[ISMS-P] 손해나 사고에 따른 책임을 보장/이행하기 위한 조치 의무

가상자산이용자보호법 제8조(보험의 가입 등)

• 법령 요약:
  1. 가상자산사업자는 해킹ㆍ전산장애 등 대통령령으로 정하는 사고에 따른 책임을 이행하기 위하여 보험 또는 공제 가입, 준비금 적립 및 예치 또는 신탁의 조치를 취하여야 한다.
  2. 가상자산사업자는 매월 말일을 기준으로 보험 또는 공제의 보상한도, 준비금 적립액 및 예치ㆍ신탁금을 산정하여, 다음달 10일까지 보험 또는 공제의 보상한도 상향, 준비금 및 예치ㆍ신탁금 추가적립 등 필요한 조치를 하여야 한다.
• 보험 등의 총금액:
  보험 또는 공제의 보상한도, 준비금 적립액 및 예치ㆍ신탁금의 총합은 다음 각 호에서 정하는 금액 이상이어야 한다.
  1. 가상자산사업자가 보관 중인 이용자 가상자산 중 인터넷과 분리하여 보관하는 가상자산을 제외한 나머지 가상자산의 경제적 가치(가상자산 종류별로 보관 중인 총 수량에 최근 1년간 일평균 원화환산액을 곱한 금액의 총합)의 100분의 5에 상당하는 금액
  2. 30억원. 다만, 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 제7조제3항제2호 단서에 해당하는 가상자산사업자(가상자산과 금전의 교환 행위가 없는 경우 그 가상자산사업자)의 경우에는 5억원

개인정보 보호법 제39조의7(손해배상의 보장)

• 적용 대상: 개인정보처리자로서 다음 각 호의 요건을 모두 갖춘 자(시행령 제48조의7)
  1. 전년도(법인의 경우에는 직전 사업연도를 말한다)의 매출액등이 10억원 이상일 것
  2. 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 정보주체(제15조의3제2항제2호에 해당하는 정보주체는 제외한다. 이하 이 조에서 같다-소속된 임직원 제외)의 수가 일일평균 1만명 이상일 것. 다만, 해당 연도에 영업의 전부 또는 일부의 양수, 분할ㆍ합병 등으로 개인정보를 이전받은 경우에는 이전받은 시점을 기준으로 정보주체의 수가 1만명 이상일 것
• 적용 예외 대상:
  1. 대통령령으로 정하는 공공기관, 비영리법인 및 단체
     • 공공기관. 다만, 제2조제2호부터 제5호까지에 해당하는 공공기관으로서 제32조(개인정보 보호책임자의 업무 및 지정요건 등)제4항 각 호에 해당하는 공공기관은 제외한다.
     • 「공익법인의 설립ㆍ운영에 관한 법률」 제2조에 따른 공익법인
     • 「비영리민간단체 지원법」 제4조에 따라 등록한 단체
  2. 「소상공인기본법」 제2조제1항에 따른 소상공인으로서 대통령령으로 정하는 자에게 개인정보 처리를 위탁한 자(아래 요건을 모두 갖춘 자)
     • 「소상공인기본법」 제2조제1항에 따른 소상공인으로부터 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 개인정보의 저장ㆍ관리 업무를 위탁받은 자
     • 상기 위탁받은 업무에 대하여 법 제39조 및 제39조의2에 따른 손해배상책임의 이행을 보장하는 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 한 자
  3. 다른 법률에 따라 제39조 및 제39조의2에 따른 손해배상책임의 이행을 보장하는 보험 또는 공제에 가입하거나 준비금을 적립한 개인정보처리자
• 손해배상책임의 이행을 위한 보험 등 최저가입금액/최소적립금액:
  

정보통신망법 제46조(집적된 정보통신시설의 보호)

• 적용 대상: 집적정보통신시설 사업자는 집적된 정보통신시설의 멸실, 훼손, 그 밖의 운영장애로 발생한 피해를 보상하기 위하여 대통령령으로 정하는 바에 따라 보험에 가입하여야 한다.(위반 시 2천만원 이하 과태료 부과)
  1. 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 자(집적정보통신시설 사업자)
     • 운영ㆍ관리하는 집적된 정보통신시설의 전산실 바닥 면적이 500제곱미터 이상인 자
• 보험 가입 금액:
  

신용정보법 제43조의3(손해배상의 보장)

• 적용 대상: 신용정보회사등은 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다. 단, 500명 이상의 신용정보주체에 관한 개인신용정보를 수집ㆍ이용ㆍ처리하지 않는 자에 대하여는 적용하지 아니한다.
• 보험 또는 공제에 가입하는 경우의 그 최소 가입금액:
  1. 신용정보집중기관, 개인신용평가회사(전문개인신용평가회사는 제외한다), 개인사업자신용평가회사 등 : 20억원
  2. 전문개인신용평가회사, 기업신용조회회사, 본인신용정보관리회사 등 : 10억원
  3. 신용조사회사, 채권추심회사 등 : 5억원

전자금융거래법 제9조(금융회사 또는 전자금융업자의 책임)

• 적용 대상: 금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다.
  1. 접근매체의 위조나 변조로 발생한 사고
  2. 계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고
  3. 전자금융거래를 위한 전자적 장치 또는 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고
• 설정 금액: 보상한도는 전자금융거래 규모, 전자금융사고 발생 건수 등을 고려하여 다음 각 호에서 정하는 금액 이상으로 설정
  1. 「은행법」에 따른 인가를 받아 설립된 은행(지방금융회사 및 외국금융회사의 국내지점 제외), 농협은행, 중소기업은행 : 20억원
  2. 금융투자업자/증권금융회사/종합금융회사 중 자산이 2조원 이상인 회사, 수협은행, 신용카드업자, 체신관서, 한국산업은행, 지방금융회사, 외국금융회사의 국내지점 : 10억원
  3. 금융투자업자, 증권금융회사, 종합금융회사 및 명의개서대행회사(名義改書代行會社) 중 자산이 2조원 미만인 회사 : 5억원
  4. 제1호 부터 제3호 이외의 금융회사 : 2억원