CONTENTS Ⅰ 가이드라인개요 6 Ⅱ 기본원칙 10 Ⅲ 개인정보처리단계별원칙 개인 ( 신용 ) 정보수집 개인 ( 신용 ) 정보이용 개인 ( 신용 ) 정보제공 고유식별정보및민감정보의처리 개인 ( 신용 ) 정보처리업

Similar documents
개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

개인정보처리방침_성동청소년수련관.hwp

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

CONTENTS Ⅰ 가이드라인 개요 6 Ⅱ 기본원칙 10 Ⅲ 개인정보 처리단계별 원칙 개인(신용)정보 수집 개인(신용)정보 이용 개인(신용)정보 제공 고유식별정보 및 민감정보의 처리 개인(신용)정보 처리 업무 위탁

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이


개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

Zentralanweisung

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

[ 목차 ]

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

2015

Zentralanweisung

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>

목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 )

어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 -

1. 상수도사업본부 개인정보 처리방침(내용_ ).hwp

<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A728BFCDC0CCBFA1BDBAC0E5292E687770>

외이용등의목적, 목적외이용등을한개인정보의항목 제 4 조. 개인정보처리의위탁에관한사항 < 개인정보열람, 정정 삭제, 처리정지등청구절차 > 1 부산지방우정청은원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 청사관리및금융창구경비를위한업무위탁 : (

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법

개인정보 처리방침

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

2-A. 필수개인 ( 신용 ) 정보수집 이용 제공동의서 ( 여신금융거래 ) ( 주 ) 신한저축은행귀중 신한저축은행과의여신 ( 금융 ) 거래와관련하여신한저축은행이본인의개인 ( 신용 ) 정보를수집 이용하거나제 3 자에게제공하고자하는경우에는 개인정보보호법 제 15 조제 1

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인

암호내지

120330(00)(1~4).indd

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

제 4 조. 개인정보처리의위탁에관한사항 < 개인정보열람, 정정 삭제, 처리정지등청구절차 > 1 서울지방우정청은원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 청사관리및금융창구경비를위한업무위탁 : ( 재 ) 우체국시설관리단 2. 소포배달을위한업

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

제 2 편채권총론 제1장채권의목적 제2장채권의효력 제3장채권의양도와채무인수 제4장채권의소멸 제5장수인의채권자및채무자

2018년 10월 12일식품의약품안전처장

회사가추론할수있는개인정보또는정보주체를아는를통해얻은개인정보를 처리하기도합니다. 3) 회사는정보주체가제공한개인정보를상기의목적범위내에서이용하여야합니다. 다만, 다음의경우에는예외적으로목적범위를초과하여이용할수있습니다. 1 정보주체로부터별도의동의를받는경우 2 법률에특별한규정이있는

슬라이드 1

슬라이드 1

제공, 4대보험등법정보험의가입과근로기준법기타고용관계관련법령의준수, 균등한처우및기회제공, 보훈대상자확인및처우제공, 외국인근로자관련법령준수등회사에부과되는법적ㆍ행정적의무준수 E. 보안유지, 향상및점검 F. 향후회사영업의전부또는일부양도 ( 회사가포함된그룹의영업이양도되는경우포함

슬라이드 1

주식회사조비는 ( 이하 회사 라한다 ) 고객님의개인정보보호를모든업무절차의필수요소로 고려하고있으며, 개인정보보호법등관련법령상의개인정보보호규정을중시하고이를준수하 기위하여항상노력하는자세를견지하고있습니다. 회사는고객님의개인정보보호및권익을보호하고개인정보와관련한고객님의고충을원활하

개인

내부정보관리규정

약관

신광초등학교는개인정보보호법에따라이용자의개인정보보호및권익을보호 하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은 처리방침을두고있습니다. 제 1 조. 개인정보의처리목적및항목 개인정보는다음의목적을위해처리합니다. 처리한개인정보는다음의목적이외의 용도로는사용되지않으며이

< Personal Information Handlers’ Privacy Policy on Processing (Handling) of Personal Information>


2002report hwp

/ :24 문서보안을생활화합시다

슬라이드 1

구분수집 이용하려는항목개인정보의수집 이용목적보유및이용기간 형제관계및연락처, 사항을 학적사항, 사회자, 주례자 위한의사소통경로확보 등 예식진행관련연락처 고객의소리접수 필수성명, 성별, 이메일, 연락처 불만처리, 본인의사확인등원활한의사소통경로확보 접수후 3 년까지 급식위탁

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat

Pringles International Operations SARL 싱가포르지점개인정보처리방침 Pringles International Operations SARL 싱가포르지점 ( 이하 회사 라합니다 ) 는정보통신망이용촉진및정보보호등에관한법률및개인정보보호법등국내의개인

개인정보처리방침 (FC 부문 ) 한화호텔 & 리조트 는 ( 이하 회사 라함 ) 고객의개인정보를소중히다루며 개인정보보호법, 정보통신망이용촉진및정보보호등에관한법률 등개인정보관련법규를준수하고있습니다. 본방침은개인정보처리에관한사항을담고있습니다. 법령의제 개정이나회사의운영방침에

슬라이드 1

제2조 ( 처리하는개인정보의항목등 ) 진흥원이 SW산업정보종합시스템의회원가입, 각종서비스제공을위해 개인정보보호법 32조에따라등록ㆍ공개하는개인정보파일의처리목록은다음과같습니다. 1. 진흥원 SW산업정보종합시스템에서회원가입, 각종서비스제공을위해처리하는개인정보의항목및수집방법은

- 2 - 결혼생활 유지에 중대한 지장을 초래하는 정신질환 병력과 최근 10년간 금고 이상의 범죄경력을 포함하고, 신상정보(상대방 언어 번역본 포함)의 내용을 보존토록 하는 등 현행법의 운영상 나타나는 일부 미비점을 개선 보완함으로써 국제결혼중개업체의 건전한 영업을 유

진흥원은개인정보처리방침을변경하는경우에는시행의시기 변경된내 용을정보주체가쉽게확인할수있도록변경전 후를비교하여공개하 도록합니다 제 조 개인정보의처리목적 진흥원 산업정보종합시스템 은다음의목적을위해개인정보를처리합니다 처리하고있는개인정보는다음의목적이외의용도로는사용되지않으며 이용목

?.? -? - * : (),, ( 15 ) ( 25 ) : - : ( ) ( ) kW. 2,000kW. 2,000kW 84, , , , : 1,


<4D F736F F D20BCF6BDC3B0F8BDC35FBAEDB7A2B7CFB1DBB7CEB9FAB8D6C6BCBFA1BCC25F E646F63>

개인정보파일명제공목적제공근거 개인정보를 제공받는기관 제공받는 기관의 보유. 이용기간 개인정보 제공부서 국가장학금및학자금지원 한국장학재단설립등에관한법률제 50 조한국장학재단설립등에관한법률시행령제 36 조의 2) 한국장학재단 10 년장학취업팀 인사정보연말정산소득세법제 14

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

Microsoft PowerPoint - 6.pptx

한국교육개발원 주민등록번호, 학번, 성명, 국적, 학적변동일자, 전공, 입학정보, 학위번호, 졸업일자, 이메일, 출신고교 졸업생관리 년 1 회 병무청이름, 주민등록번호, 연락처, 주소, 직업, 군번, 복무사항예비군자원관리년 1 회 국가평생교육진흥원주민등록번호, 성명,

<C7D0BCFAC1A4BAB8BFF820C7D0BCFAC1A4BAB8BCADBAF1BDBA20B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>

평택시체육회회장선거관리규정 제정 제 1 장총칙 제1조 ( 목적 ) 제2조 ( 적용범위 ) 제3조 ( 선거관리위원회의설치및운영 ) - 1 -

제 1 장가이드라인개요 1. 적용대상및범위 목 제 1 장가이드라인개요 차 적용대상 : 뉴미디어서비스제공자및뉴미디어서비스이용자 - 뉴미디어서비스제공자 ( 이하 서비스제공자 라한다 ) 란정부통합전산센터 ( 클라우드컴퓨팅서비스 ), 다음 ( 마이피플 ), 네이버 ( 미투데이

목 차 Ⅰ. 조사개요 1 1. 조사배경및목적 1 2. 조사내용및방법 2 3. 조사기간 2 4. 조사자 2 5. 기대효과 2 Ⅱ. P2P 대출일반현황 3 1. P2P 대출의개념 3 2. P2P 대출의성장배경 7 3. P2P 대출의장점과위험 8 4. P2P 대출산업최근동향

제2조 ( 개인정보의처리및보유기간 ) 1 관세청은법령에따른개인정보보유 이용기간또는정보주체로부터개인정보를수집시에동의받은개인정보보유 이용기간내에서개인정보를처리 보유합니다. 2 각각의개인정보처리및보유기간은다음과같습니다. 1. 민원사무처리 : 민원처리종료후 3년 2. 정보통신

Ⅰ 감사개요 1. m, m (K-CRM 1) ) 12,808 (,, ). 2. m - : (5 ) - ; (9 ) m : m : 10 ( 5 ) m : 5 1) K-CRM (Kosha Knowledge-Cus

연금저축손해보험 스마트연금보험 1303

<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>

농업정책보험금융원임직원행동강령 제정 개정 개정 개정 개정 개정 개정 제1장총칙

명동예술극장 개인정보 처리방침

목 차 Ⅰ 개인정보보호법주요내용 Ⅱ I-PIN, My-PIN 활용 Ⅲ 개인정보보호를위한사업자수칙

2016년 신호등 4월호 내지A.indd

170523_(주)ë°±ê¸‹í‰°ìŁ¤ìŠ’ìš´ ë‡´ë¶•ì€Łë³´ê´•ë¦¬ê·œì€Ł( ê°œì€Ł)⟖

<37322DC0CEB1C7BAB8C8A3BCF6BBE7C1D8C4A2C0C7B0DFC7A5B8ED5B315D2E687770>

김포시종합사회복지관개인정보보호관리지침 제정일 제 1 장총칙 제 1 조 ( 목적 ) 김포시종합사회복지관개인정보보호관리지침은개인정보보호법제29조 ( 안전조치의무 ) 내부관리계획의수립및시행의무에따라제정된것으로김포시종합사회복지관을이용하는이용자, 근로자, 후원자


< FBFACBECFB0F8B0FAB4EBC7D0B1B320B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>

2-1-3.hwp

<4D F736F F D205BBAB0C3B72E315D20B0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A72E646F63>

확정급여형3차

학부모서비스신청자명단 교육기본법제 23 조의 3 학부모의자녀정보열람 기타 ( 학부모성명, 학부모생년월일, 이메일, 전화번호, 주소, 자녀성명, 생년월일, 신청자와의관계 ) 회원탈퇴시까지 (2 년 ) 온라인 학교생활기록부 초중등교육법제 25 조, 학교생활기록작성및관리지침

내지(교사용) 4-6부

해설서-앞(웹사이트개발운영을위한개인정보안내서)


제2조 : 수집하는개인정보의항목 " 인터텍 " 은고객에게다양하고편리한서비스를제공하고, 고객본인확인을위해다음의방법을통해개인정보를수집하고있습니다. 1) 수집하는개인정보의항목 - 필수항목 : 성명, 연락처, 이메일주소, 직장명, 부서명, 직급 제3조 : 개인정보의수집방법및이

개인정보란? 개인위치정보란? 1 2 서비스기획및 UX 담당자를위한가이드라인 본론으로들어가기전에여기서잠깐! 개인정보란? 개인위치정보란? 이용자의개인정보및프라이버시보호는서비스기획단계부터반영이되어야합니다. 개인정보란생존하는개인에관한정보로서성명, 주민등록번호등에의하여특정개인을

(Microsoft PowerPoint - privacy_learn_5.ppt [\310\243\310\257 \270\360\265\345])

처리하는모든개인정보는개인정보보호법등관련법령상의개인정보보호규정을준수하여수집 보유 처리되고있습니다 진흥원은개인정보보호법에따라이용자의개인정보및권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다 진흥원은 소프트웨어산업진흥법 제 조 소프트웨

<312E20C0AFC0CFC4B3B5E55F C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

경매보증보험 보통약관 잉여없는매수신청담보용 Ⅰ. 피보험자관련사항 제 1 조 ( 보상하는손해 ) 우리회사 ( 이하 " 회사 " 라합니다 ) 는압류채권자인보험계약자가보험증권에기재된강제경매또는임의경매 ( 이하 " 경매 " 라합니다 ) 에서일정가격에맞는매수신고가없는경우에보험계


Transcription:

CONTENTS Ⅰ 가이드라인개요 6 Ⅱ 기본원칙 10 Ⅲ 개인정보처리단계별원칙 16 1. 개인 ( 신용 ) 정보수집 16 2. 개인 ( 신용 ) 정보이용 20 3. 개인 ( 신용 ) 정보제공 22 4. 고유식별정보및민감정보의처리 25 5. 개인 ( 신용 ) 정보처리업무위탁 28 6. 영업양도 양수에따른개인 ( 신용 ) 정보이전 32 7. 개인 ( 신용 ) 정보의안전한관리 34 8. 개인정보처리방침수립 공개 41 9. 개인정보보호책임자지정 44 10. 개인 ( 신용 ) 정보의파기 46 11. 정보주체의권리보장 49 12. 개인 ( 신용 ) 정보유출시조치방법 53

금융분야개인정보보호가이드라인 Ⅳ 업종별개인정보처리사례 58 1. 공통 58 2. 은행 64 3. 보험 67 4. 증권 71 참고 1. 개인정보보호관계법령 2. 관련서식

Ⅰ 가이드라인개요 >> 금융분야개인정보보호가이드라인

I 가이드라인개요 금융분야개인정보보호가이드라인 1. 발간배경 2. 발간목적 3. 가이드라인구성 4. 가이드라인활용및저작권표시

Ⅰ 가이드라인개요 >> 금융분야개인정보보호가이드라인 1. 발간배경개인정보보호에대한사회적요구증가 개인정보의오 남용이나해킹등을통한유출사건이발생함에따라개인정보보호강화를위한제도적장치마련필요성증가 11.3.29일국가사회전반의개인정보처리에대한일반적원칙과기준을규율하는 개인정보보호법 제정 ( 11.9.30일시행 ) 금융기관의개인정보보호를위한명확한기준제시필요 금융분야는원활한금융거래를위한정보보호제도의필요성을인지하여일찍부터신용정보법 ( 95), 금융실명법 ( 97), 전자금융거래법 ( 07) 등금융관련법령을통해개인정보보호에관한제도를운영해왔음 그러나, 11.9월부터국가사회전반의개인정보보호원칙을규율하는개인정보보호법이시행됨에따라기존금융관련법령과중첩되는내용이나새롭게적용되는내용등과관련하여금융업담당자들의실무상혼란을방지할수있도록명확한기준을제시할필요 2. 발간목적금융업무담당자의개인정보처리지원 관계법령의제정취지및내용, 업종별특수성등을종합적으로고려, 금융업담당자가실무에참고할수있는개인정보처리기준제시 6

e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e h? h? h? h? h? h???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??e 개인정보보호법조기정착 은행, 보험, 증권등금융분야의단계별개인정보처리기준및유의사항을관련질의응답사례등을통해이해하기쉽게설명 3. 가이드라인구성 금융분야의개인정보를안전하게관리하도록하기위하여본가이드라인에서소개하는주요내용은다음과같음 Ⅰ 가이드라인개요 - 개인정보의개념및보호원칙 - 개인정보처리단계별관리 : 수집, 이용, 제3자제공, 위탁, 보관, 파기등 - 금융분야업종별개인정보처리사례 : 공통, 은행, 보험, 증권, 기타등 또한금융권의개인정보처리방침수립및이행을위한참고자료로관련서식 ( 예시 ) 및개인정보보호관계법령소개 4. 가이드라인활용및저작권표시 본가이드라인의저작권은안전행정부, 금융위원회, 금융감독원에있음 누구나개인정보보호교육및안내등의목적으로이가이드라인을활용 ( 인용 편집포함 ) 할수있으며 - 이러한경우아래와같이출처및저작권표시 출처 : 금융분야개인정보보호가이드라인 (2013.7) g g g g g g???????? 금융분야개인정보보호가이드라인 7

Ⅰ 가이드라인개요 >> 금융분야개인정보보호가이드라인

II 기본원칙 금융분야개인정보보호가이드라인 1. 법적용원칙 2. 개념정리및법적용관계 3. 개인정보보호일반원칙

Ⅱ 기본원칙 >> 금융분야개인정보보호가이드라인 1. 법적용원칙 개인정보보호법은국가사회전반의개인정보보호와관련한일반적원칙과기준을규정하고있으며다른법령에서특별히규정하는사항이있으면이에따르도록하고있음개인정보보호법제6조 ( 다른법률과의관계 ) 개인정보보호에관하여는 정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 이라함 ), 신용정보의이용및보호에관한법률 ( 이하 신용정보법 이라함 ) 등다른법률에특별한규정이있는경우를제외하고는이법에서정하는바에따른다. 2. 개념정리및법적용관계 1) 개념구분 개인정보 란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보를말함 - 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함 위그림은개인정보보호법과신용정보법에따른정보의개념을도식화한것으로서기타금융관계법령 ( 전자금융거래법, 금융실명법등 ) 에서별도로규정하는사항은포함되지않았음 10

개인신용정보 란신용정보중개인의신용도와신용거래능력등을판단할때필요한정보로서기업및법인에관한정보를제외한개인에관한신용정보를말함 신용정보 는금융거래등상거래에있어서거래상대방의신용을판단할때필요한정보. 다만, 신용정보법시행령제2조제1항단서에따라신용정보에해당되지않는정보는제외개인신용정보의종류 1. 특정신용정보주체를식별할수있는정보 - 개인의성명, 주소, 주민등록번호, 외국인등록번호, 여권번호, 성별, 국적및직업등에관한사항 (2 호 ~5 호까지의어느하나에해당하는정보와결합되는경우만해당 ) Ⅱ 기본원칙 2. 신용정보주체의거래내용을판단할수있는정보 - 개인의대출, 보증, 담보제공, 당좌거래 ( 가계당좌거래포함 ), 신용카드, 할부금융, 시설대여와금융거래등상거래와관련하여그거래의종류, 기간, 금액및한도등에관한사항 3. 신용정보주체의신용도를판단할수있는정보 - 금융거래등상거래와관련하여발생한개인의연체, 부도, 대위변제, 대지급과거짓, 속임수, 그밖의부정한방법에의한신용질서문란행위와관련된금액및발생 해소의시기등에관한사항 4. 신용정보주체의신용거래능력을판단할수있는정보 - 금융거래등상거래에서신용거래능력을판단할수있는개인의재산 채무 소득의총액및납세실적 5. 1호부터 4호까지와유사한정보 - 개인과관련한법원의심판 결정정보, 조세또는공공요금등의체납정보, 주민등록에관한정보, 행정처분에관한정보중금융거래등상거래와관련한정보및기타신용정보주체의신용등급등에관한사항으로서금융위원회가고시하는정보 법인에관한정보가개인정보에해당하는지? - 법인등록번호등법인에관한정보는개인정보보호법적용대상이아니지만, 임원, 직원등의정보는개인정보에해당하므로필요한조치를하여야함 - 다만, 법인등기부등본, 사업자등록증그자체는개인에대한정보가아니라법인이나사업체정보로볼수있으므로, 비록대표자의성명등개인정보가일부포함되어있더라도개인정보보호법상개인정보로볼수없음 금융분야개인정보보호가이드라인 11

2) 적용법률 개인신용정보 - 신용정보법을우선적용하고신용정보법에규정되어있지않은사항은개인정보보호법을적용하되, 전자금융거래법, 금융실명법등개별법에서특별히정하는사항에대해서는해당법률적용 개인신용정보를제외한개인정보 ( 이하 그밖의개인정보 라한다 ) - 금융실명법, 은행법등개별법률에서특별히정하는사항 * 을우선적용하고, 특별히정하지않은사항에대하여는개인정보보호법적용 * ( 예시 ) 금융실명법 ( 3), 은행법 ( 35 의 5), 자본시장법 ( 189), 금융지주회사법 ( 48 의 2) 등 신용정보중기업 법인에관한정보 ( 이하 그밖의신용정보 라한다 ) - 신용정보법을우선적용하되, 신용정보법미적용업종은개별법률적용 신용정보법은신용정보제공이용자, 신용정보집중기관및신용정보회사에대하여적용 개인신용정보수집이용제공고유식별정보처리민감정보처리위탁이전안전성조치개인정보처리방침개인정보책임자파기정보주체의권리보장유출신고및통지 적용법률 신용정보법 15, 16 개인정보보호법 15 신용정보법 323 4, 33, 34 신용정보법 32, 34 ( 수집시 ) 신용정보법 15, 개인정보보호법 24 ( 이용 제공시 ) 신용정보법 32~ 34 ( 수집시 ) 신용정보법 16, 개인정보보호법 23 ( 이용 제공시 ) 신용정보법 32~ 34 신용정보법 17 신용정보법 32 신용정보법 19 개인정보보호법 243 신용정보법 201 신용정보법 202 신용정보법 182 개인정보보호법 21 신용정보법 37, 38 개인정보보호법 34 12

3. 개인정보보호일반원칙 개인정보처리시에는개인정보보호법에따라정보주체의 개인정보자기결정권 을보장할수있도록처리해야함 - 이를위해개인정보의수집 이용 제공등이정보주체의동의등정당한절차에의하여이루어지고 - 개인정보가내부자의고의나관리부주의또는외부의공격으로인해유출 변조 훼손되지않도록안전하게관리되어야함개인정보자기결정권 Ⅱ 기본원칙 - 자신에관한정보가어떤목적으로, 언제, 어느범위까지타인에게전달되고이용될수있는지를해당정보주체가스스로결정할수있는권리로서 - 자신의개인정보수집출처, 처리목적에대해고지받을권리와개인정보의정정및삭제, 이의제기등을할수있는권리를포함함 OECD 권고를반영하여개인정보보호법제 3 조에서는개인정보보호일반원칙을 아래와같이규정 개인정보보호원칙 개인정보보호법목적에필요한최소한범위안에서적법하고정당하게수집처리목적범위안에서정확성 안전성 최신성보장처리목적의명확화필요목적범위안에서적법하게처리, 목적외활용금지정보주체의권리침해위험성등을고려, 안전성확보개인정보처리사항공개열람청구권등정보주체의권리보장개인정보처리자의책임준수 실천, 신뢰성확보노력 OECD 가이드라인수집제한의원칙정보정확성의원칙목적명확화원칙이용제한의원칙안전보호의원칙공개의원칙개인참여의원칙책임의원칙 금융분야개인정보보호가이드라인 13

Ⅰ 가이드라인개요 >> 금융분야개인정보보호가이드라인

III 개인 ( 신용 ) 정보처리단계별원칙 금융분야개인정보보호가이드라인 1. 개인 ( 신용 ) 정보수집 2. 개인 ( 신용 ) 정보이용 3. 개인 ( 신용 ) 정보제공 4. 고유식별정보및민감정보의처리 5. 개인 ( 신용 ) 정보처리업무위탁 6. 영업양도 양수에따른개인 ( 신용 ) 정보이전 7. 개인 ( 신용 ) 정보의안전한관리 8. 개인정보처리방침수립 공개 9. 개인정보보호책임자지정 10. 개인 ( 신용 ) 정보의파기 11. 정보주체의권리보장 12. 개인 ( 신용 ) 정보유출시조치방법

Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 >> 금융분야개인정보보호가이드라인 1 적용원칙 개인 ( 신용 ) 정보의수집에대하여는신용정보법제15조및제16 조, 개인정보보호법제15조에따라야함 민감정보 ( 건강에관한정보, 범죄경력정보등 ) 와고유식별정보 ( 주민등록번호, 여권번호등 ) 의수집에대하여는본가이드라인 25~27쪽참조 개인 ( 신용 ) 정보수집원칙 개인 ( 신용 ) 정보중정보주체와의계약체결및이행에불가피한정보와거래상대방의신용도와신용거래능력등을판단할때필요한정보는정보주체의동의를받지않아도수집가능 - 단, 관계법령및정관에서정한업무범위에서수집 조사의목적을명확하게하고그목적달성에필요한범위에서합리적이고공정한수단을사용하여야함 위내용은정보주체로부터개인 ( 신용 ) 정보를직접수집하는경우에한하며제3자로부터개인 ( 신용 ) 정보를수집하는경우에는본가이드라인 19쪽참조 위와같이개인 ( 신용 ) 정보수집시동의를요하지않는경우를제외하고원칙적으로개인 ( 신용 ) 정보는정보주체의동의를받아수집 - 정보주체에게 1수집 이용의목적, 2수집항목, 3보유및이용기간, 4동의거부권이있다는사실및동의거부시의불이익이있다면그내용을모두알리고동의를받아야함 만14 세미만의정보주체로부터동의를받고자할경우개인정보보호법에따라법정대리인에게고지사항을모두알리고동의를받아야함 금융기관이정보주체로부터직접수집한정보외에업무수행과정에서생성한정보 ( 금융거래내역등 ) 도개인 ( 신용 ) 정보의 수집 행위에해당 16

- 따라서, 정보주체와의계약또는거래에불필요한정보를생성하고자하는경우에는해당정보주체의동의를받아야함 개인정보수집시정보주체의동의를요하지않는경우는? 1 법률에특별한규정이있거나법령상의무준수를위해불가피한경우 은행법제52조의2에따른불공정영업행위금지에관한사항을준수하기위해연락처, 계좌번호등개인정보를수집하는경우등 2 계약의체결및이행을위하여불가피하게필요한경우 계좌이체거래를위해서수신자의계좌번호를수집하는경우, 보험계약체결을위하여고객의성명, 연락처등개인정보를수집하는경우, 계약의특성상거래상대방의신용도와신용거래능력등판단이필요한금융거래의경우등 3 의사불능, 주소불명등으로사전동의를받을수없는경우로, 명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 의식불명, 재난상태에따른고립, 주소불명, 연락처불분명등불가피한사유로사전에동의를받을수없는경우해당 다만사전동의를받을수있는경우나급박하지않은경우는해당하지않음 4 정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우 금융기관이향후소송이나분쟁이예상되는민원에대하여민원제기내역및대처기록등의자료를기록 보관 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 개인정보수집에대하여정보주체의동의를받을때는? - 수집 제공, 목적외이용 제공, 고유식별정보처리, 민감정보처리, 마케팅이용등각각동의사항을구분하여정보주체가이를명확하게인지할수있도록알리고각각동의 - 정보주체의동의없이처리할수있는개인정보와정보주체의동의가필요한개인정보를구분하여야함 - 홍보하거나판매를권유하기위하여동의를받으려는때에는정보주체가이를명확하게인지할수있도록알리고동의를받아야함 - 개인정보처리자는정보주체가선택적으로동의할수있는사항을동의를하지않았다는이유로정보주체에게기본적인서비스의제공을거부할수없음 금융분야개인정보보호가이드라인 17

수집시주의사항 개인 ( 신용 ) 정보를수집할때에는목적을명확히하고, 그목적달성에필요한최소한의정보를합리적으로공정한수단을통해수집하여야함 - 필요최소한의정보인지여부에대한입증책임은금융기관이부담 - 필요최소한의정보외의개인 ( 신용 ) 정보수집에동의하지않는다는이유로고객에게기본적재화및서비스제한등의불이익을주어서는안됨 신용정보회사등은신용정보와관계없는사생활에관한정보, 확실하지않은개인신용정보, 다른법률에따라수집이금지된정보등신용정보법제16조에따라수집이금지되는정보를수집할수없음 필수정보와선택정보? - 계약의체결및이행을위하여불가피하게필요한정보에해당하여정보주체동의없이수집 이용할수있는필수정보의범위는해당계약의구체적목적과내용에따라개인정보처리자의입증책임하에개별적으로판단하여야함 - 다만, 해당계약의체결 이행과직접적인관계가없는부가적인서비스제공또는상품소개 구매권유등의목적으로수집하는정보는필수정보로볼수없으므로해당정보주체의동의없이이를수집 이용할수없음 ( 예시 ) 필수정보및선택정보 필수정보 - 가입제한이없는거래 : 성명, 연락처 ( 집또는직장주소, 유무선전화번호, 이메일중선택가능 ) - 가입제한이있는거래 : 가입자격을증명할수있는정보 ( 특정직종종사자나특정자격요건에해당하는자를가입대상으로하는금융상품의경우는해당가입자격을증명할수있는정보 ) 금융실명법에따라실명확인의무가있는금융거래의경우에는주민등록번호도필수정보에포함 선택정보 - 부가서비스제공을위한정보 : 금리혜택, 수수료면제, 자산관리 - 마케팅홍보를위한정보 : 다른상품에대한홍보및구매권유 18

정보주체가아닌제3자로부터수집하는경우 금융기관이정보주체가아닌다른사람또는기관을통해개인 ( 신용 ) 정보를수집하거나제공받는경우에는해당정보가적법하고적정한수단에의해수집된정보인지를확인하는것이바람직 - 의심되는정황이있는경우개인 ( 신용 ) 정보제공자에게동의사실을증명할수있는자료제출을요구하거나정보주체의동의여부확인을요청 부정한수단이나방법으로그개인정보를수집한사정을알면서도제공받은경우에는개인정보보호법제71조제5호위반에따른처벌이적용될수있음 개인 ( 신용 ) 정보의부정수집에가담하거나부정수집된개인 ( 신용 ) 정보인것을알면서도취득해서는안됨 ( 예시 ) 금융회사의개인정보수집서식정비우수사례 필수정보와선택정보를구분하여표시 별도의칸, 색상, 문자형태등으로구분하여표시 수집목적을명확히하고불필요한개인정보의수집을최소화 개인정보의수집이용목적을구체적으로적시하고, 당해목적수행에불필요한개인정보수집항목은삭제 제3 자제공에관한고지사항을구체적으로표시 개인정보를제공받는자, 제공받는자의이용목적, 제공하는항목, 보유및이용기간등을명확히표시 예시 ) 관련제휴사등 과같이포괄적으로표시하지않고구체적으로해당업체명을기재, 특히마케팅목적제공에대하여는고객이명확히인지할수있도록구체적으로표시 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 보유기간및이용기간을명확히표시 제휴회사의마케팅활용목적이포함된개인정보제공동의서에당해제휴회사가그개인정보를보유이용할수있는기간을특정하여명확히기재 예시 ) 계약체결후 3 년, 개인정보수집일로부터 1 년등 금융분야개인정보보호가이드라인 19

2 적용원칙 개인신용정보는신용정보법제32 조 제33 조 제34 조에따라이용할수있으며, 그밖의개인정보는개인정보보호법제15 조및제18 조에따라이용가능 개인신용정보의이용및제한 개인신용정보는해당신용정보주체가신청한금융거래등상거래관계의설정및유지여부등을판단하기위한목적으로만이용하여야함 다만, 다음의어느하나의경우에는목적외이용가능 ( 신용정보법제33조 ) 1. 개인이제32 조제1항각호의방식으로이조각호외의부분본문에서정한목적외의다른목적에의이용에동의한경우 2. 개인이직접제공한개인신용정보 ( 그개인과의상거래에서생긴신용정보를포함한다 ) 를제공받은목적으로이용하는경우 ( 상품과서비스를소개하거나그구매를권유할목적으로이용하는경우는제외한다 ) 3. 제32 조제4항각호의경우 < 본가이드라인 23 쪽. 신용정보법제32 조제4항각호참조 > 개인신용정보의조회 신용조회회사또는신용정보집중기관으로부터개인신용정보를조회하려는자는다음의사항들을알리고서면등의방법으로동의를받아야함 ( 신용정보법제32조제2항및제3항 ) 1 제공하는자, 2 제공받는자의이용목적, 3 제공받는개인신용정보의항목, 4 제공받는것에대한동의의효력기간 신용조회회사및신용정보집중기관은해당개인신용정보를제공받으려는기관이동의를받았는지확인해야함 20

그밖의개인정보 의이용및제한 개인정보를이용하는경우개인정보는당초수집한목적범위내에서이용가능 ( 개인정보보호법제15조 ) 본가이드라인 16 쪽 1. 개인 ( 신용 ) 정보수집참조 당초수집목적외로이용하는경우정보주체의별도동의를받아야함 - 다만, 다음의어느하나에해당하는경우정보주체의별도동의가없어도개인정보를목적외로이용가능 ( 개인정보보호법제18조 ) Ⅲ 1. 다른법률에특별한규정이있는경우 2. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 3. 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 4. 개인정보를목적외의용도로이용하거나이를제3자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 5. 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 개인 ( 신용 ) 정보처리단계별원칙 6. 범죄의수사와공소의제기및유지를위하여필요한경우 7. 법원의재판업무수행을위하여필요한경우 8. 형 ( 刑 ) 및감호, 보호처분의집행을위하여필요한경우 4호 ~8 호까지는공공기관인금융기관에서개인정보를이용하는경우만적용 - 이경우목적외로이용하는경우라도정보주체또는제3자의이익을부당하게침해할우려가없어야함 금융분야개인정보보호가이드라인 21

3 적용원칙 개인신용정보는신용정보법제32 조및제34 조에따라제공할수있으며, 그밖의개인정보는개인정보보호법제17 조및제18 조에따라제공가능 개인신용정보의제공 신용정보제공 이용자는개인신용정보를타인에게제공하려는경우원칙적으로신용정보법제32조제1항에따라정보주체에게미리동의를받아야함 - 동의를받는경우다음사항을모두알리고동의를받아야함 1 제공받는자, 2 제공받는자의이용목적, 3 제공하는개인신용정보내용, 4 제공받는자의개인신용정보보유및이용기간 동의를얻는수단은? 1. 서면 2. 공인전자서명이있는전자문서 3. 개인신용정보의제공내용및제공목적등을고려하여정보제공동의의안정성과신뢰성이확보될수있는유무선통신으로개인비밀번호를입력하는방식 4. 유무선통신으로동의내용을해당개인에게알리고동의를받는방법. 이경우본인여부및동의내용, 그에대한해당개인의답변을음성녹음하는등증거자료를확보 유지하고사후고지 ( 신용정보법제32조제1항 ) 유무선통신에는 PDA, 스마트폰등유무선통신기기활용등포함 동의방식의특성상동의내용을전부표시하거나알리기어려운경우에는해당기관의인터넷홈페이지주소나사업장전화번호등동의내용을확인할수있는방법을안내하고동의를받을수있다.( 신용정보법시행령제28조제2항 ) - 개인신용정보를제공한신용정보제공 이용자는미리동의를받았는지에대한다툼이있는경우이를증명하여야함 22

다만, 신용정보법제 32 조제 4 항에서정하고있는바에따라동의없이제공가능 1. 신용정보회사가다른신용정보회사또는신용정보집중기관과서로집중관리 활용하기위하여제공하는경우 2. 계약의이행에필요한경우로서제17 조제2항에따라신용정보의처리를위탁하기위하여제공하는경우 3. 영업양도 분할 합병등의이유로권리 의무의전부또는일부를이전하면서그와관련된개인신용정보를제공하는경우 4. 채권추심 ( 추심채권을추심하는경우만해당한다 ), 인가 허가의목적, 기업의신용도판단, 유가증권의양수등대통령령으로정하는목적으로사용하는자에게제공하는경우 5. 법원의제출명령또는법관이발부한영장에따라제공하는경우 6. 범죄때문에피해자의생명이나신체에심각한위험발생이예상되는등긴급한상황에서제5호에따른법관의영장을발부받을시간적여유가없는경우로서검사또는사법경찰관의요구에따라제공하는경우. 이경우개인신용정보를제공받은검사는지체없이법관에게영장을청구하여야하고, 사법경찰관은검사에게신청하여검사의청구로영장을청구하여야하며, 개인신용정보를제공받은때부터 36 시간이내에영장을발부받지못하면지체없이제공받은개인신용정보를폐기하여야한다. 7. 조세에관한법률에따른질문 검사또는조사를위하여관할관서의장이서면으로요구하거나조세에관한법률에따라제출의무가있는과세자료의제공을요구함에따라제공하는경우 8. 국제협약등에따라외국의금융감독기구에금융회사가가지고있는개인신용정보를제공하는경우 9. 그밖에다른법률에따라제공하는경우 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 - 이경우개인신용정보의제공사실및이유등을신용정보법시행령제28조제9항에따라서면, 전화 ( 휴대전화문자메시지를포함 ), 전자우편또는금융위원회가정하여고시하는방법으로해당정보주체에게알려야함 - 다음어느하나에해당하는경우인터넷홈페이지나게시판에의게재또는사무실 점포등에서의비치 열람등의방법으로대신할수있음 1. 신용정보회사등의고의또는과실없이신용정보주체의주소또는거소등을알수없는경우 2. 신용정보의특성, 제공대상자, 제공경위및제공목적등을고려하여공시하는것이적정하다고금융위원회가인정하여고시하는경우 ( 법제32 조제4항제1호부터제3호까지및제7 호에따른정보만해당한다 ) 금융분야개인정보보호가이드라인 23

그밖의개인정보의제공 개인정보를제공하는경우에도원칙적으로동의 ( 목적외제공은별도동의 ) 를받아야하나, - 다음의어느하나에따라수집된개인정보는당초수집목적범위내에서정보주체의동의없이제공가능 ( 개인정보보호법제17조 ) 1. 법률의특별한규정또는법령에서정하는의무준수를위해불가피한경우 2. 공공기관이법령등에서정하는소관업무수행을위해불가피한경우 3. 정보주체또는제3자의급박한생명 신체 재산의이익을위하여필요한경우로서개인정보를수집한목적범위에서개인정보를제공하는경우 본가이드라인 16쪽 1. 개인 ( 신용 ) 정보수집참조 > 다음의어느하나에해당하는경우정보주체의별도동의가없더라도개인정보를목적외로제공가능 ( 개인정보보호법제18조 ) 1. 다른법률에특별한규정이있는경우 2. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 3. 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 4. 개인정보를목적외의용도로이용하거나이를제3자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 5. 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 6. 범죄의수사와공소의제기및유지를위하여필요한경우 7. 법원의재판업무수행을위하여필요한경우 8. 형 ( 刑 ) 및감호, 보호처분의집행을위하여필요한경우 4호 ~8 호까지는공공기관인금융기관에서개인정보를제공하는경우만적용 - 위경우에해당하여개인정보를목적외로제3자에게제공하는경우라도정보주체또는제3자의이익을부당하게침해할우려가없어야함 24

4 적용원칙 고유식별정보의수집은신용정보법제 15 조및개인정보보호법제 24 조적용, 민감정보수집은신용정보법제 16 조및개인정보보호법제 23 조적용고유식별정보및민감정보의이용 제공에대하여신용정보법제 32 조부터제 34 조적용 고유식별정보의처리 개인정보보호법에따른고유식별정보에는주민등록번호, 외국인등록번호, 여권번호, 운전면허번호가있음 ( 개인정보보호법제24조제1항 ) - 고유식별정보는신용정보법에따른개인신용정보중개인식별정보에포함됨 ( 신용정보법제 2 조제 2 호및제 34 조제 1 항, 시행령제 29 조 ) 개인정보보호법과신용정보법상의고유식별정보, 개인식별정보란? 개인정보보호법에따른고유식별정보주민등록번호, 운전면허번호, 여권번호, 외국인등록번호 신용정보법에따른개인식별정보개인의성명, 주소, 주민등록번호, 외국인등록번호, 국내거소신고번호, 여권번호, 성별, 국적등개인을식별할수있는정보 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 신용정보법제15조는신용정보 ( 고유식별정보등포함 ) 의수집 조사원칙을규정하고있으나, 구체적수집절차에대한명시적규정은없으므로고유식별정보수집에대하여는개인정보보호법제24조제1항을적용 - 금융실명법등관계법령에서구체적으로요구 허용하는경우외에는정보주체로부터다른개인정보처리에대한동의와별도로동의를받아야함 고유식별정보의처리를법령에서구체적으로요구 허용하는경우의예 금융실명거래를위한고유식별정보수집 이용 ( 금융실명거래및비밀보장에관한법률제 3 조 ) - 금융회사등이거래자의실지명의 ( 실명 ) 로금융거래를하기위하여주민등록표또는등록외국인기록표등에기재된주민등록번호나외국인등록번호를수집 이용하는경우에는정보주체의동의를필요로하지않음 금융분야개인정보보호가이드라인 25

신용정보법제32조부터제34조까지의규정에따라고유식별정보가포함된개인신용정보 ( 또는개인식별정보 ) 를이용 제공하는경우에는신용정보법의해당규정에따라이용 제공 원칙적으로해당개인의동의를받아야하며, 해당조항이정하고있는예외사유에포함되는경우에는동의없이제공가능 (23 쪽 3. 개인신용정보제공참조 ) 고유식별정보를당초수집목적과다른용도로이용하는경우 ( 상품소개및구매권유, 홍보등 ) 에는개인정보보호법제24조에따라다른법령에서구체적으로허용하거나정보주체의별도동의를받은경우에만처리가능 민감정보의처리 민감정보는개인정보보호법제23조에따라정보주체의별도의동의를얻거나법령에서민감정보의처리를요구하거나허용하는경우에한해처리가능 - 개인정보보호법에따른민감정보는사상 신념, 노동조합 정당의가입탈퇴, 정치적견해, 건강, 성생활등에관한정보, 유전정보, 범죄경력자료에해당하는정보가있음 ( 개인정보보호법제23조 ) 다만, 신용정보회사등은신용정보법제16조에따라개인의정치적사상, 종교적신념, 그밖에신용정보와관계없는사생활에관한정보의수집 조사금지되는바, 이에해당하는정보는정보주체의동의를받더라도수집해서는안됨 - 신용정보법에예시되어있지않으나노동조합 정당의가입탈퇴, 성생활정보등도신용정보와관계없는사생활정보로볼수있으므로수집금지정보에해당 직업등을수집하면서정당인 종교인임을알게되거나, 세금우대통장개설을통해장애인 고엽제피해자 5/18민주화운동부상자등임을알게되는등간접적으로사생활정보를알게된경우까지처벌하는것은아님 개인의질병에관한정보는신용정보법제16조에따라보험회사가그정보가필요한보험의계약및보험금지급업무와관련하여본인동의하에수집이용가능 벌금등의체납관련정보는신용정보법시행령제2조제1항에따라일반개인신용정보의범위에포함되므로본인동의하에수집이용가능 26

개인정보보호법과신용정보법상의민감정보란? 개인정보보호법에따른민감정보사상 신념, 노동조합 정당의가입탈퇴, 정치적견해, 건강, 성생활등에관한정보, 유전정보, 범죄경력자료 신용정보법에따른수집 조사및처리제한정보정치적사상, 종교적신념, 그밖에신용정보와관계없는사생활에관한정보 신용정보법제32조부터제34조까지의규정에따라민감정보가포함된개인신용정보 ( 또는개인식별정보 ) 를이용 제공하는경우에는신용정보법의해당규정에서정하는바에따라이용 제공 원칙적으로해당개인의동의를받아야하며, 해당규정이정하고있는예외사유에포함되는경우에는동의없이제공가능 < 본가이드라인 23 쪽 3. 개인신용정보제공참조 > 보험업에서의질병에관한개인정보부당이용금지 - 보험계약과관련하여보험계약자등으로부터제공받은질병에관한개인정보를이용하여순보험료의산출 적용업무에종사하는자는그업무상알게된개인정보를누설, 타인제공등부당한목적으로사용할수없음 ( 보험업법제 177 조 ) 보험업에서의건강정보 ( 진료기록 ) 제공 - 보험회사등은의료기관으로부터자동차보험진료수가를청구받은경우그의료기관에대해관계진료기록의열람을청구할수있고의료기관은정당한사유가없는한이에응해야하며, 이때정보주체의동의는필요하지않음 ( 자동차손해배상보장법제 14 조제 1 항 ) Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 궁금해요! 본인확인을위해신분증을제출받아주민번호를단순확인또는열람하는경우도동의를얻어야하는지? A 고객의본인확인을위하여해당고객으로부터직접신분증을받아확인후돌려주거나고객 DB 를조회하여단순히본인인지여부를확인후다시돌려주는행위는정보주체의동의없이가능함또한방문객이사무실출입을위해신분증을맡기고안내데스크에서이를단순보관하는행위도개인정보의수집행위는아니므로별도동의없이가능함 금융분야개인정보보호가이드라인 27

5 적용원칙개인신용정보처리업무위탁은신용정보법제17 조가적용되고, 그밖의개인정보처리업무위탁은개인정보보호법제26 조가적용 기타금융관계법령에서업무위탁관련사항을별도규정하고있는경우해당법령을적용함 신용정보 ( 개인신용정보포함 ) 처리에대한업무위탁 신용정보회사등은신용정보법에따라그업무범위에서의뢰인의동의를받아다른신용정보회사등에신용정보의수집 조사를위탁가능 - 위동의는위탁자체에대한동의를말하며, 이를위하여개인정보를수탁자에게제공하는것은동의없이제공가능 신용정보회사등은수집된신용정보의처리를자본금이 1억원이상인기업으로서금융위원회가정하여고시하는기준에따라신용정보의처리를적정하게수행할수있는인력및물적시설과보안대책을갖춘자 에게위탁할수있음 - 신용정보법시행령제14조제2항에서정하는자가수집된신용정보의처리를법제17조제2항에따라위탁하고자하는경우에는신용정보업감독규정제15조에따라그사실을위탁계약체결예정일로부터 7영업일이전에동규정별지제9호서식에따라다음각호의서류를첨부하여금융감독원에보고하여야함 1. 신용정보처리위탁관련계약서 ( 법제19조제2항에따른신용정보보안관리대책을포함하여야한다.) 사본 2. 위탁대상회사의인력및물적시설에대한사항 3. 신용정보처리위탁의기준 4. 신용정보처리위탁의필요성및기대효과 28

신용정보의처리위탁에따라신용정보를제공하는경우에는법제19조제2항및신용정보업감독규정제21조에따라신용정보제공계약에포함될다음의신용정보보안관리대책을포함하여야함 - 제공되는신용정보의범위및제공 이용목적 - 제공된신용정보의업무목적외사용및제3자제공금지에관한사항 - 제공된신용정보의이용자제한및전담관리자지정에관한사항 - 신용정보제공 이용자간신용정보송수신시정보유출방지에관한사항 - 신용정보의사용 보관기간및동기간경과후신용정보의폐기 반납에관한사항 - 가목부터마목까지를위반한경우의책임소재및제재에관한사항 - 수탁자에대한관리 감독에관한사항 - 신용정보주체의신용정보보호및비밀유지에관한사항 - 신용정보처리재위탁의제한에관한사항 - 그밖에신용정보보호를위하여필요한사항 신용정보처리를위탁하는경우에는신용정보법시행령제27조에따라그업무의내용및수탁자등을아래의방법으로공시하여야함 1. 점포 사무소안의보기쉬운장소에갖춰두고열람하게하는방법 2. 해당기관의인터넷홈페이지를통하여해당신용정보주체가열람할수있게하는방법 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 신용정보법상의 처리 와개인정보보호법상의 처리 의구분 신용정보법 개인정보보호법 법적근거신용정보법제 2 조제 13 호개인정보보호법제 2 조제 2 호 가. 컴퓨터를이용하여신용정보를입력 저장 가공 편집 검색 삭제또는출력하는행위나. 신용정보를배달 우송또는전송등의방법으로타인에게제공하는행위다. 그밖에가목또는나목과비슷한행위 개인정보의수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위 금융분야개인정보보호가이드라인 29

그밖의개인정보처리에대한업무위탁 개인정보처리업무위탁방법 1 위탁에관한사항공개 위탁업무내용과개인정보처리업무수탁자를정보주체가언제든지쉽게확인할수있도록홈페이지등을통해공개 2 개인정보처리업무를위탁하는경우아래사항이포함된문서에의하여야함 다음의사항을계약서에포함하는것도가능안전행정부에서발간한 표준위탁계약서 참조 ( 참고 2) - 위탁업무수행목적외개인정보의처리금지에관한사항 - 개인정보의기술적 관리적보호조치에관한사항 - 위탁업무의목적과범위및재위탁제한에관한사항 - 개인정보에대한접근제한등안전성확보조치에관한사항 - 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 - 수탁자준수의무위반시손해배상등책임에관한사항 수탁자에대한감독및손해배상책임 개인정보보호와관련하여수탁업체에대한교육및감독을강화 수탁자가위탁받은업무와관련하여개인정보를처리하는과정에개인정보보호법을위반하여발생한손해배상책임에대하여는수탁자를위탁자의소속직원으로간주 따라서수탁업체에서개인정보침해사고가발생한경우위탁금융기관이책임을지며, 손해배상부담은내부적으로구상가능 30

수탁자가부담하는의무 개인 ( 신용 ) 정보처리업무수탁자는개인 ( 신용 ) 정보처리업무에관하여수집 이용, 제공, 보관등과관련하여개인정보처리자에게부과되는의무를준수하여야함 개인정보 처리위탁 과 제 3 자제공 의구분 개인정보처리위탁 및 제 3 자제공 은개인정보를외부의제 3 자에게이전 제공또는공유한다는점에서동일하나, 다음과같은차이점이존재 Ⅲ 금융기관은해당업무가어디에해당하는지구분하고, 그에따른법적조치및 관리 감독책임을인지할필요가있음 성격 관리감독책임 처리위탁 금융기관자신의목적 이익을위해개인정보를제 3 자에제공 금융기관자신 ( 위탁자 ) 이관리감독책임부담 제 3 자제공 개인정보를제공받는자의목적 이익을위해개인정보를제 3 자에제공 개인정보를제공받는자 ( 제 3 자 ) 가관리감독책임부담 예시배송업무, TM 업무아웃소싱등사업 업무제휴 * 등 근거조항 신용정보법제17조개인정보보호법제26조 신용정보법제 32 조, 제 34 조개인정보보호법제 18 조 개인 ( 신용 ) 정보처리단계별원칙 * 사업 업무제휴 에서의위탁과제3자제공구분 : 제휴사가단순히금융기관을대신해개인정보를처리할뿐제공받은자의이익을위해이용하지않는경우처리위탁에해당하며, 수집된개인정보를제공받은자의이익을위해이용하는경우제3자제공에해당함 금융분야개인정보보호가이드라인 31

6 적용원칙 개인신용정보는신용정보법제32 조에따라이전가능하며, 그밖의개인정보는개인정보보호법제27 조에따라이전가능 영업양도 양수시 개인신용정보 이전 금융기관간영업양도 분할 합병등의이유로권리 의무의전부또는일부를이전하면서그와관련된개인신용정보를이전하는경우에는신용정보법에따라정보주체의동의없이이전가능 신용정보법제32조제3항내지제5 항에따라영업양도 분할 합병등의이유로개인신용정보를제공하는경우에는제공하려는자또는제공받는자가제공사실및이유등을해당신용정보주체에게알려야함 - 또는신용정보법시행령제28조제10항에따라인터넷홈페이지또는게시판게재, 사무실 점포등의비치 열람방식으로공시하여야함 신용정보법에따른영업양도 분할합병등개인정보처리 ( 제 32 조 ) 제32 조 ( 개인신용정보의제공 활용에대한동의 ) 1 ~3 < 생략 > 4 신용정보회사등이개인신용정보를제공하는경우로서다음각호의어느하나에해당하는경우에는제1항부터제3항까지 ( 정보주체동의 ) 를적용하지아니한다. 3. 영업양도 분할 합병등의이유로권리 의무의전부또는일부를이전하면서그와관련된개인신용정보를제공하는경우 5 제4항각호에따라개인신용정보를타인에게제공하려는자또는제공받은자는대통령령으로정하는바에따라개인신용정보의제공사실및이유등을해당신용정보주체에게알려야한다. 다만, 대통령령으로정하는경우에는인터넷홈페이지게재등이와유사한방법을통하여공시할수있다. < 개정 2011.5.19> 32

아래에해당하는기관은제공하는개인신용정보의범위, 제공받는자의신용정보관리 보호에관하여금융위원회의승인을받아야함 1. 은행법 에따라인가를받아설립된은행 ( 같은법제 59 조에따라은행으로보는자포함 ) 2. 금융지주회사 3. 한국산업은행 4. 한국수출입은행 5. 한국정책금융공사 6. 중소기업은행 7. 한국주택금융공사 8. 자본시장과금융투자업에관한법률 에따른투자매매업자 투자중개업자 신탁업자 집합투자업자 증권금융회사 종합금융회사 자금중개회사및명의개서대행회사 9. 상호저축은행과그중앙회 10. 농업협동조합과그중앙회 11. 수산업협동조합과그중앙회 12. 산림조합과그중앙회 영업양도 양수시 그밖의개인정보 이전 13. 신용협동조합과그중앙회 14. 새마을금고와그연합회 15. 보험업법 에따른보험회사 16. 여신전문금융업법 에따른여신전문금융회사 ( 여신전문금융업법 제 3 조제 3 항제 1 호에따라허가를받거나등록을한자포함 ) 17. 기술신용보증기금 18. 신용보증기금 19. 신용보증재단과그중앙회 20. 한국무역보험공사 21. 예금보험공사및정리금융기관 22. 외국에서제 1 호부터제 20 호까지의금융기관과유사한금융업을경영하는금융기관 23. 외국법령에따라설립되어외국에서신용조회업, 신용조사업, 채권추심업중어느하나에해당하는업무를수행하는자 영업양도등에따라 그밖의개인정보 를이전하는경우에는서면, 전자우편, 팩스, 전화등을통해이전사실을미리알리고이전가능 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 - 과실없이서면등의방법으로이전사실을알릴수없는경우에는해당사항을인터넷홈페이지에 30일이상게재 ( 홈페이지미운영시사업장등보기쉬운장소에게시 ) 해당정보주체에게알려야하는사항 1 개인정보를이전하려는사실, 2 이전받는자의성명, 주소, 전화번호및그밖의연락처, 3 이전을원하지않는경우조치방법 절차 양도자가이전사실을미리알리지않은경우양수자가이전받은사실을지체없이알려야함 이전당시의본래목적으로만개인정보를이용하거나제 3 자에게제공가능 금융분야개인정보보호가이드라인 33

7 적용원칙 개인신용정보의안전성확보조치에대하여는신용정보보호법제19조및전자금융거래법제21 조에서정하는바에따라야하며, 그밖의개인정보의안전성확보조치는전자금융거래법제21조및개인정보보호법제29 조에따라야함다만, 고유식별정보의암호화는법률 ( 개인정보보호법제24조제3항 ) 에서특별히정하는의무사항이므로금융기관은이를준수하여야함 개인 ( 신용 ) 정보안전성확보조치 원칙적으로, 개인신용정보의안전성확보조치에대하여는신용정보법및관련고시에따라, 그밖의개인정보의안전성확보조치에대하여는개인정보보호법및관련고시에따라필요한조치를하여야함 - 다만, 고유식별정보의암호화는개인정보보호법제24조제3항에서특별히정하는의무사항이므로금융기관이업무상수집 관리하는모든개인 ( 신용 ) 정보전반에대하여적용됨 아울러, 금융기관이보유한개인 ( 신용 ) 정보의안전성확보에대하여는전자금융거래법및관련고시에따른사항또한준수하여야함 개인 ( 신용 ) 정보의안전성확보조치적용법령 개인신용정보 : 신용정보법및전자금융거래법적용 ( 단, 고유식별정보암호화는개인정보보호법적용 ) 그밖의개인정보 : 전자금융거래법및개인정보보호법적용 금융실무상개인신용정보와그밖의개인정보를하나의전산시스템을통해통합관리하면서신용도판단, 마케팅, 전자금융거래등다양한용도로이용 34

하는경우에는각정보를구분하여법률을적용할수없으므로 - 이러한경우에는신용정보법, 개인정보보호법, 전자금융거래법에서규정하는안전성확보조치를모두준수하여야함 다만, 각법률에서규정하는안전성확보조치중제정취지나내용이사실상일치하는규정의경우에는하나의법률에서정하는사항을준수하여도각법률의규정을모두준수한것으로간주될수있음 ( 예시 ) 금융기관이신용정보법에따른내부관리규정작성시개인정보보호법상내부관리계획에상응하는내용을포함해작성한후수정이력을관리하는경우, 금융기관이신용정보법및개인정보보호법에따라전산시스템접속권한부여 변경 말소등의내역을기록하고그기록을 3년이상보관하는경우등 참고 금융기관은다음사항이포함된개인신용정보내부관리규정을마련하여야함 ( 신용정보법제 20 조제 1 항, 신용정보업감독규정제 22 조 ) 개인신용정보제공및이용에관한사항등신용정보의수립, 처리및이용에관한세부절차 신용정보집중기관의경우집중관리, 활용의대상이되는신용정보의종류및범위 기술적 물리적 관리적보안대책의수립및실행 신용정보의열람및정정청구업무처리절차 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 자신이제공하는신용정보를이용하는자에대하여동신용정보의이용이법, 영, 규칙이규정에적합한지여부의점검절차와위반시제재 신용정보관리 보호인의지정및수행하는업무 신용정보제공사실통보업무처리절차 상거래거절근거신용정보고지업무처리절차 동의철회권등의업무처리절차 신용정보의정확하고신속한등록및보유한정보의정확성을상시점검할수있는시스템 신용정보처리위탁의기준 그밖에법, 영, 규칙및이규정에서정한사항의세부적인실행절차 금융분야개인정보보호가이드라인 35

구분 개인정보보호법 ( 개인정보의안전성확보조치기준고시 ) 신용정보법 ( 신용정보법및신용정보업감독규정 ) 내부관리계획 내부관리계획수립 시행 ( 31 ) 내부관리계획수정이력관리 ( 33 ) 내부관리규정마련 ( 법 201, 규정 22) 접근권한관리 비밀번호관리 접근통제시스템 개인정보암호화 접속기록 보안프로그램 개인정보처리시스템접근권한을필요최소한범위로차등부여 ( 41 ) 인사이동시지체없이접근권한변경말소, 내역기록, 3 년간보관 ( 42,3 ) 개인정보취급자별한개의사용자계정발급및공유금지 ( 44 ) 비밀번호작성규칙수립 ( 5) 접근통제시스템설치 운영 ( 침입차단시스템, 침입탐지시스템포함 )( 61 ) 외부접속시가상사설망 (VPN), 전용선등안전한접속수단적용 ( 62 ) 개인정보가열람권한없는자에게공개 유출되지않도록시스템및컴퓨터조치 ( 63 ) 업무용컴퓨터만이용하여개인정보처리시접근통제시스템적용제외 ( 64 ) 암호화대상 : 고유식별정보, 비밀번호, 바이오정보 ( 71 ) 암호화기준 - 정보통신망송수신시암호화 ( 72 ) - 비밀번호, 바이오정보저장시암호화 ( 비밀번호는일방향암호화 )( 73 ) - 고유식별정보는인터넷구간, DMZ 구간저장시암호화, 내부망구간저장시위험도분석결과에따라암호화여부및범위결정 ( 74 5 ) - 안전한암호화알고리즘적용 ( 76 ) 개인정보처리시스템접속기록최소 6 개월이상보관관리 ( 81 ) 접속기록이위변조, 도난, 분실되지않도록안전하게보관 ( 82 ) 백신소프트웨어등보안프로그램설치, 자동또는일 1 회이상업데이트, 보안업데이트공지시즉시업데이트실시 ( 9) 신용정보처리시스템접근권한을필요최소한인원에부여 (Ⅱ-1-1 ) 인사이동시지체없이접근권한변경말소, 내역기록, 3 년간보관 (Ⅱ-1-2,3 ) 패스워드작성규칙수립 (Ⅱ-1-5 ) 개인신용정보처리시스템에침입차단시스템및침입탐지시스템설치 (Ⅱ-1-4 ) 개인신용정보가열람권한없는자에게공개되지않도록시스템및 PC 설정 (Ⅱ-1-6 ) 암호화대상 : 본인인증정보, 개인신용정보 ( 규정별표 3 Ⅱ-3) 암호화기준 - 개인신용정보및인증정보송수신시보안서버등통해암호화 (Ⅱ-3-2 ) - 패스워드, 생체정보등본인인증정보저장시일방향암호화 (Ⅱ-3-1 ) - 개인신용정보 PC 저장시암호화 (Ⅱ-3-3 ) 개인신용정보처리시스템접속기록저장, 월 1 회이상확인감독 (Ⅱ-2-1 ) 개인신용정보조회자의신원, 조회일시, 대상정보, 목적, 용도등을기록관리 (Ⅱ-5-2 ) 접속기록위변조되지않도록별도저장장치에백업보관 (Ⅱ-2-2 ) 백신소프트웨어설치 (Ⅱ-4-1 ) 월 1 회이상주기적갱신 점검, 바이러스경보발령또는업데이트공지시즉시갱신 점검 (Ⅱ-4-2 ) 물리적보호조치 개인정보물리적보관장소에대한출입통제절차 ( 101 ) 서류, 보조저장매체등은잠금장치있는안전한장소에보관 ( 102 ) 외부침입방지, 출입자관리통제등대책강구 ( 별표 1 정보처리 정보통신설비요건, 별표 2 전산설비및자료관리체제기준참조 ) 36

전자금융거래법 ( 전자금융거래법및전자금융감독규정 ) 정보보호최고책임자는전자금융거래안전성확보등계획수립 ( 법 21 의23 ) 금융기관또는전자금융업자는정보기술부문계획을매년수립 운용 ( 19) 전산자료, 시스템, 해킹및악성코드방지등분야별보호대책수립 ( 8, 13~ 18) 업무담당자이외의자가단말기를무단조작못하도록단말기별취급자및비밀번호지정, 사용자계정과비밀번호개인별부여, 전산자료는사용자업무별로접근권한통제 ( 12~ 13) 전출 퇴직등인사조치시지체없이해당사용자계정삭제 계정사용중지 공동사용계정변경등접근통제 ( 13조 ) 사용자계정공동사용이불가피한경우개인별사용내역관리 비교 ( 개인정보보호법기준 ) 주요내용사실상일치 ( 단, 내부관리계획수정이력관리는다소상이 ) 주요내용사실상일치 ( 단, 사용자계정공동사용을예외적으로허용하는것은다소상이 ) Ⅲ 비밀번호작성규칙및입력오류시조치방법명시 ( 32) 해킹등전자적침해행위로인한사고를방지하기위한정보보호시스템설치 운영, 정보보호시스템을우회한외부통신망접속금지 ( 151 ) 정보보호시스템에는침입차단시스템및침입방지시스템포함 ( 규정별표 2- 다정보보호시스템분류표 ) 암호화대상 : 전자금융거래, 비밀번호, 거래로그 (DMZ 저장시 ) ( 17, 32, 33, 34) 암호화기준 - 정보보호제품은국가기관의평가 인증을받은장비를사용 ( 15) - 거래로그를 DMZ 구간내에저장하는경우암호화하여저장 ( 17) - 비밀번호는암호화보관하며, 조회할수없도록조치 ( 33) - 전자금융거래는암호화통신적용 ( 34) 주요내용사실상일치 주요내용사실상일치 일부내용상이 ( 단, 암호화대상, 보조저장매체전달시암호화비밀번호일방향암호화적용은다소상이 ) 고유식별정보내부망저장시암호화는개인정보보호법준수필요 개인 ( 신용 ) 정보처리단계별원칙 단말기를통한이용자정보조회시사용자, 사용일시, 변경 조회내용, 접속방법이정보처리시스템에자동적기록및 1 년이상보존 ( 13) 정보처리시스템가동기록은 1 년이상보존 정보처리시스템가동기록 : 접속일시, 접속자, 접근자및접근을확인할수있는기록, 전산자료사용일시, 사용자및자료내용확인기록, 사용자로그인, 엑세스로그등 ) 주요내용사실상일치 악성코드감염방지대책수립 운용 ( 16) - 악성코드검색 치료프로그램은최신상태로유지, 중요단말기는악성코드감염여부매일점검등 전산실위치건물에대해경비원에의한통제및출입통제보안대책수립 ( 10) 전산실상시출입은사전등록자에한해허용하고, 그밖의출입자는책임자승인을받아출입하고관리기록부기록 보관, 상시출입자이외의출입자에대해무인감시카메라또는출입자동기록시스템설치등적절한조치 ( 11) 주요내용사실상일치 주요내용사실상일치 ( 단, 개인정보가수록된서류, USB 등을잠금장치있는안전한장소에보관하여야한다는내용은다소상이 ) 금융분야개인정보보호가이드라인 37

개인 ( 신용 ) 정보의암호화 개인정보보호법제24조제3항및제29조에따라제정된 개인정보의안전성확보조치기준 제7조는고유식별정보, 비밀번호, 바이오정보를암호화대상정보로규정하고있으며, 신용정보법제19조에따라제정된 신용정보업감독규정 [ 별표3] 은패스워드, 생체정보를암호화대상으로규정 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 바이오정보 : 지문, 얼굴, 홍채등개인을식별할수있는신체적 행동적특징정보 고유식별정보의암호화는개인정보보호법에서별도로규정하고있으므로, 개인 ( 신용 ) 정보에포함된고유식별정보는개인정보보호법에서정하는바에따라암호화를적용하여야함 - 패스워드, 생체정보 ( 바이오정보를포함 ) 는신용정보법에따른암호화적용 구분암호화적용기준비고 고유식별정보, 비밀번호, 바이오정보 비밀번호, 바이오정보 고유식별정보 정보통신망을통하여송수신하거나보조저장매체를통하여전달하는경우암호화 저장시암호화 ( 단, 비밀번호는복호화되지아니하도록일방향암호화하여저장 ) 인터넷구간및인터넷구간과내부망의중간지점 (DMZ) 에저장시암호화 내부망에고유식별정보저장시암호화 ( 단, 개인정보위험도분석기준에모두적합한경우에는암호화에상응하는조치를한것으로간주하여암호화미적용가능 ) 업무용컴퓨터에저장관리하는경우상용암호화소프트웨어또는안전한암호화알고리즘을사용하여암호화저장 개인정보의안전성확보조치기준 ( 안전행정부고시 ) 제 7 조 ( 참고 ) 개인정보의안전성확보조치기준 ( 안전행정부고시제 2011-43 호 ) 개인정보위험도분석기준및해설서 ( 안전행정부공고제 2012-112 호 ) 개인정보암호화조치안내서 (http://www.privacy.go.kr - 자료실 ) 38

1 ( 기관기준 ) 점검항목 개인정보파일이포함되어있는개인정보처리시스템환경에관한내용으로기관전체를대상으로함 구분 점검항목 정책기반 1. 개인정보보호를위한책임자를지정하여운영하고있습니까? 2. 개인정보보호를위한정책또는관리계획 ( 침해사고대응계획포함 ) 을수립 운영하고있습니까? 3. 외주인력보안관리를위해보안서약서집행, 비밀번호노출예방등조치를하고있습니까? 4. DB 서버에접속하는장비 (PC, 노트북등 ) 에서불법또는비인가된 S/W 사용을방지하고정품 S/W 만사용하도록하는정책을수립 운영하고있습니까? 5. DB 서버에접근가능한자 ( 내부직원, 위탁인력, 개발자등 ) 대상으로개인정보보호관련교육을연 2 회이상실시하고있습니까? Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 네트워크기반 6. 상시적으로비인가 IP 주소의접근을통제하고있습니까? 7. 상시적으로불필요한서비스포트사용을통제하고있습니까? 8. 상시적으로불법적인해킹시도를방지하고, 이에대해모니터링을실시하고있습니까? 9. 상시적으로바이러스, 웜등의네트워크유입을차단하고있습니까? 10. 주기적으로네트워크접속에대한로그를관리하고, 분석하고있습니까? 11. 네트워크장비및정보보호시스템의보안패치발생시지체없이업데이트를수행하고있습니까? 금융분야개인정보보호가이드라인 39

2 ( 개인정보처리시스템기준 ) 점검항목 개인정보파일이운용되는개인정보처리시스템의보호조치에관한내용입니다. 구분 점검항목 12. 상시적으로네트워크를통한비인가자의 DB 접근을통제하고있습니까? 13. DB 서버내에불필요한서비스포트를차단하고있습니까? 14. 상시적으로 DB 접속자및개인정보취급자의접속기록을남기고있습니까? 15. DB 접속기록을주기적으로모니터링하여통제하고있습니까? 16. DB 서버에접속하는관리자 PC 가인터넷접속되는내부망의네트워크와분리되어있습니까? 17. 개인정보취급자의역할에따라 DB 접근권한을차등화하여부여하고있습니까? DB 및 Application 기반 18. 개인정보취급자의전보, 이직, 퇴사등인사이동발생시지체없이 DB 접근권한을변경하고있습니까? 19. DB 접속자및개인정보취급자의 DB 로그인비밀번호를최소 3 개월마다변경하고있습니까? 20. DB 접속자및개인정보취급자의비밀번호입력시 5 회이상연속입력오류가발생한경우계정잠금등접근을제한하고있습니까? 21. DB 및 DB 접속어플리케이션서버에대한물리적접근을인가된자로한정하고있습니까? 22. DB 및 DB 접속어플리케이션서버에서보조기억매체 (USB 등 ) 사용시관리자승인후사용하고있습니까? 23. DB 서버및 DB 접속어플리케이션서버에접속하는모든개인정보취급자의단말기 (PC, 노트북등 ) 의운영체제보안패치를제조사공지후지체없이수행하고있습니까? 24. HDD 등 DB 저장매체의불용처리시 ( 폐기, 양여, 교체등 ) 저장매체에저장된개인정보는모두파기하고있습니까? 웹 (Web) 기반 웹사이트를운영하는경우에만해당 25. 신규웹취약점및알려진주요웹 (Web) 취약점진단 / 보완을년 1 회이상실시하거나, 상시적으로비인가자에의한웹서버접근, 홈페이지위 변조등을자동으로차단할수있는보호조치를하고있습니까? 26. 웹서버프로그램과운영체제보안패치를제조사공지후지체없이수행하고있습니까? 40

8 적용원칙 개인신용정보는신용정보법제31조에따른신용정보활용체제를수립 공개해야하며, 그밖의개인정보는개인정보보호법제30조에따른개인정보처리방침을수립 공개하여야함. 다만, 신용정보활용체제등에개인정보처리방침에상응하는내용을포함하여수립 공개가능 개인신용정보에대한 신용정보활용체제 수립및공개 신용정보법제31조에따라신용정보회사등은신용정보의처리에관하여 신용정보활용체제 를작성하고, 이를인터넷홈페이지등에게재하여야함 - 신용정보회사, 신용정보집중기관및대통령령으로정하는신용정보제공 이용자 ( 신용정보법제5조제1항각호의자를말함 ) 에적용 신용정보활용체제는아래의사항이포함되어야함 - 관리하는신용정보의종류및이용목적 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 - 신용정보를제3자에게제공하는경우제공하는신용정보의종류, 제공대상, 제공받는자의이용목적 - 신용정보의보유기간및이용기간이있는경우해당기간, 신용정보파기의절차및방법 - 신용정보의처리를위탁하는경우그업무의내용및수탁자 - 신용정보주체의권리와그행사방법 - 신용정보관리 보호인이나신용정보관리 보호관련고충을처리하는사람의성명, 부서및연락처 - 신용등급산정에반영되는신용정보의종류, 반영비중및반영기간 ( 신용조회회사만해당 ) 금융분야개인정보보호가이드라인 41

신용정보회사등은수립한신용정보활용체제를인터넷홈페이지등을통해공개해야함 - 글자크기, 색깔을다르게하거나진하게표시하여정보주체가쉽게알아볼수있도록해야함 그밖의개인정보에대한개인정보처리방침의수립및공개 금융기관은정보주체가해당기관의개인정보처리에관한사항을쉽게알수있도록개인정보처리방침을작성하여공개 ( 개인정보보호법제30조 ) - 신용정보활용체제 또는내부규정등에개인정보처리방침에기재되어야하는사항을포함하여인터넷홈페이지등에게재하는것도가능 개인정보처리방침에는아래의사항이포함되어야함 - 개인정보의처리목적 - 개인정보의처리및보유기간 - 개인정보의제3자제공에관한사항 - 개인정보처리의위탁에관한사항 - 정보주체의권리 의무및그행사방법에관한사항 - 처리하는개인정보의항목 - 개인정보의파기에관한사항 - 개인정보보호책임자에관한사항 - 개인정보의안전성확보조치에관한사항 금융기관은수립한개인정보처리방침을인터넷홈페이지등을통해공개 - 글자크기, 색깔을다르게하거나진하게표시하여정보주체가쉽게알아볼수있도록해야함 개인정보처리방침예시는 http://www.privacy.go.kr에서개인정보처리방침자동생성기능이용가능 42

개인정보처리방침 신용정보활용체제 개인정보의처리목적 관리하는신용정보의이용목적 개인정보의처리및보유기간 신용정보의보유기간및이용기간 개인정보의제 3 자제공에관한사항 신용정보제 3 자제공에관한사항 Ⅲ 개인정보처리의위탁에관한사항 정보주체의권리 의무및그행사방법에관한사항 처리하는개인정보의항목 개인정보의파기에관한사항 개인정보의안전성확보조치에관한사항 신용정보처리의위탁에관한사항신용정보주체의권리와행사방법관리하는신용정보의종류신용정보의파기절차및방법 개인 ( 신용 ) 정보처리단계별원칙 개인정보보호책임자에관한사항 신용정보관리 보호인에관한사항 개인정보의열람청구를접수 처리하는부서 신용정보관리 보호관련고충을처리하는사람의성명, 부서및연락처 신용등급산정에반영되는신용정보의종류, 반영비중및반영기간 ( 신용정보조회회사만해당 ) 개인정보처리방침공개의무와관련, 개인정보의안전성확보조치에관한내용을신용정보활용체제에포함하여공개하는것으로갈음할수있음 금융분야개인정보보호가이드라인 43

9 적용원칙 금융기관은신용정보법제20 조및개인정보보호법제31조에따라신용정보관리 보호인및개인정보보호책임자를지정하여야하며, 개인정보보호책임자는다른업무를겸임할수있음 신용정보에대한신용정보관리 보호인지정 신용정보회사등은신용정보법제20조에따른신용정보관리 보호인을지정하여야함 - 신용정보회사, 신용정보집중기관및대통령령으로정하는신용정보제공 이용자 ( 신용정보법시행령제5조제1항제1호부터제21호까지및제21조제2항제9호에해당하는자를말함 ) 신용정보관리 보호인은아래와같은의무를수행하여야함 - 신용정보관리 보호관련내부관리규정의제정 개정 - 신용정보관리 보호관련고충의처리 - 임직원이신용정보관리 보호관련법령및내부관리규정등을준수하고있는지에대한점검 - 법에따른신용정보주체의정당한권리행사에성실하게대응하고있는지에대한점검 - 임직원을대상으로하는신용정보관리 보호관련교육의실시 - 그밖에신용정보관리 보호에필요한사항으로서금융위원회가정하여고시하는사항 신용정보관리 보호인의자격 - 임원 44

- 신용정보의제공 활용 보호및관리등을총괄하는위치에있는사람 다른법령에따라준법감시인을두는경우그를신용정보관리 보호인으로지정가능 ( 해당법령에따른내부통제기준에신용정보관리 보호인의업무를반영하여야함 ) 그밖의개인정보에대한개인정보보호책임자지정 개인정보의처리에관한업무를총괄하여책임질개인정보보호책임자를지정하여야함 - 다만, 금융기관의인력상황에따라신용정보관리 보호인이겸임가능 개인정보보호책임자는아래와같은의무를수행하여야함 - 개인정보보호계획의수립및시행 - 개인정보처리실태및관행의정기적인조사및개선 - 개인정보처리와관련한불만의처리및피해구제 - 개인정보유출및오용 남용방지를위한내부통제시스템의구축 - 개인정보보호교육계획의수립및시행 - 개인정보파일의보호및관리 감독 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 - 개인정보처리방침의수립 변경및시행 - 개인정보보호관련자료의관리 - 처리목적이달성되거나보유기간이지난개인정보의파기 개인정보보호책임자의자격및권한 - 자격 : 전사적인차원에서회사내의개인정보보호업무를실질적으로총괄할수있는부서의장또는임원 단순히개인정보를많이취급하는부서의장으로정하는것은바람직하지않음 - 권한 : 개인정보의처리현황, 처리체계등에대하여수시로조사하거나관계당사자로부터보고를받을수있음 금융분야개인정보보호가이드라인 45

10 적용원칙 개인 ( 신용 ) 정보의파기에대하여는신용정보법제18조제2항및개인정보보호법제21조에따라야함 개인 ( 신용 ) 정보의보존기한및파기시점산정기준 원칙적으로개인 ( 신용 ) 정보는보유기간의경과, 개인정보처리목적달성등으로불필요하게되었을때는지체없이 (5일이내 ) 파기하여야함 따라서, 개인 ( 신용 ) 정보보존기한은관계법령상규정, 정보주체의동의의사, 처리목적달성여부등을고려하여아래기준에따라산정 - 첫째, 법령상보존기한이명시된경우해당법령에따라파기 - 둘째, 법령상보존기한이불분명한경우정보주체의동의에따라파기 - 셋째, 법령상보존기한이불분명하거나정보주체의동의가없는경우그개인정보의처리목적이완전히달성된시점에파기 법령상보존기한이명시된경우 금융관계법령 ( 해당법령의위임을받아제정된행정규칙을포함한다 ) 이정하는보존기한이경과된후에는지체없이파기 - 계약완료등으로인하여개인 ( 신용 ) 정보가불필요하게되었으나법령상잔여보유기간이있는경우에는다른개인정보와분리하여저장 관리 법령상보존기한이명시된경우의예시 ( 신용정보법제18조 ) 신용정보주체에게불이익을줄수있는신용정보는그불이익을초래하게된사유가해소된날부터최장 5년이내에등록 관리대상에서삭제 ( 신용정보법제21조및신용정보업감독규정제23조 ) 신용정보회사또는신용정보집중기관의폐업시금융감독원직원입회하에신용정보수록파일등소거 폐기 46

법령상보존기한이불분명하고정보주체의동의가있는경우 금융관계법령상보존기한이명확히규정되어있지않으나개인정보의보유기간에대하여정보주체의명시적인동의를받은경우에는, 당초정보주체가동의한보유기간이경과된후지체없이파기 - 금융관계법령에서별도의보유기간을규정하고있으나해당기간이상보유를금지하는내용이없는경우에는보존기한이불분명한경우에해당 법령상보존기한이불분명한경우의예시 ( 신용정보법제20 조 ) 신용정보회사등은의뢰자의성명, 의뢰받은업무처리내용, 제공한신용정보의내용등을 3년간보존하여야함 ( 자본시장과금융투자업에관한법률시행령제62 조 ) 금융투자업자는각호의자료를해당기간동안기록유지 ( 투자권유관련자료 10년, 주문기록등거래관련자료 10년, 업무위탁관련자료 5년, 고유재산운용관련자료 3년등 ) ( 보험업법시행령제42 조의3) 보험회사및보험의모집에종사하는자는보험계약자연령등을확인받은내용을보험계약종료일부터 2년간유지 ( 상법제33 조 ) 상인은 10년간상업장부와영업에관한중요서류를보존다만, 전표또는이와유사한서류는 5년간이를보존정보주체의명시적인동의는받았으나개인정보보존기한을일정한기간으로정하지않고특정한조건으로 ( 예 : 회원탈퇴시파기, 수집목적달성시파기등 ) 정한경우는해당보유목적이완전히달성된후지체없이파기 - 일정한기간뿐만아니라특정조건에대한동의도명시적인동의에해당 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 법령상보존기한이불분명하고정보주체가동의가없는경우 당초개인정보를수집한목적이완전히달성된경우에는지체없이파기 다만, 수집한목적이달성되었으나향후의분쟁대응이나금융소비자보호, 금융감독당국의검사 감독수감을위해개인 ( 신용 ) 정보의지속적인보존이불가피한경우에는 - 이러한정보를다른개인 ( 신용 ) 정보와별도로분리하여보관한후정보주체또는금융감독당국이직접요청하는경우에한하여이용할수있도록개인정보처리 금융분야개인정보보호가이드라인 47

방침에반영하여관리할수있음 별도로분리보관중인개인 ( 신용 ) 정보는상품의소개나구매를권유하는등다른업무상목적으로는이용할수없음 보존매체에따른파기방법 개인정보를파기하는경우에는보존매체의특성을고려하여복구또는재생되지아니하도록파기하여야함 - 전자적파일 : 현재기술수준에서적절한비용이소요되는방법으로서복원이불가능하도록영구삭제 - 인쇄물, 서면, 그밖의기록매체 : 파쇄또는소각 개인신용정보의구체적인파기절차및방법은? - 신용정보법시행령제 27 조에따라신용정보회사등은신용정보파기의절차및방법을마련하여공시하도록되어있으며, 구체적인내용에대하여는자율적으로정하여시행토록하고있음 - 따라서개인신용정보의구체적파기절차및방법은해당보존매체의특성을고려하여영구삭제, 파쇄, 소각등의방법을통해복구또는재생되지아니하도록당해신용정보회사등이자율적으로정하여시행 종이문서철에포함된개인정보의파기는? - 원칙적으로개인정보의파기는전체개인정보파일단위가아니라개별개인정보단위로이루어져야하나, 전산화된형태로관리되는개인정보파일과달리종이문서철을통해보관중인개인정보는특정개인정보의처리목적이달성된경우라하더라도, 각각의개인정보를선택적으로파기하는것이현저히곤란함 - 따라서, 종이문서철의경우에는분기또는반기단위로별도의점검및파기절차를마련한후이를개인정보처리방침및내부관리계획에반영하여시행할수있음 48

11 적용원칙 개인신용정보에대한열람 정정, 제공 이용동의철회등에대해서는신용정보법제37 조 제38조가적용되고, 그밖의개인정보에대해서는개인정보보호법제35조부터제38조까지의규정적용 개인신용정보에대한정보주체의권리보장 1 개인신용정보열람 정정청구권 정보주체는금융기관에대하여자신의개인신용정보를열람하거나제공해줄것을청구할수있으며, 자신의개인신용정보가사실과다를경우정정을청구할수있음 - 이경우정보주체는본인임을확인받아야함 정보주체의본인확인방법 ( 신용정보법시행령제33조 ) 1 전자서명법에따른공인전자서명이있는전자문서 2 동의의안정성과신뢰성이확보될수있는유무선통신으로개인비밀번호입력 3 본인의신분을나타내는증표제시 4전화 5 인터넷홈페이지 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 금융기관은정보주체의열람 정정청구의내용이사실인지조사하고, 사실과다르거나확인불가한개인신용정보는삭제또는정정조치 - 금융기관은삭제 정정한개인신용정보를최근 6개월내제공받은자및해당정보주체가요구하는자에게그내용을통보 정보주체의열람 정정청구에대한처리결과는 7일이내조치 통보 금융분야개인정보보호가이드라인 49

2 개인신용정보제공 이용동의철회권 정보주체는신용정보제공 이용자 ( 금융기관 ) 에게개인의신용도등을평가하기위한목적외의목적으로행한개인신용정보제공동의를철회가능 정보주체는신용정보제공 이용자에대하여상품이나용역을소개하거나구매를권유할목적으로본인에게연락하는것을중지하도록청구가능 3 개인신용정보처리정지권 처리정지권에대해서는신용정보법에명문의규정은없으나, 개인의신용도등을평가하기위한목적 으로제공 이용되고있는개인신용정보에대해서는입법취지상처리정지를요구할수없다고해석 그밖의개인정보에대한정보주체의권리보장 1 개인정보열람 정보주체가자신의개인정보에대한열람을요구할경우에는 10일이내에조치하여야함 - 정당한사유가있으면그사유를알리고열람을연기할수있으며, 사유가소멸하면지체없이열람하게하여야함 다만, 다음의어느하나에해당하는경우정보주체에그사유를알리고열람거절가능 1. 법률에따라열람이금지되거나제한되는경우 2. 다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우 3. 금융기관인공공기관이다음각목의어느하나에해당하는업무를수행할때중대한지장을초래하는경우 50

가. 조세의부과 징수또는환급에관한업무나. 초 중등교육법 및 고등교육법 에따른각급학교, 평생교육법 에따른평생교육시설, 그밖의다른법률에따라설치된고등교육기관에서의성적평가또는입학자선발에관한업무다. 학력 기능및채용에관한시험, 자격심사에관한업무라. 보상금 급부금산정등에대하여진행중인평가또는판단에관한업무마. 다른법률에따라진행중인감사및조사에관한업무 3 개인정보정정 삭제 정보주체가자신의개인정보에대해정정 삭제를요구할경우 10일이내에조치하고그결과를통지하여야함 - 법령에따라수집 이용하는개인정보에대해서는정보주체가개인정보정정 삭제 처리정지등을요구할수없으므로정보주체에게지체없이그내용을알려야함 열람거부사유는정정 삭제사유에도동일하게적용 4 개인정보처리정지 정보주체가자신의개인정보처리정지를요구할경우 10일이내에개인정보처리의전부또는일부를정지하여야함 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 - 정보주체의요구에따라처리가정지된개인정보에대하여지체없이해당개인정보의파기등필요한조치를해야함 다음과같은경우에는처리정지요구를거절할수있음 - 법률에특별한규정이있거나법령상의무를준수하기위해불가피한경우 - 다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우 - 이경우정보주체에게지체없이그사유를알려야함 금융분야개인정보보호가이드라인 51

궁금해요! 개인정보의열람, 정정, 삭제등의요청을받았을때간단한사항이라도반드시개인정보보호법에서정한신청서와통지서에맞추어조치해야하는지? 아니면구두로조치해도되는지? A 개인정보의열람등신청에대하여는신용정보법의규정을우선하여적용하며, 신용정보법에는열람등신청에대하여별도의서식을마련하고있지는않으므로, 열람요청내용이간소히처리될수있는성격으로서별도의신청서를받거나통지서를제공하는것이오히려불편을초래한다고판단되는경우에는신청인과해당기관이상호합의하여구두로조치할수있음 52

12 적용원칙 개인 ( 신용 ) 정보의유출시통지 신고에대하여는개인정보보호법제 34 조적용 유출내용에따라금융기관검사및제재에관한규정제41조 ( 금융사고 ) 및전자금융감독규정제73 조 ( 정보기술부문및전자금융사고보고 ) 또한적용될수있음 개인 ( 신용 ) 정보유출시통지 개인 ( 신용 ) 정보가유출된경우에는정당한사유가없는한 5일이내에정보주체에게다음의사실을서면, 전자우편, 팩스전화, 문자전송등의방법을통해통지해야함 개인정보유출시통지사항 1) 유출된개인정보항목 2) 유출시점및경위 3) 유출로인해발생할수있는피해최소화를위해정보주체가할수있는방법등에관한정보 4) 개인정보처리자의대응조치및피해구제절차 5) 정보주체에게피해가발생한경우신고등을접수할수있는담당부서및연락처 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 만약정보주체의연락처정보를보유하고있지않거나알수없는경우인터넷홈페이지등을통해고지하는것이바람직 또한개인 ( 신용 ) 정보가유출된경우그피해를최소화하기위한대책을마련하고필요한조치를해야함 1만건이상의개인신용정보가유출된경우정보주체통지와더불어, 안전행정부또는한국인터넷진흥원에상기통지사항및피해최소화조치결과를 5일이내신고 금융분야개인정보보호가이드라인 53

개인 ( 신용 ) 정보유출시신고 만약 1만명이상의개인 ( 신용 ) 정보가유출된경우에는 5일이내에안전행정부또는한국인터넷진흥원 (KISA) 에신고해야함 - 이경우, 관련사실을금융감독원개인정보보호담당부서에도함께알려야함 또한, 개별통지와함께인터넷홈페이지에유출통지내용을 7일이상게시해야함 ( 홈페이지미운영시사업장등알아보기쉬운장소에게시 ) 아울러, 당해유출사고가금융기관검사및제재에관한규정제41조 ( 금융사고 ), 전자금융감독규정제73조 ( 정보기술부문및전자금융사고보고 ) 에해당되는경우에는해당규정에따른금융위원회또는금융감독원보고병행필요 개인정보유출시조치사항정리 정보주체통지 안전행정부등신고 1 만건미만유출 1 만건이상유출 O (5 일이내 ) ( 유출규모등이명확치않은때는신고도병행함이바람직 ) O (5 일이내 ) O (5 일이내 ) 홈페이지등게시 ( 유출규모등이명확치않은때는게시도병행함이바람직 ) O (7 일이상 ) 54

구분세부내용법적근거 유출통지방법 통지방법 개인정보처리자는개인정보유출이발생했을경우지체없이정보주체에게개인정보유출관련사항을통지 1. 서면, 전자우편, 모사전송, 전화, 휴대전화문자전송또는이와유사한방법 2. 1 번의통지방법과동시에홈페이지등을통하여도공개 - 단, 통지및조치후에도 1 만명이상의개인정보가유출된경우에는서면등의방법과함께인터넷홈페이지에정보주체가알기쉽도록 7 일이상통지내용을게재 - 인터넷홈페이지를운영하지않는개인정보처리자의경우사업장등의보기쉬운장소에통지내용을게시 법제 34 조지침제 26 조 시행령제 40 조지침제 28 조, 지침제 29 조 1 3 4 5 1 2 3 4 5 1 통지내용 유출된개인정보의항목, 2 유출된시점과그경위법제34조 1항유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수시행령제40 조있는방법등에관한정보 3항, 개인정보처리자의대응조치및피해구제절차지침제27 조정보주체에게피해가발생한경우신고등을접수할수있는담당부서및제1항연락처 통지시기 5일이내 ( 유출사고최초발생시점과확인된시점사이에시간적차이가있는경우이에대한과실유무를입증해야함 ) 지침제27 조 1. 개인정보유출확산방지를위해조치가필요한경우유출통지를연기 개인정보가유출되었을것으로의심되는개인정보처리시스템의접속권한삭제 변경또는폐쇄조치 네트워크, 방화벽등대 내외시스템보안점검및취약점보완조치 향후수사에필요한외부의접속기록등증거보존조치 통지연기 정보주체에게유출관련사실을통지하기위한유출확인웹페이지제작등의통지방법마련조치 시행령제40 조 기타개인정보의유출확산방지를위해필요한기술적 관리적조치 2. 개인정보처리자는 1번각항목의조치를취한이후, 정보주체에게다음각항목의사실만일차적으로알리고, 추후확인되는즉시알릴수있음 정보주체에게유출이발생한사실, 2 통지내용중확인된사항 유출통지신고방법 신고대상 1만명이상의정보주체에관한개인정보가유출된경우 법제34조 3항및지침제29조 신고기관 http://www.privacy.go.kr 신고시기 5일이내 ( 정보주체에대한통지및조치결과신고 ) 시행령제39 조 2항, 1 전자우편, 팩스, 인터넷사이트를통해유출사고신고및신고서제출지침제29 조신고방법 2 시간적여유가없거나특별한사정이있는경우 : 전화를통하여통지내용을 신고한후, 유출신고서를제출할수있음. 기관명, 통지여부, 유출된개인정보항목 규모, 유출시점 경위, 유출피해최소화 신고내용 대책 조치및결과, 정보주체가할수있는피해최소화방법및구제절차, 담당 별지제1호서식 부서 담당자연락처등 신고접수기록 안전행정부장관또는전문기관은신고접수사실확인 ( 신고자전자우편, 팩스 ) 내규제4조 기술지원 지원요청 결과보고 피해확산방지, 피해복구등을위한기술지원 - 전문기관과공동으로조사. 지원팀구성유출신고처리결과보고서를유출신고업무종결한날로부터 10일이내안행부장관에게제출 법제 34 조 3 항, 내규제 6 조 내규제 8 조 벌칙조항개인정보유출신고 (5 일이내 ) 위반시과태료 3 천만원이하제 75 조 2 항 7 호 Ⅲ 개인 ( 신용 ) 정보처리단계별원칙 금융분야개인정보보호가이드라인 55

Ⅰ 가이드라인개요 >> 금융분야개인정보보호가이드라인

IV 업종별개인정보처리사례 금융분야개인정보보호가이드라인 1. 공통 2. 은행 3. 보험 4. 증권

Ⅳ 업종별개인정보처리사례 1 1-1 수집 개인정보수집이용에대하여기동의한고객이전화를걸어왔을때, 전화기에표시되는발신번호가기존등록된정보와상이한경우추가적인동의절차없이이번호로현행화가능한지 A 개인정보보호법 ( 제 3 조 ) 에따라개인정보처리자는처리목적에필요한범위에서개인정보의정확성 완전성 최신성이보장되도록하여야함 따라서, 당초전화번호등의처리에대하여동의한고객이라면개인정보처리자가발신자번호표시기능을통해새로알게된전화번호로고객전화번호를현행화하여관리하는것은가능함 다만, 전화기에표시되는발신자번호가실제고객이사용하는전화번호가아닐수있으므로해당고객에게전화번호의최신성여부를확인한후향후이번호로현행화하겠다는내용을알려야할것임 1-2 수집 유관기관업무담당자의연락처를수집하여관리하는경우도해당담당자의개별적인동의가필요한지? A 유관기관의업무담당자연락처정보를수집하여관리하는것은사회통념상명함등을주고받는행위와동일한경우로볼수있으므로해당기관의업무와관련하여합리적인범위내에서동의없이수집 이용할수있음 합리적범위 라함은유관기관업무담당자의성명, 소속, 전화번호, E-mail 등연락처정보를수집하여업무관계자간상호연락을위해공유하는것을말함 58

1-3 수집 고객을대상으로사은품배송을하기위해고객의성명, 주소, 전화번호를택배회사에전달하는경우개인정보처리에대한동의를받아야하는지여부 A 금융기관이고객에게사은품을배송하기위하여택배회사에해당고객의성명, 주소, 연락처를알려주는것은배송을위해불가피하게필요한경우로볼수있어고객의동의없이처리가능 ( 쇼핑몰에서고객사은품을구매한후배송목적지를알려주는경우포함 ) 1-4 수집 또한, 금융기관이 DM 업체에게사은품구매또는배송업무를일괄위탁한후고객의성명, 주소, 연락처를제공하는경우에도개인정보처리업무의위탁에해당하므로해당고객의동의를받을필요는없음 다만, 개인정보처리업무를위탁하는경우에는위탁하는업무내용과위탁받는자를홈페이지에공개하여야하며수탁자가개인정보를안전하게처리하는지를감독하는등개인정보보호법제 26 조에서정하는조치를하여야함 단발성또는일회성위탁에대한조치사항은 Q1-10 참조 계약자로부터제출받는법정서류 ( 가족관계증명서, 주민등록등본등 ) 에계약자이외의가족개인정보가포함되어있는경우, 이들에대하여모두동의를받아야하는지 Ⅳ 업종별개인정보처리사례 A 실명확인에필요한서류 ( 주민등록등본, 가족관계증명서 ) 를금융기관이수집 보관하는것은개인정보처리에해당하므로, 이러한서류를수집하여보관하고자하는경우에는계약자본인이외의가족정보중수집근거가없는개인정보는삭제하여제출받거나보관하여야함 ( 예시 ) 금융기관이계약자본인이외가족의주민등록번호가표기된주민등록등본을제출받은경우로서해당가족의주민등록번호수집근거및동의가없는경우에는주민등록번호뒷자리를검게칠하여알아볼수없도록한후보관 금융분야개인정보보호가이드라인 59

Ⅳ 업종별개인정보처리사례 1-5 제공 개인정보를제공받는제3자가변경된경우이내용을홈페이지에게재하여정보주체에게알리는것만으로별도의동의를받지않을수있는지여부 A 개인정보보호법제 18 조제 3 항은개인정보제공에대하여동의를받은이후에도개인정보를제공받는자등당초동의내용이변경된경우에는이를다시알리고동의를받아야한다고규정하고있으나신용정보업감독규정 ( 금융위고시 ) 제 34 조는당초동의내용에변경이있는경우이를홈페이지를통하여알려야한다고규정하고있음 따라서, 법률의규정은행정규칙의규정보다우선적인지위에있다고볼수있으므로원칙적으로개인정보를제공받는자가변경된경우에는해당정보주체에게이를알리고다시동의를받아야함 다만, 신용정보업감독규정제 34 조의제정취지와금융분야의특수성을고려하여당초정보주체가동의한개인정보의수집목적내범위에서제공하는경우로볼수있는포인트 마일리지의적립 사용처또는할인등부가혜택제공처의일부변동이나기업의양수 합병으로인한제휴업체변경에한하여는정보주체의별도동의를받지않아도해당변경내용을인터넷홈페이지게재를통해알리는것이가능함 1-6 동의 전화응대를통하여당해계약의체결및이행에불가피한개인정보만수집하는경우에도정보주체에게각각의개인정보수집항목및이용목적등을알리고동의를받아야하는지여부 A 계약의체결및이행을위하여반드시필요한필수정보 ( 민감정보및고유식별정보제외 ) 만수집하는경우에는정보주체에게반드시동의를받아야하는경우가아니므로정보주체의동의없이개인정보를처리할수있다는점과그사유를알리는것으로충분함 다만, 이러한경우에는필요최소한의개인정보수집이라는입증책임을개인정보처리자가부담하여야하며이러한내용을개인정보처리방침에반영하고공개하여야함 60

1-7 동의 고객이대리인을통하여금융관련업무를하는경우, 대리인의개인정보처리에대한동의서징구가별도로필요한지 A 금융기관등이적법한대리권여부를확인하기위하여대리인의개인정보를처리 ( 수집 보관등 ) 하고자하는경우에는원칙적으로당해대리인으로부터개인정보처리에대한동의를받아야함 다만, 당해계약의체결및이행을위하여필수적인정보 ( 대리인의성명, 연락처등 ) 에대하여는대리인의동의없이처리가능하며, 실명확인의무가있는금융거래의경우에는주민등록번호까지도동의없이처리가능 Ⅳ 1-8 동의 법시행전계좌를개설한고객에대하여법시행후금융거래시동의서징구를별도로해야하는지여부 업종별개인정보처리사례 A 법시행전에금융관계법령에따라적법하게처리된개인정보를법시행이후기존의수집목적범위내에서이용한다면추가로동의를받을필요는없음 따라서법시행전에개설한계좌로법시행후금융거래를하는경우동의서를징구할필요없음 또한법시행전에본인동의하에개인정보의제공을포함한계좌를개설한경우에도법시행이후기존목적범위내에서당초동의받은제공처에제공가능 ( 예시 ) 포인트, 마일리지, 할인혜택등 금융분야개인정보보호가이드라인 61

Ⅳ 업종별개인정보처리사례 1-9 열람등요구 금융기관에대하여고객이개인정보에대한열람, 정정, 삭제등을요구할경우어느법률에따라야하는지? A 신용정보의열람및정정청구등에대하여는신용정보법제 38 조에규정하고있으며, 개인정보의열람, 정정 삭제, 처리정지에대하여는개인정보보호법제 35 조내지제 38 조에규정하고있음 따라서, 본가이드라인제 10~12 쪽내용을참조하여 신용정보 에해당하는정보의열람등에대하여는신용정보법을적용하고 그밖의개인정보 에해당하는정보의열람등에대하여는개인정보보호법을적용하여야하며, 아울러 신용정보법 과 개인정보보호법 외다른금융관계법률에서개인정보의열람 정정 삭제에대한절차를별도로정하는경우에는해당법률이정하는바를우선적용하여야함 ( 예시 ) 대여금고이용정보, CCTV 촬영영상등의열람은개인정보보호법적용 1-10 위탁 위탁기간이매우짧은단발적인위탁의경우에도홈페이지공개나수탁업체교육을반드시하여야하는지? A 단발적인배송위탁등위탁기간이매우짧아위탁기간내홈페이지공개나수탁업체교육이불가능한경우에는, 위탁계약체결시수탁업체가지켜야할사항을계약서류등을통해명확히고지하고수탁업체가관련직원에게전달하여교육할수있도록요청할수있음 62

1-11 위탁 하나의수탁기관이동일한업무에대하여다수업체의위탁을받은경우각각의위탁기관으로부터임직원교육등의관리감독을받아야하는지여부 A 원칙적으로수탁자는수탁받은업무와관련한개인정보처리에대하여위탁자의지휘 감독을받아야하나, 해당수탁업무의특성상하나의수탁기관이동일한업무에대하여다수업체로부터위탁을받은경우에는, 상호합의하에수탁기관이기술적 관리적 물리적보호조치에대한사항이나임직원교육현황등을주기적으로공지하는등의방법을마련하고이를계약서에반영 이행함으로서위탁업체의관리 감독책임을수행할수있음 Ⅳ 업종별개인정보처리사례 금융분야개인정보보호가이드라인 63

Ⅳ 업종별개인정보처리사례 2 2-1 동의 만 14 세미만아동이직접계좌개설을요청하거나학교장이일괄계좌개설요청시동의서징구여부 A 만 14 세미만아동이금융기관에계좌를개설하고자하는경우에는금융위원회및금융감독원지도 ( 13.2 월 ) 에따라법정대리인의승낙이있어야하며, 개인정보처리에대한동의가필요한경우 ( 선택정보에대한동의등 ) 에는개인정보보호법제 22 조에따라해당법정대리인의동의를받아야함 다만, 당해계약의체결및이행에필수적인개인정보에한하여수집 이용하는경우로서금융실명법에따른실명확인의무가있는계좌개설시에는연령과무관하게개인정보 ( 주민등록번호포함 ) 처리에대하여정보주체의동의가필요한경우가아니므로, 동의서를징구할필요없음 2-2 동의 명의인이대리인을통해금융거래를하는경우, 해당명의인으로부터개인정보처리동의서를받아야하는지여부 A 원칙적으로금융기관등이대리인을통해명의인의개인정보를처리하는경우에는해당정보주체 ( 명의인 ) 의개인정보처리동의를받아야함 다만, 명의인이위임장등을통하여자신의금융거래처리업무를대리인에게명시적으로위임하였다면해당대리인은당해금융거래에필수적인개인정보처리에대한권한을위임받은자로볼수있으므로, 이러한경우명의인의동의서를추가로받을필요는없음 대리인이선택적개인정보처리까지동의가능한지에대하여는 Q2-3 참조 64

2-3 동의 가족대리또는위임장대리시선택적정보까지동의가능여부 A 본인이대리인에게명시적으로선택적정보동의까지위임하는경우에는가능하다고볼수있으나일반적으로금융거래업무등을포괄적으로위임한경우에는해당업무의본질적부분에대한위임에한정된것으로보아야하므로, 선택적정보의처리까지동의하는것으로볼수는없음 Ⅳ 2-4 동의금융기관이만 14 세이상미성년자의개인정보를처리하고자하는경우해당미성년자의동의를받아야하는지아니면그미성년자의법정대리인동의를받아야하는지 업종별개인정보처리사례 A 개인정보보호법제 22 조제 5 항에따라만 14 세미만아동의개인정보처리에대하여는그법정대리인의동의를받아야한다고규정하고있으므로, 만 14 세이상미성년자에대하여는해당미성년자의동의를받는것이원칙임. 다만, 민법제 4 조에따라만 20 세 ( 13.7.1 일부터는 19 세 ) 미만의미성년자의법률행위는법정대리인의동의 ( 권리만을얻거나의무만을면하는행위는제외 ) 를받도록규정하고있으므로개인정보처리자가만 14 세이상미성년자의개인정보를처리하고자하는경우에는해당미성년자의동의를받거나그법정대리인의동의를받는것도가능함 금융분야개인정보보호가이드라인 65

Ⅳ 업종별개인정보처리사례 2-5 동의 사업주가제출한개인정보처리동의서의은행확인의무 A 사업주가자신의업무를목적으로고객또는직원의개인정보를처리하고있다면해당사업주는정보주체로부터개인정보를직접수집하여처리하는개인정보처리자에해당하는바, 적법한동의를받아개인정보를처리하여야하는법적책임을부담하여야함 아울러, 금융기관이정보주체가아닌사업주로부터해당정보주체의개인정보를제공받는경우에는해당정보가적법하게수집된정보인지여부를명확히할필요가있으므로, 개인정보를제공하는사업주에게동의가있었다는사실을증명할수있는자료의제출이나해당정보주체의동의확인을요청할수있음. 아울러불법적으로수집된개인정보임을알게된경우에는이를취득하여서는안됨 2-6 영업양도 채권양도에따른고객정보이전 A 신용정보법제 32 조제 4 항은영업양도 양수및합병등을이유로권리 의무의전부또는일부를이전하면서그와관련된개인신용정보를제공하는경우동의없이제공가능하다고규정하고있으며, 개인정보보호법제 27 조는양도자또는양수자가영업양도에따른개인정보이전에대한사실을서면등의방법으로정보주체에게알리도록하고있음 따라서영업상이유로채권등의재산적권리가양도되는경우에도원칙적으로이에준하여정보주체의동의를요하지않으며, 지명채권의양도시에는채무자에게통지하여야함.( 무기명채권의경우에는통지의무가없음 ) 66

3 3-1 제공 보험사에개인정보를제공하는제휴업체 ( 카드사, 공동마케팅사등 ) 를위탁관계로볼수있는지 A 3-2 제공 제휴업체는통상적으로각자의업무목적을위해개인정보를처리하는자에해당하므로보험사와위탁관계가아니라제 3 자제공으로보아야함 개인정보보호법제26 조에따른개인정보처리업무의위탁은기관내부의업무를외부의제3자에게위탁하여이를대신처리토록하는일종의아웃소싱 (Outsourcing) 을말하는것임 Ⅳ 업종별개인정보처리사례 제공받는정보가정당한동의를받은것인지확인할의무가있는지 A 제휴업체등이정보주체의동의를얻어보험사에개인정보를제공하는경우에는해당제휴업체가개인정보를제공하는자로서법적책임을가지며, 아울러보험사는제휴업체로부터제공받는개인정보가적법하게수집된정보인지를명확히할필요가있으므로해당제휴업체에게동의가있었다는사실을증명할수있는자료의제출이나해당정보주체의동의확인을요청할수있음. 아울러불법적으로수집된개인정보임을알게된경우에는이를취득하여서는안됨 금융분야개인정보보호가이드라인 67

Ⅳ 업종별개인정보처리사례 3-3 동의 개인정보처리자간개인정보를상호제공하는경우쌍방의개인정보처리자모두각각동의를받아야하는지여부 A 개인정보보호법이적용되는 그밖의개인정보 를개인정보처리자간상호제공하는경우에는원칙적으로개인정보를제공하는각각의개인정보처리자가정보주체로부터개별적인동의를받아야함 다만, 개인정보를제공하거나제공받고자하는개인정보처리자쌍방이상호합의하여개인정보의제공또는공유에대한사항을일방의동의서에명확히반영한후정보주체의동의를받는경우에는해당동의내용에이미개인정보의상호제공또는공유가포함된것으로볼수있으므로정보주체가이미동의한내용에대하여다른개인정보처리자가추가적인동의를받을필요는없음 3-4 동의 개인정보를제공받고자하는자가정보주체의동의를받아해당정보주체의개인정보를보유하고있는자에게제공요청을할수있는지여부 A 신용정보법제 32 조제 2 항등다른법률에서특별히동의를받아야하는자를규정하고있는경우를제외하고, 원칙적으로개인정보를제공하는자가정보주체의동의를받아야함 신용정보법제32조제2항은신용조회회사또는신용정보집중기관으로부터대통령령으로정하는개인신용정보를제공받으려는자는대통령령으로정하는바에따라해당개인으로부터동의를받아야한다고규정 다만, 해당개인정보를제공하는자와제공받고자하는자가상호협의한경우에는개인정보를제공받고자하는자가개인정보를제공하는자에게정보주체의동의의사를대신제출한후개인정보를제공받는것은가능함 68

3-5 동의 불특정다수가하나의동의서에서명하는다수계약자용동의서식사용이가능한지여부 A 하나의동의서에불특정다수가서명하는형태의동의서식은당해동의서식에기재된다른사람의개인정보가불특정다수에게노출될수있으므로, 하나의동의서에는한사람의동의내용만을기재하거나다른사람의개인정보가쉽게노출되지않는형태의동의서식을사용하는것이바람직 불특정다수 라함은상호이해관계가없는불특정인을말하며계약관계자나가족구성원, 특정단체보험가입자는불특정다수로볼수없는바, 하나의동의서식을이용하는것이가능함 Ⅳ 3-6 동의 보험계약시개인정보처리에동의한계약자, 피보험자, 수익자등이보험금을청구하는경우추가적으로동의를받아야하는지 업종별개인정보처리사례 A 개인정보보호법제 15 조에따라개인정보는당초수집목적의범위내에서이용할수있으므로당초보험계약시보험금청구와관련한개인정보처리에대하여이미동의를한자의경우에는향후보험금청구시추가적으로동의를받아야할필요는없음 금융분야개인정보보호가이드라인 69

Ⅳ 업종별개인정보처리사례 3-7 동의 보험금수익자를지정또는변경하거나, 제3자배상책임을이행하기위한경우, 동의없이개인정보를처리할수있는지 A 개인정보보호법에따라정보주체와의계약의체결및이행을위하여불가피한경우개인정보 ( 민감정보및고유식별정보제외 ) 를수집 이용할수있으므로이에해당하는경우동의없이수집 이용가능 또한, 보험회사가보험업법시행령제 102 조제 5 항에따른 3 자배상책임이행및보험수익자지정 변경에관한사무를수행하는경우에는해당사무수행에필요한범위로한정하여제 3 자의건강정보및고유식별정보 ( 제 3 자배상책임이행시 ), 보험수익자의고유식별정보 ( 수익자지정또는변경시 ) 를동의없이처리할수있음 3-8 안전성 보험회사가개인정보의안전한관리를위하여설계사의개인 PC, 업무수첩등에기재된개인정보까지관리하여야하는지여부 A 보험회사가자신의고용인또는수탁자가처리하는개인정보를관리 감독하는범위및내용에대하여는해당보험회사또는금융감독당국이사생활침해우려등을고려해서자체적으로정할수있음 ( 예시 ) 설계사개인 PC 는개인정보자가진단툴을이용하여정기점검, 수시또는정기교육등을통해고객개인정보를안전하게관리하도록인식제고등 70

4 4-1 제공 증권회사가법인등기부등본에기재된법인대표자나대리인의개인정보를수집 이용하는경우에도동의서를징구하여야하는지여부 A 법인등기부등본상에기재된법인대표자및대리인의정보 ( 성명, 직위, 생년월일, 사업장소재지등 ) 는개인에대한정보가아니라해당법인에대한정보로볼수있으므로이러한정보를수집 이용하고자하는경우에는별도의동의서를징구할필요는없음 다만, 법인등기부등본상에기재된대표자및대리인등의정보가해당법인의정보로서가아니라특정자연인의개인정보로처리되는경우 * 는개인정보에해당될수있으므로이러한경우에는정보주체의동의를받는등개인정보보호법제 15 조에서정하는바에따라개인정보를수집이용하여야함 * 법인등기부등본상에기재된정보가특정자연인의개인정보로처리되는경우는당해등본에기재된대표자, 임원, 대리인등의정보를수집하여해당개인에게자산관리등의금융상품을홍보하거나구매를권유하는경우등을말함 Ⅳ 업종별개인정보처리사례 금융분야개인정보보호가이드라인 71

2024 © docsplayer.org 개인정보보호 | 약관 | 지원