금융업권의 빅데이터 활용과 개인정보 보호

1. 2014. 10. 1

2. 차 례
1. 금융업과 보안 그리고 개인정보보호
2. 금융업권에서의 빅데이터 활용
3. 빅데이터 개인정보보호를 위한 조치 필요사항
4. 향후 과제

4. 금융업금융업1
• 금융업 –자금의 융통･공급을 행하는 영리사업
• 성공적 금융업 영위를 위한 주요 고려 사항
- 사업의 지속성 유지 : 금융기관의 건전성 확보(금융사기 대비
및 우량고객 확보 등)
☞ 고객의 유형을 분석하여 유형별 전략을 수립･이행하여야 함
- 충성도 높은 고객 확충 : 고객의 비용부담 감소 외에 고객서비스 증대
☞ 특히, 금융지주회사 등은 개별 회사의 고객 정보를 잘 취합･
분석하여 고객의 요구에 부합하는 서비스를 꾸준히 만들어
내야 함
3

5. (종래의) 금융업 영위를 위한 선결요건
: 정보보안(Banking Secrecy)
(종래의) 금융업 영위를 위한 선결요건
: 정보보안(Banking Secrecy)
2
• 보호대상이 되는 정보의 기밀성(confidentiality, 비밀유
지), 무결성(integrity, 무허가 수정이 없도록 정확성을
유지), 가용성(availability, 허가된 접근의 경우 정보에
대한 접근이 가능)의 세 성질이 만족되도록 하는 것
• 적용 1(기밀성) : 카드사태와 같이 권한없는 자에게 개
인식별정보가 유출되어 신용정보 무단 사용, 예금인출
등의 2차 사고 가능성을 야기하면 곤란
• 적용 2(무결성) : 예금액 500만원이 있다하면 그 금액이
권한없는 사람에 의하여 변경되거나 인출되는 사고가
있어서는 안된다는 것임
• 적용 3(가용성) : 예금주가 원하면 돈을 인출하고자 하
는 시점에서 정당한 절차를 거쳐 인출할 수 있어야 함
4

6. (추가된) 금융업 영위를 위한 선결요건(2)
: 개인정보보호 (Privacy Protection)
(추가된) 금융업 영위를 위한 선결요건(2)
: 개인정보보호 (Privacy Protection)
3
• 개인정보 자기결정권 보장 : 정보주체 스스로가 자신에 관한 정보가
언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를
정보주체가 스스로 결정할 수 있어야 함
• 간섭받지 않고 혼자 내버려 둘 권리에서 확장 (현대사회에서는 개인
의 인적 사항이나 생활상의 각종 정보가 정보주체의 의사와 무관하게
타인의 수중에 무한대로 집적되고 이용, 공개될 수 있는 새로운 환경)
• 적용 1 : 대출을 받고자 하는 입장에서, 신용정보 집중기관이 정확한(
높은) 신용등급을 확인하고 저리로 대출이 가능하도록 하는 것은 금
융소비자가 원하는 바임
• 적용 2 : 고급주택을 담보로 대출을 실행하는 자에게 보장내용이 많
은 화재보험을 권유하는 것은 바라는 바일 수도 있고 아닐 수도 있음
• 적용 3 : 홍보 동의를 얻은 정당한 권한을 가진 자가 마케팅을 한다
하더라도 같은 내용의 지속적 반복, 전혀 관련없는 홍보는 소비자가
원하는 바가 아님
• (참고) 개인정보보호 관련, 금융업권의 새로운 서비스 모델은 신용정
보를 어떻게 관리하는 것이 유리한지를 알려주고 지원해주는 것이 될
수 있음 5

8. 빅데이터란?빅데이터란?1
기존의 관리 및 분석 체계로는 감당할 수 없을 정도의 거대한
데이터의 집합을 지칭(상대적 개념)
기존의 관리 및 분석 체계로는 감당할 수 없을 정도의 거대한
데이터의 집합을 지칭(상대적 개념)
Volume Variety Velocity
Variability Value
1. 데이터의 양, 크기
2. 데이터의 다양성(유형)
3. 데이터의 발생·갱신 빈도
4. 데이터의 가변성(분석과정)
5. 데이터의 가치
Christian Reilly, 2012.11
7

9. 빅데이터의 의의빅데이터의 의의2
자료 : 솔트룩스(2012)
8

10. 금융업권에서의 (개인정보 포함)빅데이터 활용금융업권에서의 (개인정보 포함)빅데이터 활용3
• 지주회사 차원에서의 우량 고객 관리, 그룹 차원의
상품개발 등을 위한 활용
- 예시> 개별 회사의 고객속성 분석을 토대로, 다른
회사에서 특정 상품 개발 후, 판매 또는 무상 제공
• 그룹 소속 개별 회사의 이용
- 행태정보 및 추세 정보의 활용(새로운 상품 개발
또는 고객 관리 전략 마련)
- 추적 마케팅(개인 식별 기반) : 만기 **일 이내 포인
트 **이상 보유자에 대한 상품 판매 홍보 등
9

12. 법 적용관계법 적용관계1
11
개인정보보호법과 금융업 관련 법의 적용 관계
- 신용정보의 보호 및 이용에 관한 법률을 중심으로
개인신용정보 거래상대방의신용도판단에
필요한 개인에 관한 정보
신보법 우선 적용
신보법에 없는 사항 개보법적용
일반개인정보 신용도 판단과 무관한개인정보 개보법 적용
개인정보
<일반 개인정보>
임직원정보, 영상정보,
거래상대방이 아닌 자의 정보,
상품소개 또는 구매권유
목적의 정보 등
신용정보법 미적용 고객정보
신용정보
<개인신용정보>
연락처, 금융거래기록 등
<그 밖의 신용정보>
법인등록번호,
법인의 금융거래기록 등

13. - 12 -
수집 출처에 따른 준수사항수집 출처에 따른 준수사항2
정보주체로부터 수집 공개된 정보 수집
제공받아 정보 수집
개인정보보호법 제15조 제1항의
원칙에 따라 수집∙이용
▸ (유의사항) 수집 목적 명확화,
필요 최소한의 개인정보 수집,
정보주체 사생활 침해를 최소화하는
방법으로 수집
공개를 허용한 정보주체의 동의의사나
사회통념상 동의의사가 있었다고 인정
되는 범위 내에서만 수집∙이용가능
▸ (적용법령) 개인정보보호법 제15조, 제20조
▸ (유의사항) 당초 공개목적 범위내 수집,
수집 목적 명확화,
정보주체 요구시 3일 이내에
수집출처 등 고지
다른 공공기관 등에 개인정보 제공을
요청하는 경우 필요 최소한의 개인정보만
그 목적과 법률 근거 등을 명시한 공문으로 요청
▸ (유의사항) 개인정보 수집 관련 규정(제15조)을
적용하지 아니하고
제공 관련 규정(제17조, 제18조)을 적용
▸ 단, 신용정보법 제32조는 신용정보를 동의받아 제공하도록 함

14. - 13 -
개인정보 포함 자료의 분석개인정보 포함 자료의 분석2
법령상 근거 등을 통해
적법하게 수집한 개인정보를
당초 수집 목적 내에서 분석하
여 소관업무에 활용 가능
- 개인정보가 오․남용되지 않도록
소관업무 수행에 필요한 최소
범위 내에서 분석․활용
- 분석 대상 자료에 포함된 개인정보
를 삭제해도 통계자료 작성 등 목
적 달성이 가능한 경우에는 불필요
한 개인정보를 삭제 후 분석
- 필요 최소한의 범위에서 분석ㆍ활용
-「개인정보의 목적외 이용 및 제3자 제
공 대장」※에 이용목적 및 이용하는
개인정보 항목 등의 내역을 기록․관리
- 개인정보가 포함되지 않은 자료의
분석에 준하여 실시
- 비식별화 처리 전에 보유하고 있던
개인 식별 요소와 결합하여 활용하
지 않도록 주의

15. 개인정보의 당초 수집.이용 목적 범위란?개인정보의 당초 수집.이용 목적 범위란?
개인정보의 수집 출처 수집ㆍ이용 목적 범위
정보주체로부터 수집한 경우
수집 당시 사용된 근거 법령 또는 동의 내용 등에 명
시되어 있는 수집·이용 목적 범위
제3자로부터 제공받은 경우
제3자로부터 제공받을 당시 사용된 근거 법령 또는
동의 내용에 명시되어 있는 수집·이용 목적 범위
인터넷 등
공개된
출처에서
수집한 경우
공개 목적이 명확한 경우 해당 정보의 공개목적 범위
공개 목적이 불명확한 경우 공개된 정황에 비추어 사회통념에 위배되지 않는 범위
참고
14

16. 참고
처리 기법 주요내용
데이터 마스킹
(data masking)
공개된 정보 등과 결합하여 개인을 식별하는데 기여할 확률이 높은
주요 개인식별자가 보이지 않도록
(예) 홍길동, 35세, 서울 거주, 한국대 재학
→ 홍**, 35세, 서울 거주, **대학 재학)
* 남아 있는 정보 그 자체로 개인을 식별할 수 없어야 하며 인터넷 등에 공개되어 있
는 정보 등과 결합하였을 경우에도 개인을 식별할 수 없어야 한다.
가명처리
(pseudonymi-
sation)
개인정보 중 주요 식별요소를 다른 값으로 대체
(예) 홍길동, 35세, 서울 거주, 한국대 재학
→ 임꺽정, 30대 서울 거주, 국제대 재학
* 다른 값으로 대체하는 일정한 규칙이 노출되어 역으로 개인을 쉽게 식별할 수 있어
서는 안된다.
총계처리
(Aggregation)
개별 데이터보다 그 집단의 값이 필요한 경우 개별 데이터 값
(또는 특성)은 삭제하고 집합의 특징만 표시
(예) 임꺽정 180cm, 홍길동 170cm, 이콩쥐 160cm, 김팥쥐 150cm
→ 물리학과 학생 평균키 165cm
15

17. 참고
처리 기법 주요내용
범주화
(Data
Suppression)
데이터의값을범주의값으로변환하여명확한값을감춤
(예) 홍길동, 35세 → 홍씨, 30-40세
데이터 값
(가치) 삭제
(Data
Reduction)
데이터 공유․개방 목적에 따라 데이터 셋에 구성된 값 중
필요없는 값 또는 개인식별에 중요한 값을 삭제
(예) 홍길동, 35세, 서울 거주, 한국대 졸업 → 35세, 서울 거주
(예) 주민등록번호 901206-1234567 → 90년대 생, 남자
(예) 개인과 관련된 날짜 정보(자격 취득일짜, 합격일 등)는 연 단위로 처리
(예) 연예인․정치인 등의 가족 정보(관계정보), 판례 및 보도 등에 따라 공개
되어 있는 사건과 관련되어 있음을 알수 있는 정보
16

19. 정부정부1
• 금융업권의 개인정보 처리를 무조건 제한하는 것은 곤란
• 단, 불필요한 개인정보 처리를 제한
예> 고객 확인이 필요없는 상담일 경우에도 전화만 걸면 고객
확인을 위한 정보를 수집
• 고객의 정보가 유출되거나 잘못 사용하는 경우에 관한 엄격한
책임부과를 위한 감독과 제도 정비가 필요
• 이를 위해서는 개인정보 보호법 원칙의 예외로 개인정보를 처
리할 수 있는 경우를 명확히 하여야 함
예> 금융지주회사법 제48조의2에 따라 금융지주회사, 자회사
간 제공･공유할 수 있는 개인(신용)정보 범위, 목적 등을 명
확히 하여야 함 – 개인정보의 제공에 따른 오.남용 및 유출
위험과 이용･제공 등에 따른 편익의 비교형량 필요)
18

20. 금융지주회사 등 기업금융지주회사 등 기업2
• 불필요한 개인정보 처리는 지양
- 개인정보의 양이 곧바로 분석의 질 상승 또는 이윤 증대로
연결되지 않음
- 오히려, 데이터 관리비용만 증가하고, 그를 상쇄할 만큼의
이윤증대로 이어지지 못하는 경우도 많음
• 비식별화 기술을 적절히 활용하여 패턴, 추세정보 등을 도출
하고 그를 통한 고객관리나 상품 개발에 유용함
19

21. 개인정보 보호 지원센터 기능 및 역할
개인정보보호지원센터 지원 문의 :
(한국정보화진흥원, 02-2131-0111~2)

22. 정영수 human22@nia.or.kr