마이데이터 서비스 출시를 앞둔 금융데이터 사업자가 흩어진 수집항목과 전송요구권 처리 흐름을 정리하지 못해 신용정보법·개인정보보호법 위반 가능성을 우려하던 상황에서, 전 사업 구간의 데이터 흐름을 한 장의 데이터맵으로 재구성하고 동의서·제3자 제공·가명처리·위탁 보관 구조를 법령 기준으로 대조하여 위험 지점을 사전 정비함으로써 출시 전 규제 리스크를 해소한 자문 사례입니다.
사건 배경
서비스 출시 직전, 우리 회사 데이터가 어디로 흐르는지 그려지지 않는다면
이런 상황이신가요? 마이데이터 서비스 오픈 일정은 정해졌는데, 정작 어떤 정보를 어디서 받아 어디에 저장하고 누구에게 넘기는지 한눈에 정리된 문서가 없어 불안하셨다면, 이번 사례가 참고가 될 수 있습니다.
의뢰인은 개인의 금융·신용정보를 통합 조회해 자산관리 서비스를 제공하려는 본인신용정보관리업(마이데이터) 사업자였습니다. 개발과 제휴는 빠르게 진행되었지만, 수집 화면·API·제휴사 연동·내부 저장소·분석 시스템으로 정보가 흩어져 흐르면서 전체 데이터 흐름을 정리한 문서(데이터맵)가 존재하지 않는 상태였습니다.
문제는 이 공백이 단순한 관리 미비에 그치지 않는다는 점입니다. 신용정보의 이용 및 보호에 관한 법률(신용정보법)과 개인정보보호법은 수집 항목의 최소화, 전송요구권 처리 절차, 제3자 제공 시 동의, 가명처리 기준, 위탁·보관 시 관리 의무를 세세하게 규정합니다. 이를 위반하면 시정명령, 과징금·과태료, 나아가 사업 허가 단계에서의 불이익까지 이어질 수 있습니다. 의뢰인은 출시 이후 문제가 드러나는 상황을 막기 위해, 규제 구조를 정확히 짚어 사전 점검을 맡길 전문 인력이 필요하다고 판단했습니다.
데이터맵은 단순한 도식이 아니라, 회사가 어떤 정보를 어떤 근거로 처리하는지 스스로 설명할 수 있는지를 보여주는 최소한의 근거 자료입니다. 이 문서가 없으면 이후 감독기관 대응에서 “근거를 제시하지 못하는 회사”가 됩니다.
※ 이 사례는 의뢰인 동의 하에 공개되며, 개인정보 보호를 위해 특정이 가능한 정보는 모두 비식별화하였고, 일부 세부 사항은 각색되었을 수 있습니다. 법률사무소 번화 핀테크팀이 검토하였습니다.
주요 쟁점
- —수집 항목이 서비스 목적 범위를 넘어서는지 여부
- —전송요구권 처리 절차가 법정 요건을 충족하는지 여부
- —제3자 제공 동의 획득 방식의 적법 여부
- —가명처리·결합 절차가 신용정보법 기준에 부합하는지 여부
- —위탁·보관 구조의 관리 책임 소재 명확 여부
법률 전략
이번 자문의 흐름을 바꾼 지점은, 규정 문서를 먼저 손대지 않고 실제로 흐르는 데이터부터 전수 추적한 데 있었습니다. 문서상 처리방침과 현장의 데이터 흐름은 어긋나기 쉽기 때문에, 실측 자료를 먼저 확보한 뒤 법령과 대조하는 순서로 접근했습니다.
데이터 흐름을 전수 추적해 한 장의 지도로 재구성했다
수집 화면, 연동 API, 제휴사 전달 구간, 내부 저장소, 분석·마케팅 활용까지 정보가 지나가는 모든 지점을 항목 단위로 나열하고, 각 구간의 처리 근거·보관 기간·접근 권한을 표로 정리했습니다. 이렇게 만든 데이터맵은 이후 모든 검토의 기준선이 되었기 때문에, 논의가 추측이 아니라 실제 흐름 위에서 이뤄질 수 있었습니다. 다만 시스템이 자주 바뀌는 초기 서비스에서는 맵이 금방 낡을 수 있어, 갱신 주기를 함께 설계하지 않으면 효과가 반감됩니다.
수집항목과 동의서를 서비스 목적 단위로 재대조했다
정리된 항목을 서비스 목적별로 묶어, 목적 달성에 반드시 필요한 정보인지 하나씩 대조했습니다. 목적을 초과해 받고 있던 일부 항목은 삭제하거나 별도 선택 동의로 분리하도록 정비했고, 포괄적으로 뭉뚱그려져 있던 동의 문구는 수집 목적·항목·보유 기간·제3자 제공 여부가 구분되도록 다시 작성했습니다. 이 재대조가 유효했던 이유는, 감독기관이 가장 먼저 확인하는 지점이 바로 동의의 구체성과 목적 적합성이기 때문입니다.
전송요구권과 가명처리 구조를 법령 요건과 맞췄다
마이데이터의 핵심인 전송요구권 처리 절차가 신용정보법이 요구하는 방식·범위·철회 가능성을 충족하는지 점검하고, 미비한 절차는 보완안으로 정리했습니다. 통계·분석에 활용하던 가명처리와 데이터 결합 구간에 대해서는 처리 방법과 기록 보존 요건을 대조해 근거를 남기도록 했습니다. 이 부분은 절차 자체가 복잡해, 조직 규모가 작은 사업자의 경우 담당자 지정과 내부 기록 체계가 함께 갖춰지지 않으면 문서만으로는 실효를 확보하기 어렵습니다.
위탁·보관 구조를 정리하고 법률의견서로 남겼다
클라우드·외주 개발·제휴 정산 등 정보가 외부로 나가는 구간의 위탁 계약과 관리 책임을 점검하고, 책임 소재가 모호한 부분은 계약과 내부 기준에 반영하도록 했습니다. 마지막으로 데이터맵, 개인정보 처리방침 수정안, 동의서 개정안, 신용정보법 검토 의견서를 하나의 결과물로 묶어, 이후 감독 대응과 내부 점검에서 그대로 활용할 수 있게 정리했습니다.
점검 구간 | 확인된 쟁점 | 정비 방향 |
|---|---|---|
수집항목 | 목적 초과 항목 혼재 | 삭제·선택동의 분리 |
동의서 | 포괄적 문구 | 목적·항목·기간 구분 |
전송요구권 | 절차 요건 일부 미비 | 처리·철회 절차 보완 |
위탁·보관 | 책임 소재 불명확 | 계약·내부기준 반영 |
최종 결과
최종적으로 이 자문은 데이터맵·처리방침 수정안·동의서 개정안·신용정보법 검토 의견서를 갖춘 검토완료로 마무리되었습니다. 흩어져 있던 데이터 흐름이 한 장으로 정리되면서, 의뢰인은 출시 전에 목적 초과 수집·모호한 동의·절차 미비 지점을 미리 손볼 수 있었습니다. 이 사안의 의의는 두 가지입니다.
첫째
“규정을 갖췄다”와 “설명할 수 있다”는 다르다는 점을 보여준 사례입니다. 처리방침 문서만으로는 실제 데이터가 어떻게 흐르는지 증명되지 않으며, 감독 대응에서는 흐름을 근거와 함께 제시할 수 있는지가 관건이 됩니다.
둘째
출시 이후가 아니라 이전에 위험 지점을 정리했다는 점입니다. 이미 서비스가 돌아간 뒤 항목을 바꾸면 재동의·데이터 정리 부담이 크지만, 사전 정비는 그 비용을 크게 줄입니다.
전략과 결과의 연결은 분명합니다. 규정을 먼저 고치지 않고 실제 흐름을 먼저 추적한 접근이, 문서와 현실의 괴리를 드러내고 그 위에서 정비안을 세울 수 있게 했습니다. 법률사무소 번화는 이처럼 규제의 문언과 실무 작동을 함께 놓고 점검하는 방식을 택하며, 이번 사안에서도 그 접근이 사전 리스크 해소로 이어졌습니다. 유사 사건에서 놓치기 쉬운 포인트는, 데이터맵을 한 번 만들고 끝내는 것이 아니라 시스템 변경 시 갱신하는 체계까지 함께 마련해야 한다는 점입니다. 앞으로도 사업자의 구조를 정확히 이해한 상태에서 필요한 조력을 다하겠습니다.
마이데이터 서비스, 출시 전에 무엇을 준비해야 하나요?
데이터맵 작성이 가장 먼저입니다. 어떤 정보를 어디서 받아 어디로 보내는지 실제 흐름을 정리해야, 동의서와 처리방침이 현실과 맞는지 확인할 수 있습니다. 수집 항목이 서비스 목적을 넘어서지 않는지도 함께 점검해야 합니다. 비슷한 상황이라면 초기 자료 보전과 사실관계 정리가 결과에 직접 영향을 줄 수 있습니다. 법률사무소 번화에 사건 경위와 보유 자료를 함께 전달해 상담을 요청할 수 있습니다.
데이터맵은 꼭 만들어야 하나요? 도식만 그리면 되나요?
단순 도식이 아니라 각 구간의 처리 근거·보관 기간·접근 권한이 함께 정리된 문서여야 의미가 있습니다. 감독기관 대응이나 내부 점검에서 회사가 데이터 처리를 스스로 설명할 수 있는 근거가 되기 때문입니다. 도식만으로는 근거 제시가 어렵습니다.
포괄 동의서 하나로 받으면 안 되나요?
수집 목적·항목·보유 기간·제3자 제공 여부가 구분되지 않은 포괄 동의는 문제가 될 수 있습니다. 감독기관이 가장 먼저 확인하는 지점이 동의의 구체성이기 때문입니다. 목적별로 나누고 필수와 선택을 분리하는 정비가 필요합니다.
전송요구권 처리 절차에서 자주 놓치는 부분은 무엇인가요?
처리 방식과 범위는 갖춰 두면서 철회 절차와 기록 보존을 빠뜨리는 경우가 많습니다. 조직이 작으면 담당자 지정과 내부 기록 체계가 함께 없어 문서만 있고 실제 처리가 안 되는 상황이 생기기도 합니다. 절차와 운영을 같이 설계해야 합니다.
가명처리나 데이터 결합을 하려면 무엇을 준비해야 하나요?
처리 방법이 신용정보법 기준에 맞는지 확인하고, 처리 경위와 근거를 기록으로 남기는 체계가 필요합니다. 절차 자체가 복잡해 사전에 방법과 기록 요건을 대조해 두지 않으면 이후 소명이 어려워질 수 있습니다.
외주 개발·클라우드를 쓰면 책임은 어떻게 되나요?
정보가 외부로 나가는 구간은 위탁 계약과 관리 책임 소재를 명확히 해 두어야 합니다. 책임이 모호하면 사고 발생 시 회사가 관리 의무를 다했는지 다투기 어려워집니다. 계약과 내부 기준에 책임 범위를 반영하는 것이 안전합니다.
✍️ 작성: 법률사무소 번화 서준범 변호사
전문 분야: PG, 핀테크, 스타트업, 가상자산, AML, 전자금융
최종 검토: 2026. 03 본 업무사례는 핀테크 분야 서준범 변호사가 직접 검토하였습니다.
다른 성공 사례
1차 PG사의 2차 PG사 상대 80억 원대 약정금 청구, 전부 인용 판결 사례
메인 PG사가 서브 PG사, 하위가맹점, 그리고 연대보증인들을 상대로 약정금 및 지연손해금을 청구해 전부 인용 판결을 받은 사례. 카드취소가 대량 발생한 거래에서, PG 표준계약·할부거래법·카드 가맹점 표준약관·채권양도 구조를 하나의 청구 구조로 정리해 회수 가능성을 현실화했다는 것에 핵심 의의가 있음.
핀테크 금융규제 신속확인 신청서 작성 사례
의뢰인은 정산 자동화와 금융회사 API 연동 기능을 갖춘 핀테크 서비스를 출시하려던 사업자였고, 전자금융업 등록, 금융규제 샌드박스, 금융회사 위탁업무 해당성에 따라 서비스 일정이 지연될 위험이 있었으며, 서비스 구조도·자금흐름·이용자보호 장치·테스트 범위를 정리해 금융규제 신속확인 신청서를 작성했고, 그 결과 의뢰인은 규제 적용 여부를 묻는 공식 질의 구조와 후속 샌드박스 신청에 활용할 수 있는 기초자료를 확보했습니다.
금융소비자보호법 설명의무 작성 검토완료 사례
핀테크 서비스를 운영하는 의뢰인은 모바일 앱에서 유료 금융관리 기능을 제공하면서 설명자료, 이용약관, 수수료 고지, 환불정책이 서로 다르게 작성된 상황에 놓였습니다. 핵심 쟁점은 금융상품 판매·중개 성격이 있는 화면에서 이용자가 비용, 제한사항, 환불 조건, 민원처리 절차를 충분히 이해할 수 있도록 설명했는지였습니다. 법률사무소 번화는 앱 가입 흐름, 결제 전 화면, 약관 조항, 광고문구, 고객센터 답변 스크립트를 대조하여 설명의무 문서와 소비자보호 정책을 정리했고, 의뢰인은 서비스 출시 전 분쟁 가능성이 큰 문구와 절차를 줄이는 기준을 확보했습니다.
