금융위원회는 2013년 4월 16일에 「금융회사의 정보처리 및 전산설비의 위탁에 관한 규정」의 제정안을 예고하였습니다. 이는 전 세계적으로 금융회사의 다양한 정보처리 및 관련 전산설비의 상당부분이 위탁 운영되는 추세지만, 국내에서는 금융회사의 여타 업무의 위탁과 마찬가지로 「금융기관의 업무위탁 등에 관한 규정」에 따라 제한된 범위 내에서 위탁이 이루어지면서 외부 전산설비의 이용 필요성 등이 충분히 고려되지 못한다는 지적이 제기되어 왔습니다. 또한, 한-EU, 한-미 FTA 협정문상 유보조항에 따라, 한 ‧EU FTA 발효(2011. 7. 1) 후 2년 내(2013. 6. 30), 한‧미 FTA도 발효(2012. 3. 15) 후 2년 내(2014. 3. 14)에 정보이전을 허용하도록 하고 있어, 금융회사의 일상적인 자료처리를 위해 필요한 정보의 해외 이전 방안을 검토할 필요도 제기되었습니다. 이에 금융위원회는 「금융회사의 정보처리 및 전산설비의 위탁에 관한 규정」(이하 “정보처리위탁규정”이라 합니다)의 제정안을 마련하였고, 그 주요내용은 다음과 같습니다.

1. 위탁의 허용범위 및 절차

제정안 제4조는 외국계 금융회사(외국법령에 따라 설립되어 외국에서 금융업을 경영하는 자의 국내지점 또는 계열사로서 국내에서 금융 관련 법령에 따라 금융업의 인가등을 받은 자를 말함)를 포함한 금융회사가 정보처리 업무를 제3자에게 위탁하는 것을 허용하되, 금융이용자 보호 및 감독가능성 확보를 위해 국외 제3자에게 위탁할 경우에는 위탁하는 금융회사의 본점 및 계열사에 한해서만 위탁을 허용하는 것으로 규정하였습니다. 다만 관련 법령에서 위탁이 금지되는 경우 또는 최근 3년 이내에 금융이용자의 정보관리, 감독관련 자료 제출 등 검사와 관련한 사항으로 제재(기관경고 이상 또는 300만원 이상의 과태료‧과징금)를 2회 이상 받은 경우 등의 예외사유에 해당할 경우에는 정보처리 업무의 위탁이 제한됩니다(제정안 제4조 제2항).

또한, 위탁 이후의 감독가능성 확보 및 금융이용자 보호를 위해 위‧수탁 회사간 계약에 표준계약내용을 의무적으로 사용 하도록 하였습니다(제정안 제4조 제3항). 표준계약의 내용은 정보처리위탁규정의 별표1에 첨부되어 있고. 그 주요내용은 정보주체의 권리, 위‧수탁회사의 의무, 감독당국에의 협조, 위탁사항의 재위탁 및 제3자에 대한 정보이전 금지, 위‧수 탁회사간의 연대 책임, 해외위탁시 국내 재판관할 등입니다.

제정안 제7조 제1항은 금융회사가 정보처리 업무를 위탁할 경우 그 사실을 위탁계약 체결 예정일로부터 7영업일 이전에 금융감독원장에게 보고하도록 하였고, 이는 현행 「금융기관의 업무 위탁 등에 관한 규정」에서 정한 사전보고의무와 동일합니다.

2. 위탁되는 정보의 보호

제정안 제5조는 금융회사가 정보처리를 위탁하는 경우, 개인정보보호법, 금융실명거래 및 비밀보장에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등 모든 관련법상의 보호조치(정보주체의 사전 동의, 개인정보의 암호화 등 안전성 확보조치)를 이행하도록 규정하고 있습니다(제1항). 이러한 안전성 확보 조치와 별도로 개인고객의 주민번호는 국외로의 이전 자체를 금지하였고(제2항), 정보처리 위탁시 적용되는 안전성 확보조치 등에 대해서는 홈페이지 등에 공시하도록 하였으며, 국내‧외를 불문하고 민감정보의 처리를 위탁할 경우에는 정보주체에 대해 별도로 고지하는 추가적 절차를 의무화하였습니다(제3항).

3. 전산설비의 국외위탁

제정안 제4조에 의하면, 금융회사는 정보처리 관련 설비를 금융위원회 승인을 얻어 국외의 본점 또는 계열사에 위탁할 수 있으나, 금융이용자 보호 및 감독기능 수행을 위해 필요한 금융거래 원장 등 주요 설비에 대해서는 위탁을 제한할 수 있도록 하였습니다. 금융위원회가 국외위탁을 제한할 수 있는 전산설비는 다음과 같습니다(제정안 제6조 제2항).

• 금융이용자의 보호 및 금융감독 목적상 필요한 금융거래 관련 원장(다만, 금융이용자군 및 취급상품의 특성상 국경 간 이동서비스가 불가피하다고 인정되는 업무를 처리하는 설비는 제외),
• 금융이용자에 대한 서비스와 직접적으로 관련이 있는 업무를 처리하는 설비,
• 국내 외부기관과 연결되어 있어 해외에 두기 부적합한 전산설비,
• 해외에 두는 경우 금융이용자에 대한 서비스 품질, 보안성 및 재해 복구 시간 등 관련 법령에서 정한 요건을 준수하지 못하게 되는 전산설비,
• 상기 각 호의 전산설비를 지원하는 데이터 네트워킹 기반 시설 및 IT 보안설비

한편, 현행 전자금융감독규정 제11조에 따라 전산실 및 재해복구센터를 국내에 소재하도록 하는 요건은 정보처리위탁규정 제정 이후에도 유지될 예정입니다.

4. 기타 규정의 변경 예고

금융위원회는 정보처리위탁규정이 제정되는 것에 맞추어, 그 밖의 규정들을 다음과 같이 변경할 것임을 예고하였습니다.

(1) 「금융기관의 업무 위탁 등에 관한 규정」의 적용범위를 축소하여 ‘정보처리 및 전산설비의 위탁’에 대해서는 정보처리위탁규정에 따라 처리하도록 하였습니다.

(2) 「전자금융감독규정」은 금융기관 또는 전자금융업자가 전자금융거래를 위한 외부주문등을 하는 경우 이용자 금융정보의 보관을 금지하고 있던 것을 금융정보의 ‘무단’ 저장을 금지하는 것으로 개정함으로써, 금융기관 및 전자 금융업자 등과 외부주문 등 계약을 체결한 전자금융보조업자 등이 계약을 이행하기 위하여 필요한 범위 내에서 금융이용자의 금융정보를 보관하는 것을 허용하였습니다(제60조).

(3) 「보험업감독규정」중 ‘전산설비의 국외이전’ 시 금융위원회에 승인을 얻도록 한 조항을 삭제하여, 보험회사의 설비 이전에 대한 절차와 방법에 대해서는 정보처리위탁규정에 따르도록 통일하였습니다(제2-7조 제2항).

* 상기의 사항에 대하여 궁금하신 사항이 있으신 분은 연락하여 주시면 보다 자세한 내용을 상담하여 드리도록 하겠습니다.