Embed Size (px)
DESCRIPTION
금융위원회
Citation preview
1
1. 추진 배경 □ IT기술의 발달로 전 세계적으로 금융회사의 다양한 정보처리
및 관련 전산설비의 상당부분이 위탁* 운영되는 추세지만,
* 제3자의 용역 또는 시설을 ‘위탁회사‘를 위해 계속적으로 사용하는 것으로,
수탁자를 위한 목적으로 정보를 이용하는 ‘제공’과는 구분
ㅇ 국내에서는 여타 위탁과 마찬가지로 일반 규정*에 따라 위탁이
이루어지면서 외부 전산설비의 이용 필요성 등이 충분히 고려
되지 못한다는 지적이 제기
* 업무위탁 등에 관한 규정
□ 또한 한-EU, 한-미 FTA 체결*에 따라 금융회사의 일상적인 자료처리
(data processing)를 위해 필요한 정보의 해외 이전 방안 검토 필요
* 협정문상 유보조항에 따라 한·EU FTA 발효(‘11.7.1) 후 2년내(’13.6.30),
한·미 FTA도 발효(‘12.3.15) 후 2년내(’14.3.14) 정보이전을 허용
ㅇ 다만, 협정문상 우리 정부는 개인정보 보호와 감독가능성 확보를
위해 일정한 요건*을 고려하여 정보 이전을 제한할 수 있음
* ①소비자의 민감정보 보호, ②민감정보의 무단재사용 금지, ③감독당국의 접근권
④기술설비의 위치에 대한 요건 등
보 도 자 료 ∙미래창조 금융
∙따뜻한 금융
∙튼튼한 금융4.17(수) 석간부터 보도 가능
작성부서 금융위원회 전자금융과, 금융정책과, 보험과
책임자 전요섭 전자금융과장 (2156-9490)
이세훈 금융정책과장 (2156-9710)
이윤수 보 험 과 장 (2156-9830)
당 자 정종식 사무관 (2156-9491)
송용민 사무관 (2156-9492)
한송희 사무관 (2156-9714)
임형준 사무관 (2156-9832)
배포일 2013. 4. 16. 배포부서 (2156-9542~48) 총 4매
제 목 :「금융회사의 정보처리 및 전산설비 위탁에 관한
규정」제정안 규정제정 예고 등
2
□ 이를 위해 금융위원회는 민간전문가 TF 및 관계 부처간 협의*를
통해 정보처리 업무 위탁을 위한 구체적 방안을 검토하여 왔으며,
* 금융위, 안행부, 외교부, 기재부, 금감원, 각 업권협회, 학계, 법조계 등
ㅇ 현행 법령의 허용범위 안에서, 「금융회사의 정보처리 및 전산
설비의 위탁에 관한 규정」을 신설하여, 구체적 위탁 절차와
방법을 규정*하고자 함
* 허용범위 및 절차, 이에 따른 금융이용자 보호 및 감독권한의 유지 등
2. 주요 내용1 위탁 허용범위 및 절차
□ 국‧내외 금융회사 모두 정보처리 업무의 제3자 위탁을 허용하되,
ㅇ 국외에 위탁할 경우에는 이용자 보호 및 감독가능성 확보를
위해 위탁 금융회사의 본점 및 계열사에 한해 위탁을 허용
□ 관련 법령에서 위탁이 금지되는 경우 또는 관련법령상 제재
이력이 있는 경우*에는 정보처리 업무의 위탁을 제한하며,
* 금융이용자의 정보관리, 감독관련 자료 제출 등 검사와 관련한 사항으로 제재
(기관경고 이상 또는 300만원 이상의 과태료‧과징금)를 2회 이상 받은 경우
ㅇ 위탁 이후의 감독가능성 확보 및 이용자 보호를 위해 위‧수탁
회사간 계약에 표준계약내용*을 의무적으로 사용토록 함
<표준계약내용 주요사항>정보주체의 권리, 감독당국에의 협조, 위탁사항의 재위탁 및 제3자에 대한 정보이전 금지, 위‧수탁회사간의 연대 책임, 해외위탁시 국내 재판관할 등
□ 금융회사는 정보처리 업무를 위탁할 경우 사전적으로 제7영업일
이전에 금융감독원장에게 보고*해야 하며,
* 현행 「금융기관의 업무 위탁 등에 관한 규정」과 동일
ㅇ 금융감독원장은 위탁내용이 관계법령에 적합하지 아니할 경우
자료보완 요구 및 변경권고를 할 수 있음
3
2 위탁되는 정보의 보호
□ 정보처리 업무가 위탁되더라도, 개인정보보호법, 금융실명법,
신용정보법 등 모든 관련법상의 보호조치*를 이행해야 하며,
* 실명법 등 일체의 법령 개정없이 현행 법령상의 모든 안전성 확보 조치를
다하도록 규정
(정보처리시 사전 동의, 개인정보의 암호화 등 기술적‧관리적‧물리적 보호조치)
ㅇ 특히 개인고객의 주민번호는 이러한 안전성 확보 조치와
별도로 국외로의 이전 자체를 금지
□ 정보처리 위탁시 적용되는 안전성 확보조치 등에 대해서는
홈페이지 등에 공시하도록 하고,
ㅇ 특히 국내‧외를 불문하고 민감정보의 처리를 위탁할 경우에는
정보주체에 대해 별도로 고지하는 추가적 절차를 의무화*
<정보위탁 관련 보호조치> 1. (수집‧이용 등) 처리시 정보주체의 동의 (개인정보보호법 §15, 23)
2. 암호화 등 안전성 확보조치 (개인정보보호법 §29)
3. 민감정보가 위탁처리된다는 내용의 별도 고지 (신설 규정)
4. 개인고객의 주민번호는 해외 이전금지 (신설 규정)
3 전산설비의 국외위탁
□ 금융회사는 정보처리 관련 설비를 금융위 승인을 얻어 국외의
본점 또는 계열사에 한해 위탁이 가능하나
ㅇ 금융이용자 보호 및 감독기능 수행을 위해 필요한 금융거래
원장 등 주요 설비에 대해서는 위탁을 제한*할 수 있음
* 현행 전산실 및 재해복구센터의 국내소재 요건도 유지(전자금융감독규정 §11)
4
<국외 위탁불가 전산설비> 1. 금융이용자의 보호 및 금융감독 목적상 필요한 금융거래 관련
원장 (다만, 금융이용자군 및 취급상품의 특성상 국경간 이동서비스가 불가피하다고 인정되는 업무를 처리하는 설비는 제외)
2. 금융이용자에 대한 서비스와 직접적으로 관련이 있는 업무를 처리하는 설비
3. 국내 외부기관과 연결되어 있어 해외에 두기 부적합한 전산설비 4. 해외에 두는 경우 금융이용자에 대한 서비스 품질, 보안성 및 재해
복구 시간 등 관련 법령에서 정한 요건을 준수하지 못하게 되는 전산설비
5. 상기 각 호의 전산설비를 지원하는 데이터 네트워킹 기반 시설 및 IT 보안설비
4 타 규정 정비사항
□ 「금융기관의 업무 위탁 등에 관한 규정」의 적용범위 축소
ㅇ ‘정보처리 및 전산설비의 위탁’에 대해서는 신설되는 규정에 따라 처리하도록 하여, 적용상의 혼선을 배제
□ 「전자금융감독규정」상 금융정보의 ‘무단’저장 금지(제60조)
ㅇ 금융정보의 저장은 적법하게 위탁받은 경우에 한해 허용하고, 그 외의 ‘무단’ 저장은 금지
□ 「보험업감독규정」중 설비의 국외이전 관련사항 정비(제2-7조)
ㅇ ‘전산설비의 국외이전’ 시 금융위 승인조항을 폐지하여, 보험사의 설비 이전에 대한 절차와 방법도 신설되는 규정에 따르도록 통일
3. 향후 계획
□ (규정 제‧개정 예고) 4. 17일 ~ 5. 26일 (40일)
⇨ 예고기간중 각 업권‧관계부처 등으로부터 충분히 의견을 수렴
□ (규제개혁위원회 심사 및 금융위원회 의결․시행) 6월중
☞ 본 자료를 인용하여 보도할 경우에는 출처를 표기하여 주시기 바랍니다.
http://www.fsc.go.kr
5
금융위원회고시 제 호
금융회사의 정보처리 및 전산설비 위탁에 관한 규정 제정안
금융회사의 정보처리 및 전산설비 위탁에 관한 규정을 다음과 같이 제정한다.
제1조(목적) 이 규정은 금융회사가 인가‧허가 또는 등록(이하 “인가등”이라 한
다) 등을 받은 금융업을 영위함에 있어, 정보처리 업무 및 관련 전산설비의
위탁 등에 관한 사항을 규정함을 목적으로 한다.
제2조(정의) 이 규정에서 사용하는 용어의 정의는 다음과 같다.
① “금융회사”라 함은 다음 각 호와 같다.
1. 「은행법」에 따른 인가를 받아 설립된 은행
2. 「한국산업은행법」에 따른 한국산업은행
3. 「중소기업은행법」에 따른 중소기업은행
4. 「한국수출입은행법」에 따른 한국수출입은행
5. 「자본시장과 금융투자업에 관한 법률」에 따른 금융투자업자, 종합금융
회사
6. 「보험업법」에 따른 보험회사
7. 「상호저축은행법」에 따른 상호저축은행
8. 「신용협동조합법」에 따른 신용협동조합
9. 「여신전문금융업법」에 따른 여신전문금융회사
10. 「농업협동조합법」에 따른 농협은행
11. 「수산업협동조합법」에 따른 수산업협동조합중앙회의 신용사업부문
6
12. 「전자금융거래법」에 따라 허가를 받거나 등록한 전자금융업자
② “외국계 금융회사”라 함은 외국법령에 따라 설립되어 외국에서 금융업을
경영하는 자의 국내 지점 또는 계열사로서 국내에서 금융관련 법령에 따라
금융업의 인가등을 받은 자를 말한다.
③ “계열사”라 함은 해당 금융회사와 주식보유 등을 통하여 하나 이상의 법
인이 개재되어 있고, 이들이 모두 상법상의 모회사 또는 자회사의 출자관계
로 연결된 경우를 말한다.(다만, 상장된 회사의 경우 모회사 또는 자회사의
소유지분 요건을 발행주식 총수의 100분의 30 이상으로 한다)
④ “전산설비”라 함은 금융회사가 인가등을 받은 금융업을 영위하기 위하여
사용하는 하드웨어와 소프트웨어를 말하며 관련 장비를 포함한다.
⑤ “정보처리”라 함은 금융회사가 인가등을 받은 금융업을 영위하기 위하여
전산설비를 활용하여, 정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검
색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 및 기타 이와 유사한 행위를
말한다.
⑥ “위탁”이라 함은 금융회사가 인가등을 받은 금융업을 영위하기 위하여
제3자의 용역 또는 시설 등을 계속적으로 활용하는 행위를 말한다. 다만, 금
융업 영위와 직접적으로 관계되지 아니하는 시설관리 등 단순한 구매·용역계
약은 제외한다.
⑦ “전산사고”라 함은 정보처리 및 전산설비의 장애, 재해, 파업, 테러 등의 사
유로 발생하는 업무의 중단 또는 지연 및 해킹 등 전자적 침해행위가 발생
하는 경우를 말한다.
⑧ 이 규정에서 사용하는 용어의 정의는 특별히 정한 경우 외에는 관련법령
에서 정하는 바에 따른다.
7
제3조(적용범위 등) ① 금융회사(제2조제2항의 외국계 금융회사를 포함한다.
이하 같다)의 정보처리 업무 및 관련 전산설비의 위탁과 관련해서는 다른
법령에 특별한 규정이 있는 경우를 제외하고는 이 규정에서 정하는 바에
따른다.
② 금융관련 법령에 따라 금융업의 인가등을 신청한 자에게도 이 규정을 적
용한다. 이 때, 관련 법령상 인가등의 결정 기한에는 해당 위탁의 적부 심
사 등에 소요되는 기간은 산입하지 아니한다.
③ 외국계 금융회사가 국내외 본점‧지점 또는 계열사간에 체결하는 용역 또는
전산시설 등의 공급계약은 제2조제6항의 전단의 규정에 불구하고 이 규정에
의한 업무의 위탁으로 본다(기타 금융회사가 국외 지점에 위탁하는 경우에도
같다).
제4조(정보처리의 위탁) ① 금융회사는 인가등을 받은 업무를 영위함에 있어 정
보처리가 요구되는 경우, 이를 제3자에게 위탁할 수 있다. 다만, 업무를 수탁
하는 자가 해외에 소재하는 경우에는 위탁 금융회사의 본점 및 계열사로 한
정한다.
② 제1항의 규정에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우는 정
보처리를 위탁할 수 없다. 다만, 금융감독원장이 허용하는 방식에 따라 코스
콤 또는 저축은행중앙회에 원장 등의 관리를 위탁하는 경우는 제외한다.
1. 관련 법령에서 해당 업무의 위탁을 금지하고 있는 경우
2. 최근 3년 이내에 금융이용자의 정보관리, 감독관련 자료 제출 등 감독기
관의 검사와 관련한 사항으로 기관경고 이상의 제재 또는 300만원 이상의
과징금․과태료 처분을 2회 이상 받은 경우. 이미 위탁된 경우라도 전단의
사유로 인한 제재 또는 처분이 3회 이상 누적될 경우, 제7조제2항에 따른
8
위탁계약 변경권고를 할 수 있다.
3. 기타 업무의 위탁으로 인하여 당해 금융회사의 건전성 또는 신인도를 크게 저
해하거나, 금융질서의 문란 또는 금융이용자의 피해 발생이 심히 우려된다고 금
융위원회가 판단하는 경우
③ 금융회사는 제1항에 따른 정보처리 위탁계약을 체결할 경우 데이터에 대한 접
근통제, 전산사고 등에 따른 이용자 피해에 대한 위‧수탁 회사간의 연대책
임, 수탁자에 대한 감독당국의 감독‧검사 수용의무, 수탁자의 분쟁해결 과정
에서의 재판관할 등 별표1의 표준계약내용을 반영하여, 위탁에 따라 발생할 수
있는 책임관계를 명확히 하여야 한다.
④ 제1항에 따라 정보처리를 위탁받은 자는 정보처리 과정에서 제공받은 정보
를 제3자에게 재위탁하거나, 당초 위탁의 범위를 초과하여 다른 목적으로
활용할 수 없다. 다만, 해당 정보 주체의 동의를 얻은 경우는 동의의 범위
내에서 활용할 수 있다.
⑤ 제1항에 따라 정보처리를 위탁하는 경우, 위탁된 처리와 관련한 전산설비는
관련 법령상 인허가를 위한 전산설비 구비 요건을 충족한 것으로 본다. 다만,
제6조제2항 각호에 해당하는 설비는 제외한다.
제5조(특정정보의 보호) ① 제4조에 따라 정보처리를 위탁하는 경우, 금융회사
는 각 관련 법령상의 안전성 확보조치를 충실히 이행하여야 한다. 이 때 개
인고객의 고유식별정보는 암호화 등의 보호 조치를 하여야 하며, 특히 해외
로 이전되지 않도록 하여야 한다.
② 금융회사는 위탁 처리되는 정보의 보호를 위한 안전성 확보조치의 구체적
내용을 홈페이지 등을 통해 공시하여야 한다. 또한 민감정보의 처리를 위탁할
경우에는 정보주체에게 금융감독원장이 정하는 방법에 따라 개별 고지하여
9
야 한다.
제6조(전산설비의 국외위탁) ① 금융회사는 금융위원회의 승인을 얻어 정보처
리의 위탁과 관련한 설비를 국외의 본점 또는 계열사에 위탁할 수 있다.
② 제1항의 규정에도 불구하고 금융위원회는 다음 각 호의 어느 하나에 해당하
는 경우 관련 설비의 국외위탁을 제한할 수 있다.
1. 금융이용자의 보호 및 금융감독 목적상 필요한 금융거래 관련 원장 다만,
금융이용자군 및 취급상품의 특성상 국경간 이동서비스가 불가피하다고
인정되는 업무를 처리하는 설비는 제외한다.
2. 금융이용자에 대한 서비스와 직접적으로 관련이 있는 업무를 처리하는
설비
3. 국내 외부기관과 연결되어 있어 해외에 두기 부적합한 전산설비
4. 해외에 두는 경우 금융이용자에 대한 서비스 품질, 보안성 및 재해 복구
시간 등 관련 법령에서 정한 요건을 준수하지 못하게 되는 전산설비
5. 상기 각 호의 전산설비를 지원하는 데이터 네트워킹 기반 시설 및 IT 보
안설비
③ 금융위원회는 제1항에 따른 금융회사의 정보처리 설비 위탁 신청을 승인할
때에 다음 각 호의 요건에 대한 충족여부를 확인하여야 한다.
1. 관련 기능의 수행에 충분한 성능의 전산설비 및 관련시설 확보
2. 전산사고 및 정보유출 방지를 위해 적절한 전산설비 보호대책 구비
3. 전산사고 발생시 업무지속성 확보방안 및 합리적인 이용자 피해구제절차
구비 여부
4. 전산설비 운영 등에 대한 감독기관의 실질적 감독가능성
5. 전자금융감독규정 제36조의 보안성 심의 통과 여부(해당시)
10
제7조(보고) ① 금융회사가 제4조제1항에 따라 정보처리 업무를 위탁하는 경우에
는, 그 사실을 동 위탁계약 체결 예정일로부터 7영업일 이전에 다음 각 호의 서
류를 첨부하여 금융감독원장에게 보고하여야 한다.
1. 위탁계약서(안) 사본
2. 업무위탁 운영기준
3. 업무위탁 계약이 이 규정 등 관련법령에 위배되지 아니한다는 준법감시
인(준법감시인이 없는 경우, 감사 등 이에 준하는 자)의 검토의견 및 관련
자료 사본
4. 위탁의 필요성 및 기대효과
5. 위탁에 따른 업무처리절차의 주요 변경내용
② 제1항의 규정에도 불구하고, 다음 각 호의 하나에 해당하는 경우 금융위원
회는 제1항에 따른 사전보고를 생략하고 반기 현황을 해당 연도 7월말 또는
이듬해 1월말까지 금융감독원장에게 보고하게 할 수 있다. 이 때 금융감독
원장은 관련 협회 등이 회원 금융회사의 현황을 종합하여 보고하게 할 수
있다.
1. 해당 금융회사 또는 동일한 금융업을 영위하는 다른 금융회사가 금융감
독원장에게 보고한 내용과 동일한 경우로서, 위탁 또는 수탁 상대방의 업종
이 동일한 경우
2. 이미 보고한 내용을 일부 변경하는 경우로서, 변경되는 내용이 경미한
경우
③ 금융감독원장은 업무의 위탁이 이 규정 등 관계법령에 적합하지 아니하다
고 판단하는 경우에는 당해 금융회사에 대하여 그 내용의 자료보완요구, 변
경권고 등 필요한 조치를 할 수 있다.
11
④ 금융감독원장은 이 규정에 따른 보고 절차 등과 관련하여 필요한 경우「금
융기관의 업무위탁 등에 관한 규정」의 서식을 사용하도록 할 수 있다.
제8조(감독 및 검사) ① 위탁 금융회사 및 해당 업무의 수탁회사는 제4조에
따라 위탁 운영되는 정보처리 업무 및 제6조에 따라 위탁 운영되는 전산설
비와 관련하여 금융위원회의 자료제출 등 감독 및 검사를 위한 요구에 응하
여야 한다.
② 금융위원회는 이 규정에 따른 권한 또는 업무를 금융감독원장에게 위탁할
수 있다.
③ 금융감독원장은 이 규정에 따른 금융회사의 업무 위탁 현황을 매 반기
금융위원회에 보고하여야 한다.
제9조(재검토기한) 「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈
령 제248호)에 따라 이 규정 발령 후의 법령이나 현실여건의 변화 등을
검토하여 이 규정의 유지, 폐지, 개정 등의 조치를 하여야 하는 기한은
2015년12월 31일까지로 한다.
부칙
제1조(시행일) 이 규정은 고시한 날부터 시행한다.
제2조(경과규정) 이 규정은 최초 시행시, 관련 법령에 따라 적법하게 위탁‧운용되고 있는 정보처리 및 전산설비와 관련하여 추가적인 의무나 제약을 부담
하게 하는 것으로는 해석되지 아니한다.
- 12 -
1. 정보주체 또는 이용자의 권리
가. 제3의 수익자로서 본 계약에 명시된 위․수탁회사의 의무에 대응되는 계약상의권리
나. 본 계약에 따른 위․수탁회사의 의무 이행을 요구할 권리 및 권리 침해시 이에
대한 손해를 배상받을 권리
2. 위탁회사의 의무
가. 국내 관련법령의 준수 및 감독기관과의 사전 협의 의무
나. 정보주체에 대한 금융정보 이전 사실, 이전 대상, 목적 등 중요 사항 고지
의무
다. 정보주체의 금융정보에 대하여 열람(사본의 발급을 포함) 및 정보 처
리 정지, 정정·삭제 및 파기 요구에 응할 의무
라. 물리적‧기술적‧관리적 보호조치 등 관계법령의 요구사항 및 금융감독당
국의 권고사항의 준수를 보장하는 수탁회사를 선정할 의무
마. 수탁회사가 관련법령의 요구사항 및 금융감독당국의 권고사항을 준수
하도록 지시하고 점검하는 등 감독할 의무
3. 수탁회사의 의무
가. 물리적‧기술적‧관리적 보호조치 등 (대한민국) 관계법령의 요구사항 및
(대한민국) 감독기관의 권고사항을 이행할 의무
나. 이전받은 정보는 계약의 목적과 범위내에서만 이용하고, 정보주체의 동의
없는 재위탁 및 제3자에의 양도‧이전은 금지 다. 이 계약 및 위탁회사의 지시에 따라 정보를 처리하여야 하며, 계약과 관련
하여 취득한 일체의 정보나 산출물에 대해 제3자에의 누설 또는 제공 금
지
라. 전산사고, 정보유출사고, 관계 당국으로부터의 금융정보 공개요구시 위탁
[별표1]
표준계약내용
금융회사가 「금융회사의 정보처리 및 전산설비 위탁에 관한 규정」에
따라 정보처리를 위탁하는 경우, 위탁계약서에 반드시 반영하여야 하는
내용은 다음과 같다.
- 13 -
회사에 대한 즉시 통보 의무
마. 계약의 이행과 관련한 위탁회사의 지시 및 위탁회사의 감독기관의 자료
요구, 감독‧검사 요구 등 감독에 필요한 사항의 성실한 이행 바. 문서‧시설‧인원 등에 대한 주기적 보안점검 및 임직원에 대한 년 1회 이
상의 보안 교육
사. 계약 종료시 이전받은 금융정보를 반환하거나 재사용이 불가능하도록
폐기‧소거할 의무
4. 감독기관에 대한 협조의무
가. 계약서 사본의 감독기관 제출 의무
나. 수탁회사에 대한 감독기관의 자료 요구 및 감독‧검사 요구에 대한 위‧수탁 회사의 협조 및 성실한 수용의무
다. 양 당사자간 계약 변경시, 위탁회사의 감독기관과의 사전 협의 및 변경
사실 통보 의무
5. 의무위반의 효과
가. 정보주체 및 이용자가 위․수탁회사의 의무위반 또는 정보유출, 전산사고 등
으로 손해를 입은 경우 위․수탁회사는 연대하여 손해배상책임 부담 나. 수탁회사가 의무위반시 위탁회사의 정보이전 중지 및 계약 해지 가능
6. 해외 위탁시의 적용 특례
가. 계약서의 해석에 다툼이 있을 경우, 금융위원회(금융감독원)에 제출된 한
글 계약서의 내용이 우선적 효력 가짐
나. 동 계약 관련 정보주체․이용자와 위․수탁회사간 분쟁은 대한민국 법령에
따라 대한민국 법원의 관할 및 해석으로 처리. 금융이용자와 관련한
사항의 경우에는 금융이용자의 선택에 따라 대한민국 감독기관의 조정
절차에 따라 해결할 수 있음
