내년 1월 가이드라인 배포, 2월 시행 금융당국이 은행, 카드사 등 금융기관의 개인정보 보호 수준을 체계적으로 점검하기 위해 상시평가제도를 도입한다. 포괄적인 점검기준을 구체화하고 금융보안원을 통해 보호 실태에 대한 상시 피드백을 제공하는 내용이다.
6일 금융위원회와 금융보안원은 금융권이 활용·관리하는 개인 신용정보의 보호 실태를 총체적으로 점검하는 '정보보호 상시 평가제'를 도입한다고 밝혔다. 점검항목 개선, 효율적 검증시스템, 적극적 점검 환경 조성 등을 통해 보호수준을 종합적으로 진단한다.
우선 금융권 정보보호 실태를 면밀히 점검할 수 있도록 점검항목을 9개 대항목 143개 소항목으로 구분했다. 정보제공 동의·수집·제공·삭제 등 정보의 생애주기에 따른 전반적인 사항을 점검할 수 있도록 평가항목을 구체화했다.
정보보호 점검항목별로 준수정도에 따라 이행, 부분이행, 미이행, 해당없음 4단계로 구분하고, 일정기간 점수가 우수하고 사고가 없는 기업은 사고발생시 제재감면 등의 혜택을 부여하는 '안전성 인증마크'를 부여한다.
금융보안원을 자율규제기구로 두어 금융권 정보보호 실태 점검의 효율성도 높인다. 이를 위해 인력을 보강하고, 비대면·자동화를 통해 규제를 쉽게 준수할 수 있는 레그테크 기반의 상시평가지원시스템도 구성한다. 자체평가, 점수·등급부여, 감독·검사 등 3단계로 세분화된 점검결과는 금융기관에 피드백을 제공한다.
금융기관이 스스로 정보보호 수준을 점검할 수 있도록 가이드라인도 마련된다. 중·소형 금융회사도 대형 금융회사와 유사한 수준의 정보보호 역량을 갖출 수 있도록 금융보안원이 교육과 컨설팅을 제공한다. 정보보호 취약 사례별로 해결 방안을 제시하고, 평가 항목·방법·근거법령 등으로 자가점검과 개선을 지원한다.
금융위 관계자는 "정보보호 상시평가제 도입으로 인공지능 등 신기술 출현, 가명정보 도입 등 새로운 데이터 처리 환경에서도 일관성 있고 안전한 정보보호를 통해 국민의 신뢰성을 높이겠다"고 밝혔다.
금융위는 내년 2월4일 정보보호 상시평가제 시행에 맞춰 시범운영을 실시하고, 내년 1월경 세부적인 운영을 위한 가이드라인을 배포할 예정이다.
