I. 서론
현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률[1] 제22조에는 정보통신서비스 제공자는 이용자의 개인정보를 수집하는 경우에는 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유·이용 기간의 모든 사항을 이용자에게 알리고 동의를 받아야 한다고 명시하고 있다.
개인정보보호법[2] 제4조에서 정보주체는 자신의 개인정보 처리와 관련하여 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리를 가진다는 정보주체의 권리 명시와 함께 제15조에서 개인정보 수집 이용 시 정보주체의 동의가 필요하고 개인정보 수집 목적, 수집 항목, 보유기간, 동의를 거부할 권리가 있음을 명시하고 있다.
이용자로부터 동의를 얻기 어렵거나 법률에서 정하는 경우 등 예외의 경우가 있지만 개인정보를 제3자에게 제공하는 경우와 취급 위탁하는 경우, 민감 정보 수집에 있어서도 이 동의 원칙은 동일하게 적용된다.
국내 개인정보보호를 관장하는 주요 법률에서 개인 정보 수집 이용 제공시 개인정보의 처리 및 보호에 관한 사항은 정보주체의 동의를 요구하고 있으며 이를 엄격하게 다루고 있으나, 실제 금융회사에서는 개인정보 이용 동의를 구현하는 과정에서 정보주체의 동의서 누락이나 동의 미 획득, 동의서가 수집되었으나 서명 누락 등 개인정보 이용 동의 요건에 맞지 않는 동의서가 수집되어 보관됨을 종종 확인할 수 있다.
2013년 하반기 정부부처 합동으로 구성한 개인정보보호 합동점검단을 중심으로 개인정보의 유출이나 침해 우려가 있는 취약분야 및 다량의 개인정보를 취급하는 분야 등을 대상으로 실시한 개인정보보호 실태조사 결과[3]에서도 주요 개인정보보호법 위반 행위 행정처분 사례 중 개인정보 수집이용 제공 시 정보주체의 동의 미 획득, 동의서 필수/선택 등 구분 동의 방법 위반 등이 주요 사례로 발표되기도 하였다. 이에 따라 금융감독원에서는 개인정보보호법 위반에 따른 행정처분 사례를 각 금융회사에 송부하고 유사사례가 발생되지 않도록 유의하라는 공문을 발송하는 등 개인정보에 대한 주의를 요구하고 있다.
이는 동의내용을 충분히 인식하고 스스로 결정하여 개인정보 이용 및 제공을 승인하는 정보주체의 실질적인 동의의 개념을 이끌어 내야하는 금융회사의 개인정보 이용 동의 구현 과정에 미흡하고 효과적이지 못한 부분이 존재하기 때문이다.
본 논문에서는 진정한 동의의 의미를 이해하고, 동의의 본질에 부합하는 개인정보 이용 동의를 구현하기 위해금융회사 내부 서면 동의 처리 절차를 확인하고, 문제점도출 및 개선사항 확인을 통하여, 개인 정보 이용 동의 구현에 관한 발전된 모델을 제시하고자 한다.
본 논문의 구성은 다음과 같다.
서론에서는 연구목적 및 연구배경에 대해 기술하였고, II장에서는 동의 관련 선행연구를 고찰하였다. III장에서는 금융회사 사례를 통한 서면 동의 절차에서 발생하는 문제점을 분석하고, IV장에서는 문제점 보완을 위한 효과적인 개인정보 이용 동의 구현 모델을 제시하고, V장에서는 발전된 모델 적용에 따른 효과를 검증하였으며, 마지막으로 VI장에서는 결론을 맺으며 본 논문의 한계 및 향후 발전방향에 대해 기술하였다.
II.선행연구
2.1동의의 개념
동의의 사전적 뜻은 다른 사람의 법률 행위에 대한 인허나 시인의 의사표시이며, 행위자의 단독 행위로는 완전한 법률효과가 생기지 않을 때에, 그것을 보완하는 다른 사람의 의사표시를 동의라고 정의하고 있다[4].
개인정보 이용에 대한 정보주체의 동의는 권건보(2014년)의 연구에서 개인정보 자기결정권을 발현하는 핵심적 수단으로 혼자 있을 권리로 시작하는 프라이버시권의 소극적 개념의 권리뿐 아니라, 자기 정보에 대하여 열람, 삭제, 정정, 차단할 수 있고, 잘못 된 정보로 야기된 결과에 대한 제거를 요구할 수 있는 적극적인 권리의 개념이라고 말하고 있다. 더불어, 개인정보자기결정권은 개인정보의 수집 이용 제공 등에 대해 자신에 관한 정보의 수집 이용, 제공 등을 원칙적으로 정보주체의 의사에 따르도록 하는 동의권을 토대로 하고 있음을 명시하고 있다[5].
2.2 동의의 유형
정보주체의 동의 유형을 분류한 권건보(2014년)의 연구에서는 정보주체의 동의를 세 가지 유형으로 나누었으며, 동의를 개인정보처리의 요건으로 규정하는 방식의 제1유형과 동의를 개인정보처리의 여러 허용 사항 중 하나로 열거하는 방식의 제2유형 그리고 마지막으로 정보주체에게 알려만 주면 일단 개인 정보의 처리가 가능하도록 하되, 정보주체가 반대의 의사표시를 하면 그 처리를 불가능하게 하는 방식의 제3유형으로 분류하고 있다.
제1유형과 제2유형은 이른바 옵트인(opt-in) 방식이고 제3유형은 옵트아웃(opt-out)방식에 속하는데, 구혜경 외(2014년)은 옵트인 방식이 Privacy를 중요하게 생각하고 자기정보결정권을 강조하는 경우 채택하는 방식이라 말하며, 우리나라의 개인정보 보호 관련 법률에서 정의한 동의도 서면 동의 방식을 포함하여 정보주체의 사전 동의를 요구하는 옵트인 방식에 속하는 것이라 정의하고 있다[6].
2.3 정보주체의 실질적 동의에 관한 연구
백수원(2007년)의 연구는 개인의 동의가 유효하게 성립하기 위해서는 동의의 본질, 의미, 범위에 관하여 올바르게 인식하고, 동의 선택에 따른 영향에 대하여 충분한 설명과 이해가 바탕이 되어야 하고, 개인정보 처리 관련자가 개인정보 처리의 단계에서 어떤 종류의 정보가 어떤 목적으로 처리되고 이용되는지 인식하고 있어야 한다고 주장했다[7].
개인정보보호위원회(2013년)의 정보주체 동의권의 실질적 보장을 위한 연구에서는 정보주체로부터 형식적 동의를 거쳐 수집되는 개인정보 동의의 실태와 문제점을 파악하여 정보주체의 동의권을 실질적으로 보장하기 위한 동의 방식의 개선을 위해 정보 주체가 동의하는 내용을 제대로 인지하도록 쉬운 설명, 고지의 원칙, 가이드라인과 함께 동의서 양식의 포맷 변경을 주장하였다[8].
방송통신위원회(2014년)의 개인정보 수집 등에 따른 동의 절차 방법 개선 및 개인정보보호 관리등급제 도입에 관한 연구에서는 이용자가 충분히 인식하고 스스로의 결정에 따라 제공을 승인할 수 있는 이용자의 입장에서 동의의 개념이 정립되어야 하며, 동의 받는 내용을 이용자가 정확하게 인식할 수 있도록 동의서의 형식을 개선하고, 동의절차의 실질적 이행을 위해 고객에게 충분한 고지와 함께 개인정보 항목을 최소화하여 수집해야 한다는 내용 등 개인정보 수집 동의제도에 대한 전반적인 개선사항을 연구결과로 제시하였다[9].
이에 본 연구에서는 선행연구에서 다루었던 동의의 개념과 동의의 본질, 개인의 동의가 유효하게 성립하기 위해 필요한 동의의 방식, 절차 등에 대한 개선 연구를 참고하여, 정보주체가 서면 동의 절차를 통해 개인정보 이용 동의 의사를 표시할 때 개인정보처리자인 사업자는 이를 어떤 방법으로 효과적으로 처리해야 동의가 형식적으로 이루어질 때 발생하는 오류를 줄이고, 정보주체의 실질적인 동의가 반영되는 서면 동의 절차를 구현할 수 있는지에 대한 발전된 모델을 연구하고자 하였다.
III. 개인정보 이용 동의의 구현 분석
개인정보보호법 제22조에는 동의를 받는 방법을 규정하고 있고, 동의를 받는 방법에 대한 세부적인 사항은 대통령령 제17조에 규정하고 있다. 본 연구에서는 서명날인, 전화, 홈페이지 동의 등 여러 동의 방식들 중 직접 또는 우편, 팩스 등의 방법으로 서명하거나 날인한 동의서를 받는 방법 즉 서면 동의 방법에 한정하여 연구하였다.
3.1 동의서 필요 요건
행정자치부에서는 2013년 10월 신용정보 주체의 권리강화와 자기정보결정권 강화를 위해 민간분야에서 사용하고 있는 각종 개인정보 수집서식을 대상으로 개인정보보호 법령에 따른 개선 필요사항을 검토 조사하여 개선안을 마련했다[10]. 이 과정에서 중점 검토한 10개의 항목과 이에 대한 미흡사례 및 개선 방법을 정리하여 개인정보 수집서식 개선 방법을 마련 후 전파하였고, 개인정보 수집 서식을 사용하는 사업자에게 서식을 자율개선토록 하였다.
이를 토대로 2014년 3월 금융위원회에서 마련한 금융 분야 개인정보 유출 재발방지 종합대책[11]의 동의서 개정 주요원칙을 살펴보면 금융회사에서는 수집하는 개인정보를 공통 필수정보, 상품별 필수정보, 선택정보로 구분하고 동의서를 필수사항과 선택사항을 별도 페이지로 구분하여 동의를 받으라는 것과 수집정보의 최소화를 원칙으로 고객과의 금융거래 설정 및 유지에 필요한 최소한의 개인정보를 공통 필수정보 수집 및 필수사항 동의만으로도 계약 체결이 가능하고, 선택사항에 동의하지 않더라도 계약 체결 및 서비스제공을 거부하는 것을 금지한다는 내용을 포함토록 했다.
또한 금융회사 등이 대리인을 통해 명의인의 개인정보를 처리하는 경우에도 해당 정보주체의 개인정보 처리 동의를 받아야 한다는 원칙에 따라, 14세 미만 아동의 개인정보처리에 대해서는 해당 법정대리인의 동의를 받도록 규정하고 있다. 또한, 법정대리인 중 동의서 작성 시 1인에 의한 동의서 작성 시에는 부모 중 일방이 동의서에 부모 모두의 성명을 기재하여야 함을 원칙으로 하고 있다.
동의가 계약법상 발전되어온 개념으로 계약법상 동의의 적법성 요건을 갖추어야 한다고 정찬모(2015)의 연구[12]에서 주장한 것과 같이 개인정보 이용 동의에 대한 동의의 효과는 서면 동의의 과정에서 동의의 의사표시로써 필수사항에 대한 동의와 함께 고객의 서명이나 날인이 필요하다는 것이다. 서명이나 날인이 누락되는 등 동의 형식이 갖춰지지 않은 경우는 서면 동의의 효과, 즉 개인정보 이용 동의의 효과를 얻기 어렵다.
3.2 동의 요건 누락 관련 법원 판결 사례
동의 내용에 대한 진정한 동의 의사가 반영되지 않았다고 판단되는 동의서나 계약문서의 경우, 동의서나 계약문서로써의 효력을 발휘하지 못함을 판결한 사례를 통해 동의서나 계약문서의 요건에 대한 중요성을 알 수 있다.
예를 들면 대법원(2010년 02월)은 피보험자의 자필 서명이 없는 보험계약은 무조건 무효라는 취지의 판결을 내렸고[13], 법원도 피보험자의 서면 동의나 서명이 없는 보험계약이 무효라는 취지의 판결을 내렸다. 보험계약자의 말만 믿고 임의로 피보험자의 서명란에 타인의 서명을 대신하여 피보험자의 동의를 얻지 못했다는 이유로 보험계약이 무효가 된 경우가 있다[14]. 이는 자필 서명의 중요성을 법원이 인정한 판례라 볼 수 있다.
기존 판례를 통해 알 수 있듯이 동의서나 계약문서가 동의나 계약의 효력을 인정받기 위해서는 해당 문서가 요구하는 사항을 갖춰야 한다.
정보주체의 진정한 동의를 얻기 위해서 동의 요건에 미비한 사항이 있을 때 사업자는 이를 검증해내고, 미비한 사항을 고객에게 알리고 이를 정보주체의 의사에 따라 보완할 수 있는 절차가 필요한 것이다.
3.3 서면 동의 처리 절차
개인정보 이용 동의 처리 절차를 이해하고, 금융 회사의 서면 동의 처리 절차를 확인하기 위하여 A금융회사의 내부 서면 동의 처리 과정을 사례 분석하였으며, A금융회사의 서면 동의 처리 과정을 Fig.1.과 같이 도식화 하였다.
Fig. 1. The process of agreement registration (A financial company)
동의 누락이나 필수 기재사항 누락이 있으면 다음 단계로 진행을 넘기지 않을 수 있는 비대면 방식의 전화나 인터넷 홈페이지 등을 통한 동의 방식과 달리 서면 동의 방식은 동의서 양식을 고객 앞 직접 제시하고, 고객이 작성한 동의서를 직원이 접수받아 기재 내용을 체크하는 방식을 따른다.
A금융회사의 단계별 처리 과정을 확인해 보면, 우선 영업점의 창구 직원은 개인정보제공 동의자가 고객 본인임을 확인하고, 거래 유형에 맞는 개인정보 이용 동의서를 교부한 후, 고객에게 면대면 상태에서 동의서의 내용과 필수 기재 사항에 대해 설명한다. 고객이 기재사항을 기재하고 서명을 완료하면, 작성 완료된 동의서를 접수하여, 동의서를 스캔(Scan)하여 동의서 이미지 시스템에 전송하고, 단말기의 거래 화면에 개인정보 이용 동의서 징구 여부를 체크한 후 책임자 앞 거래 승인요청과 함께 거래 서류를 제출하게 된다. 영업점 책임자는 거래서류와 함께 개인정보 이용 동의서를 확인하고 거래를 승인한다. 동의서는 영업점에서 실물을 본점 중앙센터 앞으로 송부하여 집중 보관한다.
3.4 서면 동의 처리 절차의 문제점
A금융회사의 동의서 처리 현황 확인을 위한 일부 영업점 샘플 검사 결과 및 동의서 오류 발생 원인 확인 과정에서 확인된 문제점과 기존 선행연구의 동의 절차 문제점을 통해 A금융회사의 서면 동의 처리과 문제점을 Tale 1.과 같이 정리하였다. 문제점과 문제점의 유형을 크게 동의 양식 징구 오류와 동의 내용 요건 미비로 나누어 볼 수 있었고, 그 발생 원인은 다음과 같이 분류할 수 있었다.
Table 1. Type of issues of the written agreement procedure (example of A financial compan)
첫째, 고객이 서면 동의서를 작성하는 시점에 동의 내용에 대한 충분한 설명에 따른 충분한 이해가 선행되지 않는 점이다. 개인정보보호위원회(2013년)의 연구에서도 언급되었듯이 개인정보 수집 이용 동의 방식의 문제점은 동의를 하지 않으면 서비스를 이용하기 어려운 구조적인 측면과 동의 내용을 이해하기 어려운 동의 방식의 측면, 소비자의 개인정보 중요성에 대한 의식부족 등에 기인한다고 볼 수 있다[8]. 이는 고객 앞 서면동의를 받을 시 동의 내용에 대한 충분한 설명으로 일정부분 해결 할 수 있는 문제점이기도 하다. 고객이 짧은 시간 안에 많은 내용을 이해하기는 쉽지 않는 것이 사실이고, 고객마다 이해 정도가 다르기 때문에 직원의 자세한 설명이 필요하다.
둘째, 특정 점포, 특정 직원의 업무 실수에 따른 집중 오류 발생이다. A금융회사의 동의서 처리 현황 확인을 위한 영업점 샘플 검사 결과 및 발생원인 확인 과정에서, 서면 동의 오류가 특정 영업점에서 업무에 익숙하지 않고 숙련되지 않는 직원이 업무를 처리할 때 집중적으로 발생한 경우가 있음을 확인하였다. 특정 영업점의 오류 발생 건수나 특정 오류가 다른 영업점에 비해 현저히 많이 발생하는 경우, 업무에 숙달되지 않은 특정 직원의 반복적인 업무 실수인 경우가 많았다.
셋째, 영업점 외부에서 대량 고객 신규유치 및 서류 일괄 접수 처리 시 발생하는 오류이다. 두 번째 원인과 마찬가지로 A금융회사의 동의서 처리 현황 확인을 위한 영업점 샘플 검사 결과 및 발생 원인을 확인한 결과 금융회사들이 외부에서 대량으로 신규 고객을 유치할 때 동의서 작성 안내 부족에 따른 동의서 필수 기재사항 오류가 종종 발생하게 된다.
넷째, 동의서 징구 오류에 대한 검증 절차 부족이다. 동의서 징구 오류가 발생하더라도 동의서 처리과정 중 검증 절차가 존재한다면 많은 부분 보완이 가능할 것이다. 서면 동의 처리 과정 중 동의서 징구 여부 및 거래 유형에 맞는 동의서가 징구 되었는지를 자동 검증해 줄 수 있는 시스템 제공 부족으로 동의서 누락이나 상품별 거래별 동의서 유형에 맞지 않는 동의서가 징구되는 등 동의서 징구 오류가 발생해도 재검증하지 못하여 보완을 하지 못한다.
다섯째, 동의서 기재 내용을 검증 하는 절차가 없다는 점이다. 영업점 현장에서 업무 담당자와 책임자가 동의서 기재사항을 완전하게 체크하지 못하면, 별다른 추가 검증 절차 없이 동의서는 영업점이나 중앙 센터에 미비사항이 확인되지 않은 채 계속하여 보관되게 된다.
A금융회사의 경우 서면 동의 처리 절차상 문제점을 개선하기 위한 필요사항으로 Table 2.와 같이 직원에 대한 업무 교육 강화와 서면 동의 검증 절차 마련을 개선 필요 사항으로 도출하였다.
Table 2. Problems and improvements in the process of written agreement
서면 동의 처리 절차상 문제점을 개선하고, 오류를 줄이기 위해서는 개인의 업무 능력과 학습 능력에 따라 교육 효과가 다르고, 형식적인 교육 진행으로 교육의 효과가 나타나기 어려울 수도 있는 직원에 대한 교육 강화와는 별개로 서면 동의 처리에 대한 검증 절차 개선을 통해 동의의 효과를 높이는 모델이 필요하다.
IV. 금융회사의 발전된 동의 구현 모델
동의의 본질에 부합하는 개인정보 이용 동의 절차 구현을 위해 본 연구에서는 서면 동의 처리 과정에서 검증 절차를 추가하고 정보주체의 동의 의사를 재확인 할 필요가 있는 동의서를 구별하여 보완을 실시하는 발전된 동의 구현 모델을 A금융회사에 적용해 보았고, 적용된 A금융회사의 서면동의 처리 절차 모델을 Fig.2.와 같이 정리하였다.
Fig. 2. The Advanced personal information agreement model that added verification process(A financial company)
동의서 징구 오류 여부 확인과 함께 서면 동의의 필수 기재사항 검증을 통한 서면 동의 내용 모니터링 절차를 추가하여, 형식적인 개인정보 이용 동의로부터 비롯되는 서면 동의 미비 건을 확인하여 보완하고, 더불어 보완이 필요한 서면 동의 건에 대해 내부 성과지표를 연계한 효과적인 보완 작업을 실시해 동의의 효과성을 높이는 모델이다.
4.1 동의서 징구 오류에 대한 검증
A금융회사의 경우처럼 영업점 고객 거래 화면에서 동의서 징구 여부만을 단순 체크, 투입하도록 서면 동의 처리 절차가 구성된 경우는 고객이 제출한 동의서 실물이 존재하는지 혹은 동의의 효력이 발생하는 동의서인지에 대해서는 확신할 수가 없다.
고객이 제공한 동의서를 스캔하고, 해당 스캔 처리된 동의서 파일과 영업점의 거래화면이 연동되어, 거래화면에 스캔한 동의서 파일이 첨부되지 않으면 거래처리가 더 이상 진행되지 않도록 구성한다면 동의서 징구 오류를 대폭 감소시킬 수 있다. 그러나 사전 연동체크 환경을 구성하기 위해서는 일정한 업무 처리 속도가 보장되어야하므로 고사양의 PC환경 및 처리 시스템이 필요하며, 연동 시스템 개발에 따른 많은 비용과 자원이 투입되어야 한다는 제한이 따른다.
대규모 비용과 개발이 필요한 사전 연동처리가 어려운 경우라도 동의서 징구 오류를 사후에 확인할 수 있는 관리화면을 제공하는 방안이 있다. A금융회사의 경우 거래처리 이후에 해당 거래 건과 동의서 징구 여부를 대사하여, 별도로 거래일 다음날 징구 오류 리스트를 확인할 수 있는 조회 화면을 Fig.3.과 같이 구성하여 필요 시 혹은 일정 주기로 동의서 징구 오류를 반드시 체크하도록 하고, 징구 오류 건에 대해서 영업점 자체적으로 동의서 실물 확인을 통한 보완관리를 수행하도록 하였다.
Fig. 3. The Screen sample of Agreement error inquiry
4.2 동의 내용 모니터링을 통한 기재내용 검증
마케팅 혹은 대출과 관련한 금융회사 중요 업무에 대해서는 금융감독 당국에서 모니터링 강화를 요청하고 있고 금융회사에서도 필요 사항에 대한 모니터링을 실시하는 등 검증 절차를 강화하고 있으나, 계좌 개설이나 최초 신규거래 시 필요한 개인정보 이용 동의서의 기재내용에 대해 모니터링을 전수로 실시하거나, 별도 검증 조직을 통해 동의 내용을 검증하는 곳은 많지 않다. 감사목적을 위해 특정 점포, 특정 고객에 대한 개인정보 이용 동의서 징구 내역 및 동의 내용을 확인해 보는 경우가 있지만, 대부분 최초 영업점에서 실시하는 동의서 징구 오류 확인과 영업점 책임자의 서류 확인을 통한 검증으로 끝나게 된다.
그러나 앞서 언급하였듯이 형식적인 개인정보 이용 동의가 아닌 정보주체의 진정한 동의를 얻기 위해서는 서면 동의 처리 절차상에 동의서 필수 기재사항 검증을 위한 서면 동의 내용 모니터링이 필요하다.
A금융회사의 경우 동의서에 필요한 필수 기재사항과 동의 내용 확인을 위하여 별도 본점 중앙센터에 개인정보 이용 동의서 모니터링 조직을 구성하여 각 영업점에서 보내온 서면 동의 건에 대해 Table 3.과 같은 모니터링 절차를 통해 동의 내용 검증을 실시했다.
Table 3. Monitoring procedure of agreement contents
동의서 내용 모니터링 수행 순서는 다음과 같다.
첫째, 신규계좌 리스트를 조회하여 점검대상을 선정하고, 14세 미만 아동 계좌 개설 건과 일반 계좌 개설 건을 분류하여 리스트를 확인한다.
둘째, Fig.4.와 같은 이미지 조회 화면을 통해 대상 건의 스캔된 동의서 이미지를 조회하여 동의서 기재내용을 검증한다.
Fig. 4. The screen sample of Agreement image inquiry
셋째, 모니터링 한 결과를 영업점 모니터링 점검표에 반영하여 증빙자료와 함께 취합한다.
4.3 영업점 성과지표 적용을 통한 동의서 보완
보완이 필요한 동의서가 존재하는 경우 보완을 완료해야하는 시기나 방법에 대해 구체적으로 정의한 법규는 없다. 그러나 금융회사가 개인정보보호 관련 법규를 준수하고 개인정보처리자로서의 선량한 관리 의무를 다하기 위해서 내부적인 보완기준을 마련하여 동의서 미비 건에 대해 보완을 실시하고 있다.
정보주체의 진정한 동의 의사를 반영하고 동의의 본질에 맞는 서면 동의 절차를 구현하는 마지막 단계는 미흡한 동의서를 고객이 다시 작성하거나 또는 보완하는 시점이라 말할 수 있다.
효과적인 동의서 보완을 목표로 직원들의 적극적인 업무자세를 유동하기 위하여 개인정보보호 관련 영업점 성과평가와 연계하면 효과적인 동의서 보완이 이루어질 수 있다. A금융회사의 경우 미흡한 동의서 발생건수와 보완기간 내 동의서 미보완 건수를 평가하여 영업점 성과평가에 감점을 주는 방식으로 동의서 효과적인 보완 작업을 유도했다.
4.4 개선된 동의서 처리 절차 비교
기존 동의서 처리절차와 개선된 동의서 처리 절차의 비교를 위해 Fig.5.와 같이 정리하였다.
Fig. 5. Before/After improvement of processing agreements
개선 전 동의서 처리 절차에서는 고객이 작성한 서면 동의서에 대한 오류 여부 및 동의서 내용 검증을 영업점 현장에서 담당자 및 책임자가 직접 확인하는 절차에 그치는 반면, 개선된 동의서 처리 절차에서는 영업점 현장에서 직원에 의한 체크 이외에 별도로 거래 다음날에 신규 거래건과 신규 거래 시 투입된 동의서의 징구 여부 및 동의서 형식에 대한 오류 여부를 확인할 수 있는 검증 화면을 제공하고, 또한 본점 센터에서는 각 영업점에서 보내져온 실물 동의서 혹은 각 영업점에서 투입한 동의서 스캔 이미지를 바탕으로 일정기간 동안의 동의서에 대한 필수 기재사항에 대한 모니터링을 실시하고, 그 모니터링 결과를 영업점 성과지표 안내와 함께 영업점 앞 공문을 통해 빠른 보완을 요청하는 절차이다.
V. 발전된 동의 구현 모델 효과 검증
개선된 서면 동의 처리 절차 모델을 적용한 A금융회사 사례를 통한 개선효과 검증 결과는 다음과 같다.
5.1 동의서 징구 오류 검증을 통한 보완 효과 검증
A금융회사의 경우 동의서 징구 오류 검증을 위해 거래 처리 이후 동의서 징구 오류 여부를 확인할 수 있는 관리화면을 제공한 결과, 단순 징구 누락과 동의서 양식 오류 징구를 합산한 동의서 징구 오류율 변화를 확인해 보면, Table 4.에서 볼 수 있듯이 고객의 개인정보주체권을 강화하기 위해 동의서 양식을 세분화하고 구체화하면서 동의서의 종류가 증가한 2015년 03월 이후 동의서 징구 오류율은 2015년 03월 6.3%, 2015년 04월 5.1%로 동의서 징구 오류율이 평균 5.7 %로 나타났었다.
Table 4. Change of number of Agreement error rate
그러나 거래 처리 이후에 해당 거래와 동의서 실제 징구 여부 및 동의서 종류를 자동 대사하여, 동의서 징구 오류를 확인할 수 있는 관리 화면을 신설하여 영업점 앞 제공한 결과 동의서 징구 오류율이 2015년 05월 3.2%, 2015년 06월 2.1%, 2개월 평균 2.6%로 낮아졌다.
적용 전 2개월 평균 약 5.7% 정도에서 검증 절차 적용 후 약 2.6%로 3.1%가 낮아졌음을 확인할 수 있었으며, 적용 전 동의서 징구 오류율 대비 개선 효과가 있음을 알 수 있다.
5.2 동의 내용 모니터링을 통한 효과성 검증
A금융회사는 동의서에 필요한 필수 기재사항과 동의 내용 확인을 위하여 별도 본점 중앙센터에서 각 영업점에서 보내온 서면 동의 건에 대해, 오류가 많이 발생하는 고객등록 후 최초 예금 신규 거래와 만 14세미만 아동의 계좌 개설 건을 대상으로 모니터링을 실시하였다.
그 결과 Table 5.와 같이 보완대상 건을 확인하였다. 별도 자체 감사나 외부 감사를 통해 동의서를 검증하기 전에는 동의서 내용의 기재사항 적정성 여부에 대한 확인이 어렵고, 대상 동의서 건수도 많아 쉽게 검증을 하기는 어려운 상황이었지만, A금융회사는 동의서 내용 검증 절차를 통해 대상기간 총 점검 건수 대비 평균 약 3.2% 정도의 보완 건을 확인하였고, 이를 영업점 앞 통보하고 보완을 실시토록 하였다.
Table 5. Results of personal information agreement contents monitoring(A financial company)
5.3 영업점 성과지표 적용을 통한 보완 효과성 검증
보완해야할 동의서가 확인되어 영업점 앞 보완 요청을 하는 경우, 동의서 보완은 최대한 빠른 시기에 보완이 되어야 한다. 기존에는 동의서 모니터링 결과를 공문을 통해 영업점 앞 공문으로 보완을 지시하거나 교육을 실시하여 자율적인 자체 보완을 유도하였으나, 공문을 통한 보완 지시나 교육을 통해 보완기간 내 보완율을 높이는 데는 한계가 있다. 하지만, A금융회사의 경우 Table 6.과 같이 개인정보보호부문 영업점 성과평가 기준에 개인(신용)정보 동의서 모니터링 결과에 따른 보완결과를 성과평가기준에 추가하여 동의서의 미비사항을 보완기간 내 보완토록 적극적인 개선 노력을 하였다.
Table 6. Branch KPI(Key Performance Indicator) of part of personal information in the A financial company
성과지표 적용 전 보완기간 (1차 5일, 2차 3일) 내 보완 완료율이 2015년 03월 82.6%, 2015년 04월 85.0% 정도에 머물러, 총 보완 대상 건 중 평균 약 16% 정도는 자체 보완 기간 이후에도 최종 보완을 완료하기까지 장시간이 소요되는 경우가 발생하였던 반면 Table 7.에서 알 수 있듯이 영업점 성과지표를 적용한 2015년 05월은 보완기간 이내 보완 비율이 98.9%, 2015년 06월은 95.8% 로 2개월 평균 97.3% 정도의 보완을 완료하여 A금융회사가 자체 지정한 보완기간 내 보완이 이루어졌음을 알 수 있다. 나머지 미 보완건도 자체 설정한 보완기간 이후 동의서 보완을 완료하였으며 성과지표 적용 이전 보다 완료하는 소요시간이 짧아졌다.
Table 7. Rate of complementation after adaption of KPI
VI. 결론 및 향후 발전 방향
6.1 결론
최근 정보주체의 개인정보자기결정권을 강화하고, 진정한 동의를 이끌어내기 위해 정보주체의 입장에서 동의 내용을 쉽게 이해할 수 있도록 동의서의 양식을 개정하는 등의 노력을 했지만, 금융회사에서는 서면 동의를 처리하는 과정 중에 정보주체의 진정한 동의 의사라 판단하기 어려운 동의서가 여전히 수집 처리되고 있음을 언급하였다.
정보주체의 진정한 동의를 얻기 위해서는 동의 요건에 미비한 사항이 있을 때 사업자는 이를 검증해내고, 미비한 사항을 정보주체에게 알리고 이를 정보주체의 의사에 따라 보완할 수 있는 절차가 필요함을 이야기하였다.
서론과 본론에서 A금융회사 사례를 통한 개인정보 이용 동의 관련 서면 동의 처리 과정의 문제점을 확인하고, 동의의 본질이고 핵심인 정보주체인 고객의 진정한 동의 의사를 확인하기 위해, 동의서 징구 오류를 확인하고 동의서 필수항목 기재 내용을 확인 할 수 있는 검증 절차를 만들었고, A금융회사에 적용한 결과에 대한 효과분석을 실시하여 금융회사 내부의 서면 동의 처리 과정의 개선을 통한 개인정보 이용 동의 구현에 대한 효과성이 개선되었음을 주장하였다.
6.2 논문의 한계 및 발전 방향
금융회사의 특성상 법률에서 요구하고 있는 정보 주체의 동의와 관련하여 개인정보 이용 동의서 수집 현황과 보완이 필요한 서면 동의 건에 대한 현황 정보 등을 수집하기에는 어려움이 따른다. 대량의 동의서를 전수 조사한 사례가 많지 않으며, 별도로 서면 동의 내용을 검증하지 않으면 보완이 필요한 사항을 확인하기 쉽지 않기 때문이다. 개선모델 적용을 통해 동의서 미비사항을 체크, 보완할 수 있었던 A금융회사로 한정하여 분석할 수밖에 없었음을 밝히며, A금융회사 사례 분석과 효과분석을 통해 확인한 발전된 개인정보 이용 동의 처리 절차 모델에 대해 금융회사 전반적인 개선을 위한 일반화에 대한 연구는 좀 더 필요하다. 본 논문을 통해서 향후 금융회사가 개인정보 이용 동의 구현에 있어 고객의 실질적 동의 획득 노력과 함께 개인정보보호 관련 법규 준수를 위해 지속적인 노력을 기울였으면 한다.
References
- Act No. 13280, "Act on promotion of information and communications network utilization and information protection," Korea Communications Commission(KCC), Mar. 2015
- Act No. 13423, "Personal Information Protection Act, Ministry of Security and Public Administration," Jul. 2015
- "Examples of Violation in Personal Information Protection Act in 2013 the second half of the year," Ministry of Government Administration and Home Affairs, Jan. 2015
- Concept of Agreement, Doopedia
- Gun-bo Kwon, "Personal Information Own Rights in Information Object," ParkYeongSa, pp 3-35, 2014.
- Hye-kyeong Koo and Jong-yeon Na, "A study for improved process of consent form to reinforcement personal information own rights," Korean Society of Consumer Studies(KSCS), 14(5), pp. 263-267, May. 2014
- Soo-won Baek and Il-hwan Kim, "A study related to the consent for the personal information protection in private sector," The Institute of Legal Studies Sungkyunkwan University, 19(3), pp. 59-80, 2007
- "Study on effective guarantee of agreement rights about object of information," Personal Information Protection Commission(PIPC), 2013
- "A study on the improvement of consent procedure method according to collection of personal information and on the introduction of management grading system of personal information protection," Korea Communication Commission(KCC), 2014
- "Improving way to gathering personal information in private sectors," Privacy Information Protection Portal(PIPP), Oct. 2013
- Chan-mo Jeong, "Agreement in Personal Information Prevention of Information Object," The Institute of Legal Studies Inha University, 18(1), pp. 61-94, 2015
- "Comprehensive countermeasures of prevention of personal information leakage in financial part," Financial Services Commission(FSC), Mar. 2014
- Judgment by Supreme Court, "Announcement 2009다74007," Feb. 2010
- Judgment by Daegu District Court, "Announcement 97나5153," Apr. 1998