온라인투자연계금융업법 - 제30조(신용정보 및 개인정보의 보호)

제30조(신용정보 및 개인정보의 보호) ① 온라인투자연계금융업자, 중앙기록관리기관 및 온라인투자연계금융협회는 이용자의 개인정보 및 신용정보를 수집ㆍ처리할 때 「개인정보 보호법」 및 「신용정보의 이용 및 보호에 관한 법률」 등 관련 법령을 준수하여야 한다.

② 온라인투자연계금융업자는 온라인 정보관리 실태를 금융위원회가 정하는 바에 따라 연 1회 이상 점검한 후 그 결과를 3개월 이내에 금융위원회에 보고하고 온라인플랫폼에 게시하여야 한다.

 

 

기본적으로 개인정보 및 신용정보의 경우 개인정보보호 법이랑 신용정보 법을 준수함. 

또한 정보관리 실태의 경우 아래 감독 규정에 따라 진행됨

 

온라인투자연계금융업 감독 규정  제30조(온라인 정보관리 실태 점검) ① 법 제30조제2항의 규정에 따라 온라인투자연계금융업자가 온라인 정보관리 실태를 점검하려는 경우 다음 각 호에 따른 전문기관에 점검을 위탁할 수 있다.  1. 「정보통신기반 보호법」 제16조에 따라 금융분야 정보공유ㆍ분석센터로 지정된 자  2. 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 정보보호 전문서비스 기업  3. 「전자금융거래법 시행령」 제11조의6에 따라 지정된 침해사고 대응기관  4. 제1호부터 제3호까지에 해당하는 기관과 유사한 전문성이 있다고 금융감독원장이 인정하는 자  ② 협회는 온라인투자연계금융업자의 온라인 정보관리 실태 점검 및 보고 등에 필요한 구체적 기준을 정할 수 있다.

 

정보통신기반 보호법 제16조(정보공유ㆍ분석센터) ①금융ㆍ통신 등 분야별 정보통신기반시설을 보호하기 위하여 다음 각호의 업무를 수행하고자 하는 자는 정보공유ㆍ분석센터를 구축ㆍ운영할 수 있다. 1. 취약점 및 침해요인과 그 대응방안에 관한 정보 제공 2. 침해사고가 발생하는 경우 실시간 경보ㆍ분석체계 운영    ② 삭제 <2015.12.22>    ③ 삭제 <2015.12.22>    ④정부는 제1항 각호의 업무를 수행하는 정보공유ㆍ분석센터의 구축을 장려하고 그에 대한 재정적ㆍ기술적 지원을 할 수 있다. <개정 2015.12.22>    ⑤ 삭제 <2015.12.22>

 

정보보호산업의 진흥에 관한 법률 제23조(정보보호 전문서비스 기업의 지정ㆍ관리) ① 과학기술정보통신부장관은 다음 각 호의 업무를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 정보보호 전문서비스 기업으로 지정할 수 있다. <개정 2017.7.26> 1. 「정보통신기반 보호법」 제8조에 따라 지정된 주요정보통신기반시설(이하 이 조에서 "주요정보통신기반시설"이라 한다)의 취약점 분석ㆍ평가 업무 2. 주요정보통신기반시설 보호대책의 수립 업무 3. 그 밖에 정보보호서비스와 관련하여 대통령령으로 정하는 업무    ② 정보보호 전문서비스 기업으로 지정받을 수 있는 자는 법인으로 한다.    ③ 과학기술정보통신부장관은 제1항에 따라 지정된 정보보호 전문서비스 기업에 대하여 지정일부터 매 1년마다 사후관리 심사를 수행하여야 한다. <개정 2017.7.26>    ④ 정보보호 전문서비스 기업은 업무를 양도하거나 다른 정보보호 전문서비스 기업과 합병하는 경우에는 과학기술정보통신부장관에게 신고하여야 한다. 이 경우 양수인 또는 합병된 법인은 과학기술정보통신부장관이 신고를 수리한 때에 정보보호 전문서비스 기업의 지위를 승계한다. <개정 2017.7.26>    ⑤ 정보보호 전문서비스 기업이 휴업ㆍ폐업하거나 업무를 재개할 때에는 휴업ㆍ폐업하려는 날 또는 휴업 후 업무를 재개하려는 날의 30일 전까지 과학기술정보통신부장관에게 신고하여야 한다. <개정 2017.7.26>    ⑥ 과학기술정보통신부장관은 정보보호 전문서비스 기업이 다음 각 호의 어느 하나에 해당하는 경우에는 청문을 거쳐 정보보호 전문서비스 기업의 지정을 취소하거나 3개월 이내의 기간을 정하여 그 업무의 전부 또는 일부의 정지를 명할 수 있다. 다만, 제1호, 제2호, 제4호의 어느 하나에 해당하는 경우에는 지정을 취소하여야 한다. <개정 2017.7.26> 1. 속임수나 그 밖의 부정한 방법으로 지정을 받은 경우 2. 제3항에 따른 사후관리 심사를 통과하지 못한 경우 3. 제8항을 위반하여 기록 및 자료를 안전하게 보존하지 아니한 경우 4. 제10항에 따른 지정기준에 미달한 경우 5. 업무를 수행하면서 알게 된 정보를 오ㆍ남용하여 주요정보통신기반시설의 운영에 장애를 가져온 경우    ⑦ 과학기술정보통신부장관은 정보보호를 위하여 특히 필요하다고 인정하는 경우에는 정보보호 전문서비스 기업으로 하여금 관련 서류 또는 자료를 제출하게 할 수 있다. <개정 2017.7.26>    ⑧ 정보보호 전문서비스 기업은 제1항 각 호의 업무와 관련하여 작성한 기록 및 자료를 안전하게 보존하여야 한다.    ⑨ 정보보호 전문서비스 기업은 제1항에 따른 지정이 취소되거나 폐업한 때에는 제1항 각 호의 업무와 관련한 기록 및 자료를 해당 기관 또는 기업의 장에게 반환하거나 폐기하여야 하며, 반환이 곤란하거나 불가능한 자료에 대해서는 폐기할 자료를 특정하여 해당 기관 또는 기업의 장의 승인을 얻은 후 폐기하여야 한다.    ⑩ 제1항에 따른 지정, 제3항에 따른 사후관리 심사, 제4항에 따른 양도ㆍ합병, 제5항에 따른 휴업 등의 신고, 제6항에 따른 지정취소, 제7항에 따른 자료제출, 제9항에 따른 기록 및 자료의 반환, 폐기의 절차 및 방법 등에 관하여 필요한 사항은 과학기술정보통신부령으로 정한다. <개정 2017.7.26>

 

전자금융거래법 시행령 제11조의6(전자금융기반시설 취약점 분석ㆍ평가의 절차 및 방법 등) ① 금융회사 및 전자금융업자는 법 제21조의3제1항에 따라 전자금융기반시설의 취약점 분석ㆍ평가를 하려는 경우에는 자체전담반을 구성하여 실시하거나 전문성을 갖춘 외부 기관에 의뢰하여 실시하여야 한다. 이 경우 자체전담반의 구성기준과 의뢰할 수 있는 외부 기관의 기준은 금융위원회가 정하여 고시한다.    ② 법 제21조의3제1항에 따른 전자금융기반시설의 취약점 분석ㆍ평가는 사업연도마다 1회 이상 하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 지체 없이 취약점 분석ㆍ평가를 하여야 한다. 1. 법 제21조의5제1항에 따른 침해사고가 발생하여 그 피해 및 피해 확산을 방지하기 위한 긴급한 조치가 필요한 경우 2. 정보처리시스템이나 인터넷 홈페이지 구축 등 정보기술부문 관련 사업을 실시하였거나 정보기술부문의 기능개선ㆍ변경을 수행한 경우    ③ 금융회사 및 전자금융업자는 법 제21조의3제1항에 따라 전자금융기반시설의 취약점 분석ㆍ평가를 하였을 때에는 다음 각 호의 사항이 포함된 결과보고 및 보완조치 이행계획서를 그 취약점 분석ㆍ평가 종료 후 30일 이내에 금융위원회에 제출하여야 한다. 1. 취약점 분석ㆍ평가의 사유, 대상, 기간 등 실시개요 2. 취약점 분석ㆍ평가의 세부 수행방법 3. 취약점 분석ㆍ평가 결과 4. 취약점 분석ㆍ평가 결과에 따른 필요한 보완조치의 이행계획 5. 그 밖에 취약점 분석ㆍ평가의 적정성을 확보하기 위하여 필요한 사항으로서 금융위원회가 정하여 고시하는 사항    ④ 제1항부터 제3항까지의 규정에도 불구하고 금융위원회는 전자금융거래의 빈도, 총자산 및 상시 종업원 수 등을 고려하여 금융위원회가 정하여 고시하는 기준에 미달하는 금융회사 및 전자금융업자에 대하여 다음 각 호의 사항을 완화하여 적용할 수 있는 기준을 정하여 고시할 수 있다. 1. 제1항에 따른 취약점 분석ㆍ평가의 방법 2. 제2항 각 호 외의 부분 본문에 따른 취약점 분석ㆍ평가의 실시 주기 3. 제3항에 따른 결과보고 및 보완조치 이행계획서의 제출 시기 및 제출 시 포함되어야 하는 사항