신용정보 집중관리 기관은 금융사나 회원사로부터 고객정보를 건네받은 뒤 이를 가공해 다시 제공하는 협회, 연합회 등이다. 금융기관 전체로부터 개인신용정보를 받아 집중하는 '종합신용정보 집중기관'과 동일업종 금융기관이나 동일업종 소속 회원사로부터만 신용정보를 받는 '개별신용정보 집중기관' 등 두 종류가 있다. 이들 집중기관은 모두 금융위원회에 등록해야 하고 일정한 물적, 인적 규모를 갖춰야 한다.
현재 종합신용정보 집중기관은 전국은행연합회가 유일하며 개별신용정보 집중기관으로는 여신금융협회, 생명보험협회, 손해보험협회, 금융투자협회와 한국정보통신진흥협회가 있다.
은행연합회의 경우 은행 뿐 아니라 모든 권역의 금융사로부터 고객의 신용정보를 받아 금융사에 재서비스를 하고 있다. 예를 들면 은행연합회는 금융사들로부터 받은 고객의 신용정보를 갖고 있다가 금융사가 금융서비스를 해당 고객에게 제공할지 말지를 결정할 때 신용판단자료로 제공한다.
마찬가지로 카드론이나 자동차 할부구매를 할 때 여신금융협회는 카드사나 캐피털사에 고객의 신용정보를 제공한다. 보험협회는 보험가입시 보험사에 신용정보를 제공하고, 휴대전화 개통 때는 정보통신진흥협회가 고객정보를 통신사에 제공한다.
신용정보 집중기관을 두는 이유는 정보가 집중될수록 고객의 신용도를 정확히 평가할 수 있기 때문이다. 또한 개별 금융사나 권역을 넘어 신용정보를 집중하게 되면 고객의 도덕적 해이도 방지할 수 있다. A은행에서 대출을 받은 뒤 제때 갚지 않은 고객은 신용정보 집중기관이 제공하는 '통합 신용정보' 때문에 B카드사에서 카드론을 받을 수 없는 식으로 불량고객을 솎아낼 수 있다.
하지만 문제는 개인신용정보가 구체적인 기준없이 포괄적으로 집중기관에 모이고 있다는 점이다.
은행연합회의 경우 전체 금융사들이 제공하는 정보 뿐 아니라 공공기관, 지방자치단체들로부터도 개인신용정보를 거둘 수 있다. 건강보험료 납부실적이나 전기료 납부실적, 정부 납품실적, 국외 이주신고 내용까지도 받아볼 수 있다. 신용정보보호법도 하위법령으로 내려 갈수록 은행연합회가 수집할 수 있는 신용정보 범위를 더욱 포괄적으로 규정하고 있다.
예를 들어 시행령에는 성명, 주소, 주민번호와 대출연체, 카드 미결제 현황 등을 신용정보의 범위로 규정하고 있지만 금융위가 작성한 신용정보업 감독규정 시행세칙의 별지서식에는 국적, 연락처, 거래 이전 및 이후의 실적과 재산, 채무, 납세실적, 소득 등을 필수제공 정보로 포괄예시하고 있다.
보험협회의 경우도 금융위는 지난 2002년 집중가능한 신용정보의 수를 25종으로 정했다가 2012년에는 84종으로 확대했다.
이처럼 방대한 개인 신용정보가 공공기관이 아닌 '사업자들의 모임'에 집중된다는 것도 문제로 지적된다. 해외의 경우도 개인 신용정보를 집중하고 있지만 우리나라와는 달리 중앙은행 등 공공기관이 맡고 있다.
신용정보보호법상 집중기관이 되기 위해서는 영리목적의 단체가 아니어야 한다. 사업자들의 '이익단체'인 은행연합회나 보험협회가 집중기관으로 등록된 것은 '비영리 사단법인'의 형태를 띠고 있기 때문이다.
개인정보보호위원인 이은우 변호사는 "업자들의 모임인 은행연합회나 각종 협회가 '비영리 사단법인'이라는 점을 내세워 신용정보 집중기관으로 있는 것은 '눈가리고 아웅'하는 셈"이라며 "집중기관의 공공성이 떨어지는 것이 문제"라고 지적했다.
이 변호사는 또 "현재의 (법적) 시스템은 소비자에게 불리한 기형적 형태"라며 "언제 유출사고가 터질지 모르는 정보의 저수지와 같다"고 비판했다.