법무법인 세종에서는 지난 2013년 4월 「금융회사의 정보처리 및 전산설비 위탁에 관한 규정」 제정안(이하 “원안”이라고 합니다)의 주요내용을 알려 드린 바 있습니다. 최근 금융위원회는 위 제정안에 관한 관계부처, 학계, 업권의 의견을 반영하고 규제개혁위원회 심사 등을 거쳐 일부 규정의 내용을 수정하여 2013년 6월 25일자로 「금융회사의 정보처리 및 전산설비 위탁에 관한 규정」(이하 ”규정”이라고 합니다)을 고시하였는바, 이번에 고시된 규정의 주요내용을 지난 번에 입법예고된 제정안과의 차이점을 중심으로 소개해 드리고자 합니다.

1. 위탁의 허용범위 및 절차

규정 제4조는 외국계 금융회사(외국법령에 따라 설립되어 외국에서 금융업을 경영하는 자의 국내지점 또는 계열사인 금융회사를 말함)를 포함한 금융회사가 정보처리 업무를 제3자에게 위탁하는 것을 허용하되, 금융이용자 보호 및 감독가능성 확보를 위해 국외 제3자에게 위탁할 경우에는 위탁하는 금융회사의 본점∙지점 및 계열사에 한해서만 위탁을 허용하는 것으로 규정하였습니다. 다만, 관련 법령에서 위탁이 금지되는 경우 또는 최근 3년 이내에 금융이용자의 정보관리, 감독관련 자료 제출 등 검사와 관련한 사항으로 금융회사가 기관경고 이상의 제재 또는 형사처벌을 2회 이상 받은 경우에는 정보처리 업무의 위탁을 제한함으로써, 300만원 이상의 과징금, 과태료 처분을 2회 이상 받은 경우를 제한사유로 규정한 원안보다 위탁이 제한되는 범위를 축소하였습니다(규정 제4조 제2항).

또한, 위탁 이후의 감독가능성 확보 및 금융이용자 보호를 위해 위‧수탁 회사간 계약에 표준계약내용을 의무적으로 사용 하도록 하였는바(규정 제4조 제3항), 원안에는 없었으나 금융위원회가 승인하는 경우 표준계약내용 중 일부를 수정하여 반영할 수 있다는 단서를 추가하였습니다.

한편, 규정 제7조 제1항은 금융회사가 정보처리 업무를 위탁할 경우 현행 「금융기관의 업무 위탁 등에 관한 규정」에서 정한 사전보고의무와 동일하게 그 사실을 위탁계약 체결 예정일로부터 7영업일 이전에 금융감독원장에게 보고하도록 하되, 업무위탁보고서에 첨부할 서류로 “정보처리업무 운영에 대한 감독기관의 실질적 감독가능성을 확인할 수 있는 서류”를 추가하였습니다(제7조 제1항 제6호).

2. 재위탁의 허용 여부

규정 제4조 제4항은 수탁회사가 위탁받은 업무의 재위탁이 원칙적으로 금지되지만, 금융이용자 보호, 금융감독권한 행사 가능성을 저해하지 않는 범위 내에서 금융감독원장이 인정하는 경우에는 재위탁이 가능하도록 규정하였습니다. 이는 기존 예고안이 위탁업무의 재위탁을 금지하는 것인지, 정보의 이전만을 금지하는 것인지 해석상 논란이 제기될 수 있다는 점, 재위탁을 예외 없이 금지할 경우 국내 중소 IT전문회사에 미치는 영향에 대한 업계의 우려, 금융이용자 보호 및 금융감독권한 행사 가능성을 확보하면 재위탁을 제한하는 목적달성이 가능하다는 점 등을 고려하여 원안에서 수정 된 것이라고 합니다.

3. 위탁되는 정보의 보호

규정 제5조는 원안과 동일하게 금융회사가 정보처리를 위탁하는 경우, 개인정보 보호법, 금융실명거래 및 비밀보장에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등 모든 관련법상의 보호조치(정보주체의 사전 동의, 개인정보의 암호화 등 안전성 확보조치)를 이행하도록 규정하고 있습니다(제1항). 이러한 안전성 확보 조치와 별도로 개인고객의 주민번호는 국외로의 이전 자체를 금지하였고, 정보처리 위탁시 적용되는 안전성 확보조치 등에 대해서는 홈페이지 등에 공시하도록 하였으며, 국내‧외를 불문하고 민감정보의 처리를 위탁할 경우에는 정보주체에 대해 별도로 고지하는 추가적 절차를 의무화하였습니다(제2항).

한편, 규정 제4조 제7항은 정보처리를 위탁하는 경우, 위탁회사는 수탁회사가 이 규정 등 관계법령 및 별표1의 표준계약내용상 의무를 위반하여 발생하는 정보주체 및 이용자의 손해에 대해 수탁회사와 연대하여 책임을 진다는 점을 명시 하였습니다.

4. 전산설비의 국외위탁

규정 제4조는 금융회사가 정보처리 관련 설비를 금융위원회 승인을 얻어 국외의 본점∙지점 또는 계열사에 위탁할 수 있도록 함으로써 원안에는 포함되어 있지 않았던 국외 지점에의 위탁을 허용하였으나, 금융이용자 보호 및 감독기능 수행을 위해 필요한 금융거래 원장 등 주요 설비에 대해서는 위탁을 제한할 수 있도록 하였습니다.

한편, 금융위원회가 국외위탁을 제한할 수 있는 전산설비의 범위는 원안과 거의 동일하게 다음과 같이 규정하고 있습니다(규정 제6조 제2항).

• 금융이용자의 보호 및 금융감독 목적상 필요한 금융거래 관련 원장
• 금융이용자에 대한 서비스와 직접적으로 관련이 있는 업무를 처리하는 설비(다만, 금융이용자군 및 취급상품의 특 성상 국경간 이동서비스가 불가피하다고 인정되는 업무를 처리하는 설비는 제외),
• 국내 외부기관과 연결되어 있어 해외에 두기 부적합한 전산설비,
• 해외에 두는 경우 금융이용자에 대한 서비스 품질, 보안성 및 재해 복구 시간 등 관련 법령에서 정한 요건을 준수하 지 못하게 되는 전산설비,
• 상기 각 호의 전산설비를 지원하는 데이터 네트워킹 기반 시설 및 전산보안설비

한편, 현행 전자금융감독규정 제11조에 따라 전산실 및 재해복구센터를 국내에 소재하도록 하는 요건은 정보처리위탁규정 제정 이후에도 유지될 예정입니다.

5. 시행일 및 경과조치

이 규정은 고시한 날(2013. 6. 25.)부터 시행되며, 부칙에는 최초 시행시 관련 법령에 따라 적법하게 위탁‧운용되고 있는 정보처리 및 전산설비와 관련하여 추가적인 의무나 제약을 부담하게 하는 것으로는 해석되지 않음을 명시하였습니다(제1조, 제2조).

6. 기타 규정의 변경 예고

금융위원회는 정보처리위탁규정이 제정에 따라 「금융기관의 업무 위탁 등에 관한 규정」, 「전자금융감독규정」, 「보험업감독규정」을 다음과 같이 개정하였습니다.

(1) 「금융기관의 업무 위탁 등에 관한 규정」의 적용범위를 축소하여 ‘정보처리 및 전산설비의 위탁’에 대해서는 정보 처리위탁규정에 따라 처리하도록 하였습니다.
(2) 「전자금융감독규정」은 금융기관 또는 전자금융업자가 전자금융거래를 위한 외부주문등을 하는 경우 이용자 금융정보의 보관을 금지하고 있던 것을 금융정보의 ‘무단’ 저장을 금지하는 것으로 개정함으로써, 금융기관 및 전자 금융업자 등과 외부주문 등 계약을 체결한 전자금융보조업자 등이 계약을 이행하기 위하여 필요한 범위 내에서 금융이용자의 금융정보를 보관하는 것을 허용하였습니다(제60조).
(3) 「보험업감독규정」중 ‘전산설비의 국외이전’ 시 금융위원회에 승인을 얻도록 한 조항을 삭제하여, 보험회사의 설비 이전에 대한 절차와 방법에 대해서는 정보처리위탁규정에 따르도록 통일하였습니다(제2-7조 제2항).

* 상기의 사항에 대하여 궁금하신 사항이 있으신 분은 연락하여 주시면 보다 자세한 내용을 상담하여 드리도록 하겠습니다.