금융회사 정보처리 제3자 위탁 허용…해외 정보처리 설비 위탁시 금융위 승인받아야

주민번호 국외 이전 금지·민감정보 위탁처리 별도 고지

금융회사의 정보처리 업무를 제3자에게 위탁이 가능해진다. 다만 기관경고 이상 또는 형사처벌 등 제재를 2회 이상 받은 금융회사는 위탁이 제한되고 주민번호는 국외 이전 자체가 금지된다.

금융위원회는 19일 정례회의를 열고 이같은 내용을 담은‘금융회사의 정보처리 및 전산설비 위탁에 관한 규정’ 제정안을 의결했다. 금융회사는 이달 25일부터 업무수행에 필요한 정보처리 업무를 국내외 제3자에게 위탁할 수 있다. 국내외 위탁을 불문하고 위탁받은 업무의 재위탁은 원칙적으로 금지된다.

다만 금융이용자 보호, 금융감독권한 행사 가능성을 저해하지 않는 범위 내에서 금융감독원장이 인정하는 경우 재위탁이 가능하다. 금융이용자의 정보관리, 감독관련 자료 제출 등 검사와 관련한 사항으로 제재(기관경고 이상 또는 형사처벌)를 2회 이상 받은 경우에는 정보처리 업무의 위탁이 제한된다.

금융회사는 위탁 이후의 감독 가능성 확보 및 이용자 보호를 위해 위·수탁회사간 계약에 표준계약 내용을 의무적으로 반영해야 하며 위탁하기 전 금융감독원장에게 사전 보고해야 한다. 표준계약 주요 내용은 △정보주체의 권리 △감독당국에의 협조 △수탁회사의 제3자에 대한 정보이전 금지 △위·수탁회사간 책임관계 △해외위탁시 국내 재판관할 등이다.

아울러 정보처리 업무가 위탁되더라도 개인정보보호법(처리시 정보주체 동의, 암호화 등 안전성 확보조치 등), 금융실명법, 신용정보법 등 모든 관련법상의 보호조치를 이행해야 한다. 특히 개인고객의 주민번호는 이런 안전성 확보 조치와 별도로 국외로의 이전 자체를 금지하고 민감 정보의 경우 위탁처리 내용을 별도로 고지해야 한다.

정보처리 관련 설비를 해외에 위탁하는 경우엔 금융위 승인을 받아야 한다. 이 경우 국외의 본·지점 또는 계열사에 한해 위탁이 가능하다. 또 금융이용자 보호 및 감독기능 수행을 위해 필요한 주요 설비에 대해서는 금융회사별 특성을 고려해 위탁이 제한된다.

위·수탁회사는 금융위와 금감원의 감독·검사를 수용해야 하며 위·수탁회사가 본 규정 등 관계법령을 위반할 경우 금융위원장 및 금융감독원장은 변경권고 등 필요한 조치를 취할 수 있다.