금융분야 개인신용정보 보호 가이드라인(25.05.19) - 금융위원회

급변하는 디지털 환경 속에서 개인신용정보를 안전하게 보호하고 활용하기 위한 명확한 기준을 제시하며, 금융업무 담당자들이 개인신용정보 처리 업무를 쉽게 이해할 수 있도록 돕기 위해 발간

□  개요    
    금융 분야에 종사하시거나, 금융 서비스를 이용하시는 모든 분들께 매우 중요한 정보를 전달해 드리고자 합니다. 바로 금융위원회가 발간한 「금융분야 개인신용정보 보호 가이드라인(2025. 5.)」 에 대한 핵심 요약 정리입니다.

    이 가이드라인은 급변하는 디지털 환경 속에서 개인신용정보를 안전하게 보호하고 활용하기 위한 명확한 기준을 제시하며, 금융업무 담당자들이 개인신용정보 처리 업무를 쉽게 이해할 수 있도록 돕기 위해 발간되었습니다. 우리 모두의 소중한 정보를 지키기 위한 이 가이드라인의 주요 내용을 함께 살펴보시죠!

 

□  가이드라인 개요 및 법 적용 원칙   

    1. 목적 및 대상

     ◦ 본 가이드라인은 금융회사(은행, 보험, 증권 등) 의 개인신용정보 보호를 위한 기준을 제시하고, 금융업무 담당자의 개인신용정보 처리를 지원합니다.

    2. 법 적용 관계

     ◦ 신용정보법 우선 적용 : 신용정보의 이용 및 보호에 관해서는 「신용정보법」이 「개인정보 보호법」에 대한 특별법으로서 우선 적용됩니다
     ◦ 개인정보 보호법 준용 : 다만, 「신용정보법」에 특별한 규정이 없는 경우에는 「개인정보 보호법」의 규정을 따릅니다
     ◦ 개별법 적용 : 「전자금융거래법」, 「금융실명법」 등 개별 법령에 특별한 규정이 있다면 해당 법률을 우선 적용합니다

 

□  핵심 개념 이해 : 개인정보 vs. 신용정보    

  가이드라인은 정보의 종류를 명확히 구분하고 있습니다.
   1. 개인정보

     ◦ 살아있는 개인을 알아볼 수 있는 정보로, 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 및 가명처리된 정보(가명정보)를 포함합니다.

    2. 신용정보

     ◦ 금융거래 등 상거래에서 거래 상대방의 신용을 판단할 때 필요한 정보입니다. 특정 신용정보주체를 식별할 수 있는 정보가 거래내용, 신용도, 신용거래능력 판단 정보 등과 결합되는 경우에만 신용정보에 해당합니다.
          1) 개인신용정보 : 기업 및 법인에 관한 정보를 제외한 살아있는 개인에 관한 신용정보입니다. 단순히 성명, 연락처만으로는 개인정보이지만, 여기에 직업, 소득(신용거래능력)이 결합되면 개인신용정보가 됩니다.
          2) 기업신용정보: 기업 및 법인에 관한 신용정보로, 개인사업자에 관한 정보는 개인신용정보와 기업신용정보의 성격을 모두 가질 수 있습니다.

    3. 가명정보

     ◦ 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리된 개인신용정보입니다. 통계작성, 연구, 공익적 기록보존 목적으로 동의 없이 활용 가능합니다.

    4. 익명정보

     ◦ 더 이상 특정 개인을 알아볼 수 없도록 처리된 개인신용정보입니다. 개인신용정보가 아니므로 제한 없이 자유롭게 활용 가능합니다. 다만, 금융위원회가 적정하게 익명처리되었다고 인정한 경우에만 익명정보로 추정됩니다.

 

□  개인신용정보 처리 단계별 조치    

  금융회사는 개인신용정보의 수집부터 파기까지 전 과정에서 엄격한 보호 조치를 이행해야 합니다.
   1. 개인신용정보의 수집·이용

     ◦ 원칙 : 정보주체의 동의를 받아야 합니다.
     ◦ 동의 예외 : 법령에 특별한 규정이 있거나 법령상 의무 준수, 계약 체결 및 이행, 급박한 생명·신체·재산의 이익, 신용정보회사 등의 정당한 이익 달성 등 특정 조건에서는 동의 없이 수집·이용이 가능합니다
          1)  금융회사가 업무수행 과정에서 생성한 정보(금융거래 내역 등)도 '수집' 행위에 해당하며, 불필요한 정보 생성 시 동의를 받아야 합니다.
          2)  대출 거절 고객의 개인신용정보는 목적 달성 후 즉시 파기해야 하며, 통계작성/분석 목적으로 가명처리하여 내부 이용하는 것은 허용되지 않습니다

    2. 개인신용정보 활용 동의 (동의를 받는 방법)

     ◦ 고지 의무 : 수집·이용·제공 시 목적, 항목, 보유/이용 기간, 동의 거부권 및 불이익 등을 명확하게 알리고 동의를 받아야 합니다.
          1) 이해하기 쉬운 동의 체계 : 쉬운 용어, 시청각 전달 수단, 중요사항 강조, 금융거래 관련 사항과 동의 사항 명확히 구분, 선택적 동의사항은 개별적으로 동의할 수 있도록 해야 합니다
          2) 개필수적/선택적 동의 구분 : 서비스 제공에 필수적인 사항과 그 외 선택적 사항을 구분하여 설명하고 동의를 받아야 합니다. 선택적 동의에 동의하지 않는다는 이유로 서비스 제공을 거부할 수 없습니다
          3) 정보활용 동의등급 제도 : 금융회사 등은 정보활용 동의 사항에 대해 금융위원회가 평가한 등급을 알리고 동의를 받아야 합니다. 이는 사생활 침해 위험도, 정보활용 이익 등을 고려하여 부여됩니다.
          4) 아동의 개인정보 보호 : 「신용정보법」에 별도 규정이 없으므로, 만 14세 미만 아동의 개인정보 처리는 「개인정보 보호법」 제22조의2에 따라 법정대리인의 동의를 받아야 합니다.

    3. 개인신용정보의 제공

     ◦ 원칙 : 개별적인 사전 동의를 받아야 합니다
           - 전자서명, 유무선 통신으로 개인비밀번호 입력, 음성녹음 등 안전성과 신뢰성이 확보된 다양한 동의 방식이 가능합니다
     ◦ 동의 원칙의 예외
          1) 통계작성, 연구, 공익적 기록보존 등을 위한 가명정보 제공
          2) 정보집합물 결합 목적의 데이터전문기관 제공
          3) 영업양도·분할·합병 등으로 인한 이전
          4) 법원 제출명령, 영장에 따른 제공, 긴급 상황에서의 수사기관 요구
          5) 이 경우, 제공 사실 및 이유를 사전에 정보주체에게 알려야 합니다.
     ◦ 보안관리약정 체결 : 다른 신용정보제공·이용자 등에게 신용정보를 제공할 때 보안관리 대책을 포함한 계약을 체결해야 합니다.
          1) 국외 이전 : 「신용정보법」에 규정되어 있지 않으므로 「개인정보 보호법」 제28조의8을 따릅니다.

    4. 신용정보 이용·제공사실의 조회(통지) 등

     ◦ 조회 의무 : 신용정보회사 등은 개인신용정보를 이용하거나 제공한 경우 정보주체가 조회할 수 있도록 조회시스템 등을 구축해야 합니다
          1) 단, 내부 경영관리 목적 이용, 반복적 업무 위탁 등은 조회 대상에서 제외될 수 있습니다
          2) 조회 내용은 최근 3년간의 정보이며, 1년에 1회 이상은 무료로 조회 가능해야 합니다.
     ◦ 사전 통지 : 신용도 판단 정보 중 불이익 발생 가능성이 있는 정보(예: 연체 정보)를 제공하는 경우, 제공 5영업일 전까지 정보주체에게 통지해야 합니다.
     ◦ 신용조회 사실 통지 요청 : 정보주체는 본인의 신용조회 사실을 통지해 줄 것을 요청할 수 있으며, 명의도용 등 의심 사유 발생 시 해당 조회를 중지하고 통지해야 합니다.
     ◦ 개인정보 수집 출처 고지 : 정보주체 외로부터 개인정보를 수집한 경우, 정보주체의 요구가 있으면 수집 출처, 처리 목적 등을 즉시 알려야 합니다.

    5. 개인신용정보 처리 업무 위탁

     ◦ 위탁 원칙 : 제3자에게 신용정보 처리 업무를 위탁할 수 있으며, 개인신용정보 처리 위탁에 대해서는 「개인정보 보호법」 제26조를 준용합니다.
           -  '처리위탁'은 금융회사 본인의 업무 처리와 이익을 위한 경우를 의미하며, '제3자 제공'과는 구분됩니다
     ◦ 위탁 보고 : 특정 신용정보회사 등은 신용정보 처리를 위탁할 경우, 제공하는 신용정보의 범위 등을 금융위원회(또는 금감원)에 알려야 합니다.
     ◦ 위탁 보고 : 특정 신용정보회사 등은 신용정보 처리를 위탁할 경우, 제공하는 신용정보의 범위 등을 금융위원회(또는 금감원)에 알려야 합니다.
     ◦ 수탁자 교육 및 공개 : 위탁자는 수탁자를 연 1회 이상 교육해야 하며, 위탁 내용은 홈페이지에 공개해야 합니다.

     ◦ 책임 : 수탁자의 법 위반으로 손해가 발생하면 위탁자가 연대하여 손해배상 책임이 있습니다. 수탁자는 위탁받은 업무 목적 외로 개인신용정보를 이용하거나 제3자에게 제공할 수 없으며, 재위탁은 원칙적으로 금지됩니다.

    6. 영업양도·양수 등에 따른 개인신용정보 이전

     ◦ 영업양도·분할·합병 등으로 개인신용정보를 이전하는 경우 정보주체의 동의 없이 가능합니다.
     ◦ 다만, 개별적으로 통지하거나 연락처를 알 수 없는 경우 인터넷 홈페이지 등을 통해 공시해야 합니다.
     ◦ 특정 금융기관의 경우 금융위원회의 승인을 받아야 합니다.

    7. 고유식별정보 및 민감정보의 처리

     ◦ 고유식별정보(주민등록번호 등): 원칙적으로 처리가 금지되나, 정보주체의 별도 동의, 법령상 요구/허용, 급박한 생명/신체/재산 이익 등 예외적인 경우에만 가능합니다.
     ◦ 민감정보(질병, 상해 등): 원칙적으로 처리가 금지되며, 정보주체의 명시적 동의 또는 법령상 요구/허용 시에만 처리할 수 있습니다.
          - 가명처리된 질병정보는 「신용정보법」 제33조제2항의 적용을 받지 않아 동의 없이 활용 가능합니다.

    8. 개인신용정보의 파기(삭제)

     ◦ 보유기간 및 삭제
         1) 금융거래 등 상거래 관계가 종료되면, 필수적인 개인신용정보는 최장 5년 이내, 그 외의 개인신용정보는 3개월 이내에 관리대상에서 삭제해야 합니다.
         2) 삭제된 정보는 복구 또는 재생되지 않도록 조치해야 합니다.
     ◦ 종료일 판단 : 금융거래 등 상거래 관계가 종료된 날은 계약기간 만료, 해지, 채권 소멸 등으로 관계가 종료된 날을 의미합니다. 고객에게 이 종료일을 명확히 알려야 합니다
     ◦ 삭제 예외 (분리 보관) : 법률상 의무 이행, 급박한 이익, 가명정보 활용(이용 목적에 따라 정한 기간), 휴면예금 지급, 사기 방지, 위험관리모형 개발 등 특정 사유에 해당하면 5년 이후에도 분리 보관할 수 있습니다.
         1) 분리 보관된 정보는 엄격하게 관리되며, 활용 시 정보주체에게 통지해야 합니다.
         2) 상거래 관계가 없는 고객의 정보는 「개인정보 보호법」 제21조에 따라 파기해야 합니다.

 

□  개인신용정보의 안전한 관리    

  금융회사는 정보유출을 막기 위한 철저한 보안 대책을 마련해야 합니다.
   1. 보안대책 수립 : 기술적·물리적·관리적 보안대책을 수립·시행해야 합니다.

     ◦접근 통제 : 개인신용정보처리시스템 접근 권한을 최소 인원에게만 부여하고, 변경/말소 내역을 3년간 보관해야 합니다.
     ◦암호화 : 비밀번호, 생체인식 정보 등 인증 정보는 암호화하여 저장하고 조회할 수 없도록 해야 하며, 개인식별번호도 특정 기준에 따라 암호화해야 합니다
     ◦업무처리기록 보존 : 개인신용정보의 수집, 이용, 제공, 폐기 등 처리 기록을 3년간 보존해야 합니다.

   2. 신용정보활용체제 공시 : 관리하는 신용정보의 종류, 이용 목적, 제공받는 자, 파기 절차 등 '신용정보활용체제'를 작성하여 공시해야 합니다. 이는 「개인정보 보호법」의 개인정보 처리방침과 통합하여 공개할 수도 있습니다.

   3. 신용정보관리·보호인 지정 : 금융회사 등은 신용정보관리·보호인을 1명 이상 지정해야 하며, 특정 기관은 임원으로 지정해야 합니다.
     ◦주요 업무 : 보호 계획 수립 및 시행, 실태 조사 및 개선, 불만 처리, 내부 통제 시스템 구축, 교육 등
     ◦개인정보 보호책임자 역할 겸임 가능

   4. 개인신용정보 유출(누설) 시 조치
     ◦누설의 의미 : 신용정보에 대한 통제를 상실하거나 권한 없는 자의 접근을 허용한 경우
     ◦통지 및 신고 : 누설 사실을 알게 된 때에는 지체 없이 정보주체에게 항목, 시점, 경위, 피해 최소화 방안 등을 통지하고, 1만 명 이상 누설 시 금융위원회 또는 금융감독원에 신고해야 합니다

 

□  신용정보주체의 권리보호    

  정보주체는 자신의 신용정보에 대해 다양한 통제권을 가집니다.
   1. 열람·정정·동의철회·삭제요구

     ◦열람 및 정정 청구 : 정보주체는 본인의 신용정보를 열람하고, 사실과 다른 경우 정정을 청구할 수 있습니다. 금융회사는 정당한 사유가 인정되면 해당 정보를 삭제 또는 정정하고 관련자에게 통지해야 합니다.
     ◦제공 동의 철회 : 마케팅 목적 등의 개인신용정보 제공 동의를 철회할 수 있으며, 연락 중지 청구도 가능합니다 [171, 172, 173, Q3-2]. 금융권 '두낫콜' 시스템을 통해 편리하게 신청할 수 있습니다.
     ◦ 삭제 요구 : 상거래 관계 종료 후 필수 정보는 5년, 그 외 정보는 3개월이 경과하면 삭제를 요구할 수 있습니다.

   2.개인신용정보 전송요구 권리 (마이데이터) : 정보주체는 본인의 개인신용정보를 본인, 본인신용정보관리회사, 개인신용평가회사 등에게 전송해 줄 것을 요구할 수 있습니다. 이는 마이데이터 서비스 이용, 신용평가 개선 등에 활용됩니다

     ◦자동화평가 결과 설명요구 (개인신용평가대응권)
          1) '자동화평가'란 컴퓨터 등 정보처리장치로만 개인신용정보를 처리하여 신용정보주체를 평가하는 행위입니다.
          2) 정보주체는 자동화평가 여부, 결과, 주요 기준, 기초 정보의 개요 등을 설명해 줄 것을 요구할 수 있습니다.
          3) 유리한 정보 제출 및 재산출 요구: 본인에게 유리한 정보를 제출하거나, 잘못된 기초 정보의 정정/삭제 및 이에 따른 자동화평가 결과 재산출을 요구할 수 있습니다.
          4) 거절 사유가 있는 경우 금융회사는 거절의 근거 및 사유를 통지해야 합니다.
     ◦손해배상 책임 : 신용정보회사 등은 「신용정보법」 위반으로 정보주체에게 손해를 가한 경우 배상 책임이 있으며, 고의 또는 중대한 과실로 정보가 누설된 경우 손해액의 5배를 넘지 않는 범위에서 배상할 책임이 있습니다. 정보주체는 300만원 이하의 법정손해배상을 청구할 수도 있습니다.
          - 일정 기준 이상의 신용정보회사 등은 손해배상 책임을 위해 보험 또는 공제에 가입하거나 준비금을 적립해야 합니다

 

□  감독 체계    
   1. 금융위원회·금융감독원 : 신용정보회사 등(금융회사 등)에 대한 감독 및 검사 권한을 가집니다.
   2. 개인정보 보호위원회 : 금융위원회의 감독을 받지 않는 상거래 기업 및 법인의 신용정보보호규정 위반 등에 대해 자료 제출 요구 및 검사권을 가집니다.

□  금융분야 '개인신용정보 보호 가이드라인' - 주요 내용 인터뷰    

 

금융분야 개인신용정보 보호 가이드라인(2025.5.).pdf

1.62MB

※ 출처 : 금융위원회 - 금융분야 개인신용정보보호 가이드라인(25.05.19)

 

이상.  끝.