명절을 앞두고 금융당국이 보이스피싱 주의보를 발령하였습니다. 그럼에도 보이스피싱 피해는 계속 되고 있는 가운데, 금융회사들도 보이스피싱 예방을 위한 방안들을 강구하고 있습니다. 여러 방안 중 하나로 금융지주회사의 자회사 간에 보이스피싱 사기 예방을 목적으로 카드론 정보, 의심거래정보, 계좌 입출금 거래 정보 등을 공유하는 것이 고려되었는데, 이러한 행위가 금융지주회사법 제48조의2 제1항에 따른 고객의 동의가 필요없는 내부 경영관리 목적의 정보 제공에 해당하는지가 문제되었습니다. 아래에서는 위 질의에 대한 금융위원회의 법령해석을 살펴보겠습니다.
먼저 관련 법령을 살펴보면 다음과 같습니다.
금융지주회사법 제48조의2 제1항에 의하면, 금융지주회사 및 그 자회사등(이하 “금융지주회사등”)은 고객의 동의 없이도 「금융실명거래 및 비밀보장에관한 법률」 제4조에 따른 금융거래의 내용에 관한 정보 또는 자료 및 「신용정보의 이용 및 보호에 관한 법률」 제32조제1항에 따른 개인신용정보를 금융위원회가 정하는 방법과 절차에 따라 그가 속하는 금융지주회사등에게 신용위험관리 등 대통령령으로 정하는 내부 경영관리상 이용하게 할 목적으로 제공할 수 있습니다.
그리고 금융지주회사법 시행령 제27조의2 제1항에 의하면 “신용위험관리 등 대통령령으로 정하는 내부 경영관리”란 고객에게 상품 및 서비스를 소개하거나 구매를 권유하는 업무가 아닌 업무로서, 신용위험관리 등 위험관리와 내부통제, 업무 및 재산상태에 대한 검사, 고객분석과 상품 및 서비스의 개발, 성과관리, 위탁업무 수행을 말합니다.
위 질의에 대하여 금융위원회는 금융지주회사 소속 자회사가 보이스피싱 등 사기거래가 의심되는 고객의 개인 신용정보, 카드론, 계좌입출금 등 금융거래정보를 다른 자회사에게 제공하는 것은 금융거래와 관련한 금융사기 등의 예방을 위한 것으로, 금융회사의 내부 경영관리 목적에 해당하는 것으로 해석하기는 어렵다고 하였습니다.
신용위험관리 등 금융회사의 내부 경영관리 목적에 해당하는 경우에는 고객의 동의가 없더라도 개인 신용정보 등이 다른 자회사에 제공될 수 있으므로, 개인정보 보호를 위하여 목적에 해당하는지 여부를 엄격하게 해석하고 있는 것으로 판단됩니다. 보다 자세한 내용은 아래 금융규제민원포털 회신사례에서 검색(회신일 2020.11.26. 일련번호 190272)하시면 확인하실 수 있습니다.
