Financial companies, such as banks and securities companies, no longer need to encrypt their account information. The government, as a follow-up measure for the government-wide personal information normalization plan, is modifying principal offenders and the related supervisory agencies in relation to the laws in contradiction to the Personal Information Protection Act and the Act on Promotion of Information and Communications Network Utilization and Information Protection, etc. (Information and Communications Network Act).
According to the Financial Services Commission (FSC) on the 18th, law revision will be carried out in a direction to eliminate financial companies from the application target of account information encryption clause in the Information and Communications Network Act.
A majority of banks and securities that have a large number of account data and using information and communications networks, such as online and mobile networks, have been experiencing confusion over the years because of an encryption clause in the Enforcement Decree of the Information and Communications Network Act and the Personal Information Protection Act.
“Since the credit card information leakage incident, we are setting up measures to clear up confusion between laws in the government-wide general plan. A direction has been set to categorize financial companies as credit companies, and thus to be irrelevant with the Information and Communications Network Act,” said an FSC source. “We are preparing for law revision not to apply account information encryption clause to financial companies.”
In Article 15, Chapter 4 of the Enforcement Decree of the Information and Communications Network Act enforced in August 6, it is stipulated that ‘information and communications service providers shall save financial information including resident registration numbers and account information by encrypting it so as to ensure safe storage and transmission of personal information.’ There is a contradiction between the Information and Communications Network Act, which prescribes encryption of all financial information including account number, and the Use and Protection of Credit Information Act (Credit Information Act), which stipulates encryption of resident registration number only.
A key issue was whether or not financial companies fell under the category of information and communications service providers. FSC set a direction to categorize financial companies as application targets of the Credit Information Act, which is under its jurisdiction, and thus to regard financial companies not to fall under the category of information and communications service providers
◇Eye of the News
The issue of account number encryption has been causing quite a burden on the financial circles. Without any accurate authoritative interpretation available, financial companies intending to introduce next-generation systems argued about to which extent information must be encrypted.
With the legal system modification, the dispute over account information encryption, which requires an enormous cost, appears to have been settled. As for the financial sector, a majority regards the financial authorities’ measures to be positive.
“Account information encryption requires change in the system structure itself. It was difficult to determine whether or not this was subject to the law application,” said an executive of a securities company. “We tried asking Financial Supervisory Service, but did not receive any official answers.” A chief information officer (CIO) from a large-scale bank remarked, “It is difficult to regard account number as personal information.” He added, “Encryption of account number incurs an enormous amount of investment cost. In addition, the likelihood of leaked account information to lead to an actual financial accident is extremely small.”
Financial experts analyze that the confusion has been caused by a jumbling of various laws, such as not only the Credit Information Act, the Electronic Financial Transactions Act and the Personal Information Protection Act, but also the Financial Holding Companies Act, the Information and Communications Network Act and the Act on the Protection of Information and Communications Infrastructure.
FSC has been carrying out discussions in the level of government-wide taskforce under the Prime Minister’s Office. It will reflect the decisions in the revision of the Electronic Financial Transactions Act. It has been decided to exclude financial companies from the application target of the Information and Communications Network Act.
“The excessive application of the Information and Communications Network Act to financial fields has led to a setback,” said the FSC source. He explained, “The clause of the Information and Communications Network Act for account information encryption will not be applied to financial companies. It will be applied only to telecommunications service providers defined in the Act.”
Gil Jae-shik | osolgil@etnews.com You Hyo-jeong | hjyou@etnews.com
금융사 계좌번호 암호화 안해도 된다
앞으로 은행?증권 등 금융사는 계좌정보를 암호화하지 않아도 된다. 정부는 7?31 정부합동 개인정보 정상화대책의 후속조치로 개인정보법?정보통신망법 등 상충하는 법에 대한 수범대상과 관련 감독기관을 정비 중이다.
18일 금융위는 정보통신망법의 계좌정보 암호화 조항 적용 대상에서 금융사를 배제하는 방향으로 법 개정을 진행할 것이라고 밝혔다.
계좌정보를 다수 보유했지만 온라인?모바일 등 정보통신망을 이용하는 다수 은행?증권사는 정보통신망법 개인정보보호법 시행령 조항의 암호화 규정 때문에 그간 큰 혼란을 겪어왔다.
금융위 관계자는 “카드정보 유출 사고 이후 범정부종합대책에서 법률 간 혼란을 정리하기 위해 대책을 마련 중이며 금융사는 신용회사로 분류해 정통망법과는 무관한 것으로 방향을 정했다”면서 “금융사의 계좌정보 암호화는 적용하지 않는다는 의미로 법 개정을 준비 중”이라고 말했다.
지난 8월 7일 시행된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령’ 제4장 제15조에는 ‘정보통신서비스 제공자 등은 개인정보가 안전하게 저장?전송될 수 있게 주민등록번호와 계좌정보 등 금융정보를 암호화해 저장해야 한다’고 명시했다. 주민등록번호만 암호화해야 한다는 신용정보법과 계좌번호까지 모두 암호화해야 한다는 정보통신망법이 상충된 것이다.
이에 금융사가 정보통신서비스 제공자에 해당되는지가 논란의 쟁점이었다. 금융위는 금융사를 금융위원회 소관의 신용정보법 적용 대상으로 분류해 정보통신서비스 제공자에 해당하지 않는 것으로 가닥을 잡았다.
◇뉴스의 눈
계좌번호 암호화 이슈는 금융권에 상당한 부담으로 작용했다. 정확한 유권해석이 없어 차세대 시스템을 도입하려는 금융사는 정보를 어느 범위까지 암호화해야 하는지 갑론을박이었다.
이번 법체계 정비로 일단 막대한 비용이 들어가는 계좌정보 암호화 논쟁은 해결될 것으로 보인다. 금융권도 이번 금융당국 조치에 대해 긍정적인 시각이 다수다.
한 증권사 임원은 “계좌정보를 암호화하려면 시스템의 구조 자체를 변경해야 하는데 법 적용 여부를 판단하기 어려웠다”며 “금융감독원에 문의해봐도 공식적인 답변을 얻지 못했다”고 토로했다. 한 대형 은행 최고정보책임자(CIO)는 “계좌번호를 개인정보로 보는 건 다소 무리가 있다”며 “계좌번호까지 암호화할 경우 막대한 투자비용이 들어가고 유출된 계좌정보가 실제 금융사고로 이어질 가능성은 극히 희박하다”고 설명했다.
금융전문가들은 신용정보법?전자금융거래법?개인정보법뿐만 아니라 금융지주회사법?정보통신망법?정보통신기반보호법 등 각종 법체계가 뒤섞여 벌어진 혼선이 현장에서 나타났기 때문으로 판단한다.
이에 금융위는 총리실 산하 범정부 태스크포스(TF) 차원 협의를 진행해 왔다. 전자금융거래법 개정 시 결정 사항을 반영할 계획이다. 정보통신망법에서 금융사는 배제키로 했다.
금융위 관계자는 “정통망법을 과도하게 금융 분야까지 적용하려다 보니 엮이는 부분이 있었다”며 “계좌정보 암호화 등 정통망법 조항은 금융사에 적용되지 않으며 정통망법에서 규정한 전기통신 사업자만 해당된다”고 설명했다.
길재식기자 | osolgil@etnews.com 유효정기자 | hjyou@etnews.com