위탁규정엔 우리회사 없는데 보고해야돼 ?
오랜만에 글을 쓴다. 회사를 이직하면서 개인(신용)정보보호 업무도 곁들이고있다. 그러한 업무 과정에서 검토한 내용을 적어보고자 한다.
우선 대부분의 금융회사는 전자금융거래법의 "금융회사" 범위에 속한다. 금융회사가 정보처리 업무를 위탁하고자 하는경우엔 어떻게 해야할까? 먼저 용어의 정의부터 확인해보자.
전자금융거래법 제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다.
3. “금융회사”란 다음 각 목의 어느 하나에 해당하는 기관이나 단체 또는 사업자를 말한다.
가. 「금융위원회의 설치 등에 관한 법률」 제38조제1호부터 제5호까지, 제7호 및 제8호에 해당하는 기관
나. 「여신전문금융업법」에 따른 여신전문금융회사
다. 「우체국예금ㆍ보험에 관한 법률」에 따른 체신관서
라. 「새마을금고법」에 따른 새마을금고 및 새마을금고중앙회
마. 그 밖에 법률의 규정에 따라 금융업 및 금융 관련 업무를 행하는 기관이나 단체 또는 사업자로서 대통령령이 정하는 자
전자금융거래법 시행령 제2조(금융회사의 범위) 「전자금융거래법」(이하 “법”이라 한다) 제2조제3호마목에서 “대통령령이 정하는 자”라 함은 다음 각 호의 어느 하나에 해당하는 자를 말한다.
1. 「한국산업은행법」에 따른 한국산업은행
2. 「중소기업은행법」에 따른 중소기업은행
3. 「한국수출입은행법」에 따른 한국수출입은행
4. 「산림조합법」에 따른 조합과 그 중앙회의 신용사업부문
5. 「농업협동조합법」에 따른 조합
6. 「수산업협동조합법」에 따른 조합
7. 「자본시장과 금융투자업에 관한 법률」에 따른 거래소
8. 「자본시장과 금융투자업에 관한 법률」에 따른 한국예탁결제원
8의2. 「주식ㆍ사채 등의 전자등록에 관한 법률」에 따른 전자등록기관
9. 「금융지주회사법」에 따른 금융지주회사와 「금융지주회사법 시행령」 제2조제2항제1호에 해당하는 회사
10. 「보험업법」에 따른 보험협회와 보험요율산출기관
11. 「화재로 인한 재해보상과 보험가입에 관한 법률」에 따른 한국화재보험협회
12. 「자본시장과 금융투자업에 관한 법률」에 따른 한국금융투자협회
13. 삭제 <2008. 7. 29.>
14. 「신용정보의 이용 및 보호에 관한 법률」에 따른 신용정보회사, 채권추심회사 및 종합신용정보집중기관
15. 「한국자산관리공사 설립 등에 관한 법률」에 따른 한국자산관리공사
16. 「한국주택금융공사법」에 따른 한국주택금융공사
17. 「신용보증기금법」에 따른 신용보증기금
18. 「기술보증기금법」에 따른 기술보증기금
19. 「온라인투자연계금융업 및 이용자 보호에 관한 법률」 제2조제3호에 따른 온라인투자연계금융업자
금융회사가 정보처리 업무를 위탁하고자 하는 경우, 아래 규정을 살펴보게 될텐데 해당 규정엔 금융회사를 다시 정의하고있다.
금융회사의 정보처리 업무 위탁에 관한 규정
제1조(목적) 이 규정은 금융회사가 「금융위원회의 설치 등에 관한 법률」 제17조제3호에 따라 인가ㆍ허가 또는 등록 등(이하 "인가등"이라 한다)을 받은 금융업을 영위함에 있어 정보처리 업무의 위탁 등에 관한 사항을 규정함을 목적으로 한다.<개정 2015. 7. 22., 2018. 6. 28.>
제2조(정의) 이 규정에서 사용하는 용어의 정의는 다음과 같다. ① "금융회사"라 함은 다음 각 호와 같다.
1. 「은행법」에 따른 은행
2. 「한국산업은행법」에 따른 한국산업은행
3. 「중소기업은행법」에 따른 중소기업은행
4. 「한국수출입은행법」에 따른 한국수출입은행
5. 「자본시장과 금융투자업에 관한 법률」에 따른 금융투자업자, 종합금융회사
6. 「보험업법」에 따른 보험회사
7. 「상호저축은행법」에 따른 상호저축은행
8. 「신용협동조합법」에 따른 신용협동조합
9. 「여신전문금융업법」에 따른 여신전문금융회사
10. 「농업협동조합법」에 따른 농협은행
11. 「수산업협동조합법」에 따른 수협은행
12. 「전자금융거래법」에 따라 허가를 받거나 등록한 전자금융업자
13. 「온라인투자연계금융업 및 이용자 보호에 관한 법률」에 따른 온라인투자연계금융업자
14. 「금융소비자 보호에 관한 법률」에 따라 등록한 금융상품자문업자
그럼 지금 다니는 금융회사가 전자금융거래법에서 정의하는 「신용정보의 이용 및 보호에 관한 법률」에 따른 신용정보회사에 해당되면서, 정보처리업무를 위탁하고자 하는 경우..
위탁규정을 봐야할까? 위탁규정의 금융회사 정의엔 신용정보회사가 없다. 그럼 해당사항은 없을까 ?
평소엔 나도 이렇게 법령을 점프해가면서 봤다. 하지만 한 법령에서 부터 쭉 따라가다보면 특이한 케이스를 발견할 수 있다. 신용정보법의 위탁관련 법령을 보자.
신용정보법 제17조(처리의 위탁) ① 신용정보회사등은 제3자에게 신용정보의 처리 업무를 위탁할 수 있다. 이 경우 개인신용정보의 처리 위탁에 대해서는 「개인정보 보호법」 제26조제1항부터 제3항까지의 규정을 준용한다.
② 신용정보회사등은 신용정보의 처리를 위탁할 수 있으며 이에 따라 위탁을 받은 자(이하 “수탁자”라 한다)의 위탁받은 업무의 처리에 관하여는 제19조부터 제21조까지, 제22조의4부터 제22조의7까지, 제22조의9, 제40조, 제43조, 제43조의2, 제45조, 제45조의2 및 제45조의3(해당 조문에 대한 벌칙 및 과태료규정을 포함한다)을 준용한다.
③ 제2항에 따라 신용정보의 처리를 위탁하려는 신용정보회사등으로서 대통령령으로 정하는 자는 제공하는 신용정보의 범위 등을 대통령령으로 정하는 바에 따라 금융위원회에 알려야 한다.
신용정보법 시행령 제14조(수집된 신용정보 처리의 위탁) ② 법 제17조제3항에서 “대통령령으로 정하는 자”란 신용정보회사, 본인신용정보관리회사, 채권추심회사, 신용정보집중기관 및 제2조제6항제7호 각 목에 따른 금융기관 중 금융위원회가 정하여 고시하는 자를 말한다.
③ 법 제17조제3항에 따라 신용정보의 처리를 위탁하려는 자는 위탁계약 체결 예정일부터 7영업일 이전에 금융위원회가 정하여 고시하는 서식에 따라 제공하는 신용정보의 범위, 제공 목적 및 기간과 고객정보 관리체계 등을 금융위원회에 알려야 한다. 다만, 미리 알려야 할 필요성이 크지 아니한 경우로서 금융위원회가 정하여 고시하는 경우에는 위탁계약을 체결한 날부터 금융위원회가 정하여 고시하는 기간 이내에 알려야 한다.
신용정보업감독규정 제15조(수집된 신용정보의 처리의 위탁) ① 영 제14조제2항에 따른 "금융위원회가 정하여 고시하는 자"란 영 제2조제6항제7호가목부터 허목까지의 규정에 따른 금융기관{법 제22조의9제5항에 따른 중계기관 또는 거점중계기관(법 제33조의2에 따라 개인신용정보를 전송하는 행위 및 개인신용정보를 전송받는 행위를 중계하는 자를 말한다. 이하 같다)에 법 제33조의2에 따른 개인신용정보의 처리를 위탁하는 경우를 제외한다}을 말한다. <개정 2021. 9. 30.>
...(중략)
⑥ 신용정보처리 위탁에 관한 사항은 법, 영, 이 규정이 정한 사항을 제외하고 「금융회사의 정보처리 업무 위탁에 관한 규정(이하 "위탁규정"이라 한다)」을 준용한다. 이 경우 위탁규정 제2조제1항에 따른 "금융회사"는 "법 제15조제1항 전단에 따른 신용정보회사등(이하 "신용정보회사등"이라 한다)"으로 본다.
⑦ 제1항의 자가 위탁규정 제7조에 따라 금융감독원장에 보고한 경우에는 법 제17조제3항에 따라 금융위원회에 알린 것으로 본다. <개정 2021. 9. 30.>
신용정보업감독규정에서 위탁규정의 금융회사의 용어정의를 다시 내리면서 준용시키고 있다. 어차피 신용정보 처리를 위탁하려는 경우는 신정법에 따라 금융위원회에 보고해야한다. 다만 아래와 같은 주장은 어긋났다고 판단된다.
신용정보회사가 신용정보처리를 위탁하려는 경우,
위탁규정의 금융회사 범위에 속하지 않아.
-> 틀림
-> 감독규정에 따라 신용정보회사등을 위탁규정의 금융회사로 보기 때문에 위탁규정을 준수해야함.
-> 사실 위탁규정엔 보고내용말곤 딱히 없긴함 ^^;;
끝.
