하 "상시평가"라 한다)은 다음 각 호와 같다. 1. 법 제20조제6항에 따른 신용정보관리·보호인은 제22조의2제3항에 따른 점검 결과를 컴퓨터 등 정보처리가 가능한 형태로 전송한다. 2. 금융보안원은 제1호에 따른 점검 결과를 제출받아 서면점검하여 점수 또는 등급으로 표시한다. 3. 금융보안원은 금융위원회가 승인한 사항을 금융감독원장에게 컴퓨터 등 정보처리가 가능한 형태로 송부할 수 있다. ② 금융위원회는 법 제45조의5제1항의 업무를 공정하고 객관적으로 운영하기 위하여 금융보안원에 다음 각 호의 업무를 수행하는 상시평가위원회를 둘 수 있다. 1. 영 제17조제8항에 따른 기준 및 관련 서식의 제·개정(법 제20조제4항제1호 각 목의 사항을 포함하여 제·개정) 2. 상시평가 절차·방법 등 중요 사항의 심의 3. 상시평가 결과의 점수·등급 표시 방안의 심의 4. 영 제36조의5제3항에 따른 인증마크의 부여 및 취소의 세부 기준·방법·절차 등 중요 사항의 심의 ③ 제2항에 따른 상시평가위원회는 금융위원회에 제2항 각 호의 사항에 대한 의견을 제시할 수 있다.

---

[미준수 시 제재]

 

신용정보법 제20조제6항

제52조(과태료) ② 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다. 1. 제12조를 위반하여 허가받은 신용정보회사, 본인신용정보관리회사, 채권추심회사 또는 신용정보집중기관이 아님에도 불구하고 상호 또는 명칭 중에 신용정보ㆍ신용조사ㆍ개인신용평가ㆍ신용관리ㆍ마이데이터(MyData)ㆍ채권추심 또는 이와 비슷한 명칭을 사용한 자 2. 제15조제2항을 위반한 자 2의2. 제17조의2제2항을 위반하여 가명처리 또는 익명처리가 되지 아니한 상태로 전달한 자 3. 제19조를 위반한 자 4. 제20조제6항을 위반한 자