“카드 이용대금명세서 암호화 교부, 꼭 필요할까?”
신용카드 이용대금 명세서를 고객에게 전송할 때, 암호화된 상태의 이메일을 발송하여 전송하는 것이 일반적인 전송 방법입니다.
그러나 고객의 요청이나 동의가 있다면, 반드시 카드 이용대금 명세서를 암호화할 필요가 없지 않냐는 의문이 있을 수 있습니다.
금융위원회는 이 의문에 관하여 법령해석을 공개하였는데요. ‘신용정보법 제19조(신용정보전산시스템의 안전보호)를 준수하기 위해 카드 이용대금 명세서를 암호화하여 고객에게 전송해야 하는지 여부’에 대한 답변입니다.
아래는 금융위원회의 질의 회답과 이유입니다.
| ■ 신용정보법 제19조 등은 신용정보전산시스템의 안전한 보호를 위하여 신용정보회사등이 기술적·물리적·관리적 보안대책을 수립·시행하도록 규정하고 있으며, 신용정보회사등이 소비자에게 발송하는 이메일의 방식에 대해서는 규정하고 있지 않습니다. ■ 다만, 개인정보보호법, 전자금융거래법, 정보통신망법 등 다른 법령에서 이메일 전송 방법 등과 관련하여 정보보호·보안 요건 등을 규정하고 있다면 이를 준수하여야 할 것입니다. |
| ■ 신용정보법 제19조, 동법 시행령 제16조, 신용정보업감독규정 제20조 및 [별표3]은 신용정보회사등이 신용정보전산시스템을 안전하게 보호하기 위하여 기술적·물리적·관리적 보안대책을 수립·시행하도록 규정하고 있습니다. ● 카드 이용대금 명세서를 어떠한 방식으로 이메일로 전송할지 여부는 신용정보회사등의 신용정보전산시스템과 관련이 있다고 보기 어려우므로 신용정보법 제19조 등이 적용되지 않는다고 볼 수 있습니다. ■ 다만, 개인정보보호법, 전자금융거래법, 정보통신망법 등 다른 법령에서 이메일 전송 방법 등과 관련하여 정보보호·보안 요건 등을 규정하고 있다면 이를 준수하여야 할 것입니다. |
신용정보법 제19조 제2항을 살펴보면, ‘신용정보를 제공하는 경우에는 금융위원회가 정하여 고시하는 바에 따라 신용정보 보안관리 대책을 포함한 계약을 체결하여야 한다’ 라고 규정하고 있습니다.
‘금융위원회가 정하여 고시하는 바’에 해당하는 신용정보업 감독규정 제20조를 살펴보겠습니다. 신용정보회사등이 마련해야 할 기술적, 물리적, 관리적 보안대첵의 구체적인 기준을 별표3에서 정하고 있습니다.
| 신용정보업감독규정 [시행 2022. 9. 23.] [금융위원회고시 제2022-33호, 2022. 9. 23., 일부개정] 제20조(기술적ㆍ물리적ㆍ관리적 보안대책) 영 제16조제2항에 따라 신용정보회사등이 마련해야 할 기술적ㆍ물리적ㆍ관리적 보안대책의 구체적인 기준은 별표 3과 같다 |
신용정보업감독규정 별표3 기술적ㆍ물리적ㆍ관리적 보안대책 마련 기준(제20조 관련)을 살펴보겠습니다.
| 3. 개인신용정보의 암호화 ① 신용정보회사등은 비밀번호, 생체인식정보 등 본인임을 인증하는 정보는 암호화하여 저장하며, 이는 조회할 수 없도록 하여야 한다. 다만, 조회가 불가피하다고 인정되는 경우에는 그 조회사유ㆍ내용 등을 기록ㆍ관리하여야 한다. ② 신용정보회사등은 정보통신망을 통해 개인신용정보 및 인증정보를 송ㆍ수신할 때에는 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호의 어느 하나의 기능을 갖추어야 한다. ③ 신용정보회사등은 개인신용정보를 PC에 저장할 때에는 이를 암호화해야 한다. ④ 신용정보회사등은 다음 각 호의 기준에 따라 개인식별정보의 암호화 등의 조치를 취하여야 한다. 1. 정보통신망을 통하여 송수신하거나 보조저장매체를 통하여 전달하는 경우에는 암호화하여야 한다. |
신용정보업 감독규정 별표3에서도, 신용정보회사 등이 소비자에게 발송하는 이메일의 방식에 대해서는 규정하지 않음을 알 수 있습니다.
이용대금 명세서에는 보통 비밀번호나 개인식별정보가 포함돼 있지 않으니 그 자체는 암호화 대상이 아닙니다. 개인신용정보가 포함돼 있을 가능성이 높기는 하지만 그렇다고 해서 이용대금 명세서 자체를 암호화해야 한다는 의미는 아니며, 보안서버 구축 등의 조치를 통해 암호화하면 됩니다.
다만 개인정보 보호법이나 정보통신망법에서 이메일 전송시 정보보호나 보안 요건을 요구한다면 따라야 할 것이지만, 신용정보법과 신용정보업 감독규정보다 더 높은 단계의 암호화를 요구하지는 않고 있습니다. 이용대금 명세를 담은 이메일 전송 행위 자체가 전자금융거래에 해당하지 않는 만큼, 전자금융거래법에 따른 별도의 암호화가 필요하지는 않을 것입니다.
개인정보를 수집, 보관, 이용하고 처리하는 업무는 법률적으로 다양한 경험과 노하우 및 개인정보전문변호사의 정확한 해석과 기술적인 여건이 필요합니다.
법률사무소 인평은 데이터의 위험관리 및 개인정보 침해사고 발생 전과 후 모든 상황에서의 대응방안을 제안하고 컨설팅해드립니다.
개인정보 보호법, 신용정보법, 정보통신망법, 위치정보법 등 다양한 법령에 관한 법률자문을 포함하여 정보 보안 시스템 구축과 빅데이터 업무에 관한 전문적이고 특화된 법률서비스를 제공하고 있습니다.
고객의 기업과 산업에 대한 깊은 이해를 바탕으로 최적의 법률자문이 필요하신 경우 법률사무소 인평으로 문의주시기 바랍니다.
감사합니다.
법률사무소 인평 드림
