무궁화신탁은 언제나 고객만족을 최우선으로

무궁화신탁은 새로운 생각으로 새로운 가치, 새로운 가능성을 지향합니다.

무궁화신탁

  • 홈으로
  • 무궁화신탁
  • 개인정보처리방침

개인신용정보 관리보호지침

개인신용정보 관리.보호지침

제1장 총칙

제1조(목적)

본 규정은「신용정보의 이용 및 보호에 관한 법률」(이하 “신용정보법”이라 한다), 동법 시행령 및 시행규칙,「신용정보업감독규정 (이하 통칭하여 “관련 법령”이라 한다)에서 정하는 바에 따라 신용정보의 이용 및 보호 등에 관한 사항을 정함을 목적으로 한다.

제2조(용어의 정의)

본 규정에서 사용하는 용어의 정의는 다음 각 호와 같다.

  • 1. “신용정보”란 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보로서 다음 각 목의 정보를 말한다.
    • 가. 특정 신용정보주체를 식별할 수 있는 정보(나목부터 마목까지의 어느 하나에 해당하는 정보와 결합되는 경우만 신용정보에 해당한다)
    • 나. 신용정보주체의 거래내용을 판단할 수 있는 정보
    • 다. 신용정보주체의 신용도를 판단할 수 있는 정보
    • 라. 신용정보주체의 신용거래능력을 판단할 수 있는 정보
    • 마. 가목부터 라목까지의 정보 외에 신용정보주체의 신용을 판단할 때 필요한 정보
  • 1의2. 제1호 가목의 “특정 신용정보주체를 식별할 수 있는 정보”란 다음 각 목의 정보를 말한다.
    • 가. 살아 있는 개인에 관한 정보로서 다음 각각의 정보
      • 1) 성명, 주소, 전화번호 및 그 밖에 이와 유사한 정보로서 신용정보법 시행령으로 정하는 정보
      • 2) 법령에 따라 특정 개인을 고유하게 식별할 수 있도록 부여된 정보로서 신용 정보법 시행령으로 정하는 정보(이하 “개인식별번호”라 한다)
      • 3) 개인의 신체 일부의 특징을 컴퓨터 등 정보처리장치에서 처리할 수 있도록 변환한 문자, 번호, 기호 또는 그 밖에 이와 유사한 정보로서 특정 개인을 식별할 수 있는 정보
      • 4) 1)부터 3)까지와 유사한 정보로서 신용정보법 시행령으로 정하는 정보
    • 나. 기업(사업을 경영하는 개인 및 법인과 이들의 단체를 말한다. 이하 같다) 및 법인의 정보로서 다음 각각의 정보
      • 1) 상호 및 명칭
      • 2) 본점·영업소 및 주된 사무소의 소재지
      • 3) 업종 및 목적
      • 4) 개인사업자(사업을 경영하는 개인을 말한다. 이하 같다)·대표자의 성명 및 개인식별번호
      • 5) 법령에 따라 특정 기업 또는 법인을 고유하게 식별하기 위하여 부여된 번호로서 신용정보법 시행령으로 정하는 정보
      • 6) 1)부터 5)까지와 유사한 정보로서 신용정보법 시행령으로 정하는 정보
  • 2. “개인신용정보”란 기업 및 법인에 관한 정보를 제외한 살아 있는 개인에 관한 신용정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
    • 가. 해당 정보의 성명, 주민등록번호 및 영상 등을 통하여 특정 개인을 알아볼 수 있는 정보
    • 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보
  • 3. “신용정보주체”란 처리된 신용정보로 알아볼 수 있는 자로서 그 신용정보의 주체가 되는 자를 말한다.
  • 4. “신용정보제공·이용자”란 고객과의 금융거래 등 상거래를 위하여 본인의 영업과 관련하여 얻거나 만들어 낸 신용정보를 타인에게 제공하거나 타인으로부터 신용정보를 제공받아 본인의 영업에 이용하는 자와 그 밖에 이에 준하는 자로서 신용정보법 시행령으로 정하는 자를 말한다.
  • 5. “처리”란 신용정보의 수집(조사를 포함한다. 이하 같다), 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(討正), 복구, 이용, 결합, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
제2장 신용정보의 처리 등

제3조(신용정보의 수집·이용 및 제공)

  • 신용정보는 신탁의 수탁 및 관리, 부동산투자회사의 설립과 운영(PFV 포함), 부수업무의 위임, 기타계약의 체결 등 상거래 관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 수집·이용 및 제공하여야 한다.
  • 회사가 개인신용정보를 수집·이용 및 제공하는 경우에는 해당 신용정보주체의 동의를 얻어야 한다. 다만, 관련 법령에서 허용하는 경우에는 그러하지 아니하다.
  • 제2항 단서 중 신용정보법 제32조 제6항 각 호의 어느 하나에 해당하는 경우에는 개인신용정보의 제공 사실 및 이유 등을 별지 제7호 서식에 따라 사전에 해당 신용정보주체에게 알려야 한다. 다만, 신용정보법 시행령 제28조 제12항에서 규정한 불가피한 사유가 있는 경우에는 인터넷 홈페이지 게재 또는 그 밖에 유사한 방법을 통하여 사후에 알리거나 공시할 수 있다.
  • 회사는 개인신용정보의 수집·이용에 대한 동의를 받을 때에는 다음 각 호의 사항을 신용정보주체에게 알리고 동의를 받아야 한다.
    • 1. 개인신용정보의 수집·이용 목적
    • 2. 수집하려는 개인신용정보의 항목
    • 3. 수집된 개인신용정보의 보유·이용 기간
    • 4. 동의와 관련하여 녹취 시에는 녹취사실 고지
    • 5. 신용정보법 시행령 제17조의2 제5항에 따른 금융거래 등 상거래관계가 종료된 날에 관한 사항
    • 6. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
  • 회사는 개인신용정보의 제공에 대한 동의를 받을 때에는 다음 각 호의 사항을 신용정보주체에게 알리고 동의를 받아야 한다.
    • 1. 개인신용정보를 제공받는 자
    • 2. 개인신용정보를 제공받는 자의 이용 목적
    • 3. 제공하는 개인신용정보의 내용
    • 4. 개인신용정보를 제공받는 자의 정보 보유 기간 및 이용 기간
    • 5. 동의와 관련하여 녹취 시에는 녹취사실 사전고지
    • 6. 신용정보법 시행령 제17조의2 제5항에 따른 금융거래 등 상거래관계가 종료된 날에 관한 사항
    • 7. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
    • 8. 개인신용정보의 필수적 제3자 제공과 금융거래 등 상거래 계약 체결 및 이행과의 관련성
  • 제4항 및 제5항의 개인신용정보의 수집·이용 및 제공 동의는 다음 각 호의 어느 하나에 해당하는 방식으로 받아야 한다.
    • 1. 서면(별지 제1호 내지 제6호 서식 이용)
    • 2. 유무선 통신으로 동의 내용을 해당 개인에게 알리고 동의를 얻는 방법. 이 경우 본인여부 및 동의내용, 그에 대한 해당 개인의 답변을 음성녹음하는 등 증거자료를 확보·유지하여야 한다.
    • 3. 기타 관련 법령에서 정하는 양식
  • 개인신용정보를 제공하는 경우에는 결재권자의 사전승인을 득하여야 한다.
  • 개인신용정보를 제공하는 경우에는 개인신용정보를 제공받는 자로부터 별지 제8호 서식에 의한 의뢰서를 받아야 하며, 개인신용정보를 제공받는 자의 신원과 이용목적을 확인하여야 한다.
  • ⑨ 회사는 신용정보의 제공계약에 따른 신용정보의 이용·보관 기간 및 동 기간 경과 후 신용정보의 폐기 또는 반납에 관한 사항의 결과를 확인하여야 한다.

제4조(개인식별정보의 처리에 대한 동의)

  • 회사는 개인식별정보의 처리에 대하여 신용정보주체의 동의를 받을 때는 개인신용정보 처리에 대한 동의와 별도로 구분하여 동의를 받아야 한다.
  • 회사는 개인식별정보의 처리에 관한 동의를 받을 때에는 다음 각 호의 사항을 신용정보주체에게 알리고 동의를 받아야 한다.
    • 1. 개인식별정보의 수집·이용 목적
    • 2. 수집하려는 개인식별정보의 항목
    • 3. 수집된 개인식별정보의 보유 및 이용 기간
    • 4. 동의 사항 변경 시 신용정보주체에게 고지 후 동의 획득
    • 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

제5조(신용정보제공계약에 포함될 신용정보 보안관리 대책)

  • 신용정보제공·이용자 간에 신용정보를 제공하는 경우 체결하는 신용정보제공계약에는 다음 각 호의 사항을 포함하여야 한다.
    • 1. 제공되는 신용정보의 범위 및 제공·이용 목적
    • 2. 제공된 신용정보의 업무목적 외 사용 및 제3자 앞 제공 금지에 관한 사항
    • 3. 제공된 신용정보의 이용자 제한 및 전담 관리자 지정에 관한 사항
    • 4. 신용정보제공·이용자간 신용정보 송수신 시 정보유출 방지에 관한 사항
    • 5. 신용정보의 사용·보관 기간 및 동 기간 경과 후 신용정보의 폐기·반납에 관한사항
    • 6. 제1호부터 제5호까지를 위반한 경우의 책임소재 및 제재에 관한 사항
  • 개인신용평가회사, 개인사업자신용평가회사, 기업 신용조회회사와 신용정보제공·이용자 간에 신용정보를 제공하는 경우 체결하는 신용정보제공계약에는 다음 각 호의 사항을 포함하여야 한다.
    • 1. 제1항의 제1호부터 제5호까지의 사항
    • 2. 신용정보를 제공받은 신용정보제공·이용자에 대한 신용정보법 등 관련 법규의 준수여부 점검 등에 관한 사항
    • 3. 개인신용정보를 조회하는 근거가 되는 자료 또는 서류 등의 보관에 관한 사항
    • 4. 개인신용정보 조회 시 조회용도에 맞는 조회사유코드를 적절하게 입력하는 것에 관한 사항
    • 5. 신용정보 보호 등을 위한 교육에 관한 사항
    • 6. 제1호부터 제5호까지를 위반한 경우의 책임소재 및 제재에 관한 사항
  • 수집된 신용정보 처리 위탁에 따라 신용정보를 제공하는 경우 체결하는 신용정보제공계약에는 다음 각 호의 사항을 포함하여야 한다.
    • 1. 제1항의 제1호부터 제5호까지의 사항
    • 2. 수탁자에 대한 관리· 감독에 관한 사항
    • 3. 신용정보주체의 신용정보 보호 및 비밀유지에 관한 사항
    • 4. 신용정보 처리 재위탁의 제한에 관한 사항
    • 5. 수탁자가 위탁받은 업무를 재위탁하는 경우 위탁자에 대한 보고에 관한 사항
    • 6. 그 밖에 신용정보 보호를 위하여 필요한 사항
    • 7. 제1호부터 제6호까지를 위반한 경우의 책임소재 및 제재에 관한 사항
  • 신용정보 처리의 재위탁에 따라 제공하는 경우 체결하는 신용정보제공계약에는 다음 각 호의 사항을 포함하여야 한다.
    • 1. 재위탁업무의 목적과 범위, 기간 및 재위탁하는 신용정보의 내용
    • 2. 재수탁자 및 재수탁자의 임직원의 보안서약서 작성 및 제출에 관한 사항
    • 3. 신용정보 보호 및 안전한 처리를 위한 기술적·물리적·관리적 보안대책에 관한사항
    • 4. 목적 달성 후 파기, 반납에 관한 사항 및 파기확인서 등 그 결과를 원수탁자에게 통보하는 사항
    • 5. 원수탁자가 재수탁자를 관리 · 감독하는 사항(실태점검을 위하여 재수탁자의 업무공간에 출입하여 점검하는 사항을 포함한다)
    • 6. 제1호부터 제5호까지를 위반한 경우의 책임소재 및 제재에 관한 사항
제3장 신용정보의 관리 등

제6조(업무 목적 외 누설금지)

신용정보와 관련하여 임직원은 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적인 비밀을 업무목적 외로 누설 또는 이용하여서는 아니된다.

제7조(신용정보관리·보호인의 지정·운영)

  • 회사는 신용정보 관리 ·보호업무를 총괄하는 신용정보관리·보호인을 지정하여 다음 각 호의 임무를 수행하도록 하여야 한다.
    • 1. 개인신용정보의 경우에는 다음 각 목의 업무
      • 가. 「개인정보 보호법」제31조 제2항 제1호부터 제5호까지의 업무
      • 나. 임직원 및 전속 모집인 등의 관련 법령 및 규정 준수 여부 점검
      • 다. 그 밖에 신용정보의 관리 및 보호를 위하여 신용정보법 시행령으로 정하는 업무
    • 2. 기업신용정보의 경우 다음 각 목의 업무
      • 가. 신용정보의 수집·보유·제공·삭제 등관리 및 보호 계획의 수립 및 시행
      • 나. 신용정보의 수집·보유·제공·삭제 등 관리 및 보호 실태와 관행에 대한 정기적인 조사 및 개선
      • 다. 신용정보 열람 및 정정청구 등 신용정보주체의 권리행사 및 피해구제
      • 라. 신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영
      • 마. 임직원 및 전속 모집인 등에 대한 신용정보보호 교육계획의 수립 및 시행
      • 바. 임직원 및 전속 모집인 등의 관련 법령 및 규정 준수 여부 점검
      • 사. 그 밖에 신용정보의 관리 및 보호를 위하여 신용정보법 시행령으로 정하는 업무
  • 신용정보관리·보호인은 제1항 각 호의 업무에 대하여 연 1회 이상 점검을 실시한 후 그 결과를 대표이사 및 이사회에 보고하고 금융위원회가 정하여 고시하는 기준과 서식에 따라 금융위원회에 제출하여야 한다.
  • 신용정보관리·보호인은 제1항 각 호의 업무처리에 따른 기록을 3년간 보존하며, 점검결과를 경영진에 보고하고 업무처리절차에 적절히 반영하여야 한다.
  • 신용정보관리·보호인은 정보유출 대응매뉴얼을 마련하여야 한다.
  • 신용정보관리·보호인은 제9조에 따른 관리적 보안대책 시행결과에 따른 시정·개선에 필요한 조치를 취하여야 한다.
  • 회사는 신용정보관리·보호인을 지정하거나 변경하는 경우 신용정보관리·보호인의 지정 및 변경 사실, 성명과 부서의 명칭, 전화번호 등 연락처를 홈페이지 등을 통하여 공개하여야 하며, 신용정보관리·보호인을 공개하는 경우 신용정보 보호와 관련한 고충처리 및 상담을 실제로 처리할 수 있는 연락처(담당자의 성명, 부서의 명칭, 전화번호)를 함께 기재하여야 한다.

제8조(신용정보활용체제의 공시)

  • 회사는 다음 각 호의 사항을 포함한 신용정보 활용체제를 회사 인터넷 홈페이지에 공시하여야 한다.
    • 1. 관리하는 신용정보의 종류 및 이용 목적
    • 2. 신용정보를 제3자에게 제공하는 경우 제공하는 신용정보의 종류, 제공 대상, 제공받는 자의 이용 목적
    • 3. 신용정보의 보유 기간 및 이용 기간이 있는 경우 해당 기간, 신용정보 파기의 절차 및 방법
    • 4. 신용정보법 제17조에 따라 신용정보의 처리를 위탁하는 경우 그 업무의 내용 및 수탁자
    • 5. 신용정보주체의 권리와 그 행사방법
    • 6. 신용정보법 제20조 제3항에 따른 신용정보관리·보호인 또는 신용정보 관리·보호관련 고충을 처리하는 사람의 성명, 부서 및 연락처
  • 회사는 신용정보활용체제를 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하여야 한다.

제9조(신용정보전산시스템의 안전보호)

  • 회사는 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경· 훼손 및 파괴, 그 밖의 위험에 대하여 기술적·물리적·관리적 보안대책을 수립·시행하여야 한다.
  • 제1항의 기술적·물리적 보안대책 중 접근통제 관련 대책은 다음 각 호의 사항을 말한다.
    • 1. 회사는 신용정보전산시스템에 대한 접근권한을 서비스제공을 위하여 필요한 최소한의 인원에게만 부여한다.
    • 2. 회사는 전보 또는 퇴직 등 인사이동이 발생하여 회사의 지휘·감독을 받아 개인 신용정보를 처리하는 업무를 담당하는 자(이하 “개인신용정보취급자”라 한다)가 변경되었을 경우 지체 없이 신용정보전산 시스템의 접근권한을 변경 또는 말소한다.
    • 3. 회사는 제1호 및 제2호에 따른 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관한다.
    • 4. 회사는 신용정보 전산시스템에 침입차단시스템과 침입탐지시스템을 설치하여 보호한다.
    • 5. 회사는 개인신용정보주체 및 개인신용정보취급자가 생일, 주민등록번호, 전화번호 등 추측하기 쉬운 숫자를 비밀번호로 이용하지 않도록 비밀번호 작성규칙을 수립하고 이행한다.
    • 6. 회사는 취급 중인 개인신용정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여열람 권한이 없는 자에게 공개되지 않도록 신용정보전산시스템 및 개인신용정보취급자의 PC를 설정한다.
    • 7. 회사는 제휴, 위탁 또는 외부주문에 의한 신용정보전산시스템, 신용평가모형 또는 위험관리모형 개발업무에 사용되는 업무장소 및 전산설비는 내부 업무용과 분리하여 설치·운영한다.
    • 8. 회사는 업무목적을 위하여 불가피한 경우에만 외부사용자에게 신용정보전산시스템에 대한 최소한의 접근권한을 부여하고, 권한 부여에 관한 기록을 3년 이상 보관하는 등 적절한 통제시스템을 갖추어야 한다.
  • 제1항의 기술적·물리적 보안대책 중 접속기록의 위· 변조방지 관련 대책은 다음 각 호의 사항을 말한다.
    • 1. 회사는 개인신용정보 취급자가 신용정보 전산시스템에 접속하여 개인신용정보를 처리한 경우에는 처리일시, 처리내역 등 접속기록을 저장하고 이를 월 1회 이상 정기적으로 확인·감독한다.
    • 2. 회사는 신용정보전산시스템의 접속기록을 1년 이상 저장하고, 위·변조되지 않도록 별도 저장장치에 백업 보관한다.
  • 제1항의 기술적·물리적 보안대책 중 개인신용정보의 암호화 관련 대책은 다음 각호의 사항을 말한다.
    • 1. 회사는 비밀번호, 생체인식정보 등 본인임을 인증하는 정보는 암호화하여 저장하며, 이는 조회할 수 없도록 하여야 한다. 다만, 조회가 불가피하다고 인정되는 경우에는 그 조회사유·내용 등을 기록·관리하여야 한다.
    • 2. 회사는 정보통신망을 통해 개인신용정보 및 인증정보를 송·수신할 때에는 보안서버 구축 등의 조치를 통해 이를 암호화하여야 한다. 보안서버는 다음 각 목의 어느 하나의 기능을 갖추어야 한다.
      • 가. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 개인신용정보를 암호화하여 송·수신하는 기능
      • 나. 웹서버에 암호화 응용프로그램을 설치하여 개인신용정보를 암호화하여 송·수신하는 기능
    • 3. 회사는 개인신용정보를 PC에 저장할 때에는 이를 암호화하여야 한다.
    • 4. 회사는 다음 각 목의 기준에 따라 개인식별정보의 암호화 등의 조치를 취하여야 한다.
      • 가. 정보통신망을 통하여 송수신하거나 보조저장매체를 통하여 전달하는 경우에는 암호화하여야 한다.
      • 나. 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 저장할 때에는 암호화하여야 한다.
      • 다. 회사가 내부망에 개인식별정보를 저장하는 경우에는 암호화하여야 한다. 다만, 신용정보법 시행령 제2조 제2항 각 호의 정보 중 주민등록번호 외의 정보를 저장하는 경우에는 신용정보 전산시스템에 적용되고 있는 개인신용정보 보호를 위한 수단과 개인신용정보 유출 시 신용정보주체의 권익을 해할 가능성 및 그 위험의 정도를 분석한 결과에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
      • 라. 업무용 컴퓨터 또는 모바일 기기에 저장하여 관리하는 경우에는 상용 암호화소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.
    • 5. 회사가 개인신용정보의 처리를 위탁하는 경우 개인식별번호를 암호화하여 수탁자에게 제공하여야 한다.
  • 제1항의 기술적·물리적 보안대책 중 컴퓨터 바이러스 방지 관련 대책은 다음 각호의 사항을 말한다.
    • 1. 회사는 신용정보전산시스템 및 개인신용정보취급자가 개인신용정보 처리에 이용하는 정보처리기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투여부를 항시 점검·치료할 수 있도록 백신소프트웨어를 설치한다.
    • 2. 제1호에 따른 백신 소프트웨어는 월 1회 이상 주기적으로 갱신·점검하고, 바이러스 경보가 발령된 경우 및 백신 소프트웨어 제작 업체에서 업데이트 공지를 한 경우에는 즉시 최신 소프트웨어로 갱신·점검한다.
  • 제1항의 기술적·물리적 보안대책 중 출력·복사 시 보호조치 관련 대책은 다음 각호의 사항을 말한다.
    • 1. 회사는 신용정보전산시스템에서 개인신용정보의 출력 시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 한다.
    • 2. 회사는 개인신용정보를 조회(활용)하는 경우 조회자의 신원, 조회일시, 대상정보, 목적, 용도 등의 기록을 관리하여야 하며, 개인신용정보취급자가 개인신용정보를 보조저장매체에 저장하거나 이메일 등의 방법으로 외부에 전송하는 경우에는 관리책임자의 사전 승인을 받아야 한다.
    • 3. 개인신용정보취급자는 제1호 및 제2호의 준수에 필요한 내부시스템을 구축하여야 하며 사전 승인시 승인신청자에게 관련 법령을 준수하여야 한다는 사실을 주지시켜야 한다.
  • ⑦ 제1항의 관리적 보안대책 중 신용정보관리· 보호인 관련 사항은 제7조에서 정한 바에 따른다.
  • 제1항의 관리적 보안대책 중 개인신용정보의 조회권한 구분 관련 대책은 다음 각호의 사항을 말한다.
    • 1. 신용정보관리·보호인은 개인신용정보 조회 권한이 직급별· 업무별로 차등 부여되도록 하여야 한다.
    • 2. 회사는 개인신용정보의 조회기록에 대하여는 다음 각 목에 따라 주기적으로 그 적정성 여부를 점검 하여야 하며, 점검결과를 업무에 반영하여야 한다.
      • 가. 개인신용정보취급자의 개인신용정보 취급상황을 확인할 수 있는 수단 및 이의 점검·감사체제 정비
      • 나. 개인신용정보 이상 과다 조회 부서 및 직원 등에 대해 수시 점검 실시
        • 1) 조회 권한을 초과하여 고객 정보 조회를 일정횟수 이상 시도한 직원에 대한 통제장치 마련
        • 2) 영업점 및 신용정보 관리부서의 개인신용정보 조회 건수에 대해 정기적으로 점검하고 조회건수가 평소보다 급증한 부서 및 직원들을 샘플링하여 점검 실시
    • 3. 신용정보관리·보호인은 개인신용정보취급자가 입력하는 조회사유의 정확성 등 신용조회기록의 정확성을 점검하여야 한다.
  • ⑨ 회사는 제1항의 관리적 보안대책 중 개인신용정보의 이용제한 등 관련 대책의 일환으로 신용평가모형 또는 위험관리모형 개발 위탁시 개인신용정보를 제공할 수 없도록 하여야 한다. 다만, 모형 개발을 위하여 불가피한 경우에는 실제 개인신용정보를 변환하여 제공한 후 모형 개발 완료 즉시 삭제하여야 한다.
  • ⑩ 회사는 개인신용정보 오·남용에 대한 자체 제재기준을 마련하여야 한다.
  • 개인정보처리자는 악성프로그램 등을 방지ㆍ치료할 수 있는 보안 프로그램을 설치ㆍ운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
    • 1. 프로그램의 자동 업데이트 기능을 사용하거나, 정당한 사유가 없는 한 일 1회 이상 업데이트를 실시하는 등 최신의 상태로 유지
    • 2. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치

제10조(신용정보 분리 보관 및 접근제한)

회사는 다음 각 호의 구분에 따른 방법으로 금융거래 등 상거래관계가 종료된 신용정보주체의 개인신용정보를 관리하여야 하며, 제1호 나목의 경우 접근권한 관리책임자를 두어야 한다.

  • 1. 금융거래 등 상거래관계의 설정 및 유지 등에 필수적인 개인신용정보의 경우: 다음 각 목의 방법
    • 가. 상거래관계가 종료되지 아니한 다른 신용정보주체의 정보와 별도로 분리하는 방법
    • 나. 회사 임직원 중에서 해당 개인신용정보에 접근할 수 있는 사람을 지정하는 방법
    • 다. 개인신용정보가 안전하게 보호될 수 있도록 나목에 따라 접근권한을 부여받은 자가 해당 개인신용정보를 이용하려는 경우 접근권한 관리책임자의 사전 승인을 얻어 그 개인신용정보를 이용하게 하고, 그 이용 내역을 3년간 보관하는 방법
  • 2. 제1호 외의 개인신용정보의 경우: 그 정보를 모두 삭제하는 방법

제11조(개인신용정보의 처리기록 관리 ·보존)

회사는 다음 각 호의 구분에 따라 개인 신용정보의 처리에 대한 기록을 3년간 보존하여야 한다.

  • 1. 개인신용정보를 수집·이용한 경우
    • 가. 수집·이용한 날짜
    • 나. 수집·이용한 정보의 항목
    • 다. 수집 ·이용한 사유와 근거
  • 2. 개인신용정보를 제공하거나 제공받은 경우
    • 가. 제공하거나 제공받은 날짜
    • 나. 제공하거나 제공받은 정보의 항목
    • 다. 제공하거나 제공받은 사유와 근거
  • 3. 개인신용정보를 삭제· 폐기한 경우
    • 가. 삭제·폐기한 날짜
    • 나. 삭제·폐기한 정보의 항목
    • 다. 삭제·폐기한 사유와 근거

제12조(신용정보 이용 및 제공 사실의 조회)

  • 회사는 신용정보주체가 관련 법령에서 정하는 방법으로 본인 확인 후 개인신용정보 이용 및 제공 사실을 조회할 수 있는 개인신용정보조회시스템을 홈페이지 등을 통하여 제공하여야 한다.
  • 회사는 신용정보주체가 개인신용정보조회시스템 등에 대한 접근을 용이하게 할 수 있도록 편의조치를 취하여야 한다.
  • 회사는 제1항에 따라 조회를 한 신용정보주체의 요청이 있는 경우 개인신용정보를 이용하거나 제공하는 때에 신용정보법 제35조 제1항 각 호의 구분에 따른 사항을 별지 제10호 서식에 따라 작성하여 연 1회 이상 신용정보주체에게 서면, 전자우편, 문자메시지, 그 밖에 이와 유사한 방법으로 통지한다.
  • 회사는 제1항에 따른 조회나 제3항에 따른 통지에 직접 드는 비용을 그 신용정보 주체에게 부담하게 할 수 있으며, 회사는 해당 비용을 필요한 인적·물적 비용을 고려하여 적정한 수준에서 채택하여야 한다. 다만, 제1항에 따른 개인신용정보조회시스템을 통하여 조회사항을 조회할 수 있도록 한 경우에는 신용정보주체가 1년에 1회 이상 무료로 조회할 수 있도록 하여야 한다.

제12조의2(상거래거절 근거 신용정보의 고지)

신용조회회사 및 신용정보집중기관으로부터 제공받은 신용정보로서 상거래관계 설정을 거절하거나 중지한 경우, 회사는 고객의 요구가 있으면 그 거절 또는 중지의 근거가 되는 정보 등을 고객에게 고지하여야 한다.

제13조(개인신용정보 제공-이용 동의의 철회)

  • 개인인 신용정보주체는 별지 제9호 서식에 따른 서면, 회사의 인터넷 홈페이지, 유무선 통신, 직접 방문 등을 통해 개인 신용정보의 제공·이용 동의의 철회를 청구할 수 있다. 다만, 이 때 회사는 신용정보 주체가 개인신용정보 제공·이용 동의 철회권 행사로 인하여 중단되는 서비스가 있는 경우 이에 대해 신용정보주체에게 설명하여야 한다.
  • 회사는 제1항에 따른 청구를 받은 경우 청구를 받은 날로부터 1개월 이내에 해당 제3자에 대한 개인신용정보의 신규 제공을 중단하여야 한다.

제14조(신용정보의 열람 및 정정)

  • 신용정보주체는 제12조 제1항의 방법으로 본인확인 후 본인 신용정보의 열람을 별지 제9호 서식에 따른 서면으로 청구할 수 있다.
  • 제1항에 따라 자신의 신용정보를 열람한 신용정보주체는 본인 신용정보가 사실과 다른 경우에는 별지 제9호 서식에 따른 서면으로 정정을 청구할 수 있다.
  • 제2항에 따라 정정청구를 받은 회사는 정정청구에 정당한 사유가 있다고 인정하면 지체 없이 해당 신용정보의 제공·이용을 중단한 후 사실인지를 조사하여 사실과 다르거나 확인할 수 없는 신용정보는 삭제하거나 정정하여야 하며, 이 때 회사는 사실여부의 조사·확인을 위하여 필요한 경우 신용정보주체에게 관련 증빙자료의 제시를 요청할 수 있다.
  • 제3항에 따라 신용정보를 삭제하거나 정정한 회사는 해당 신용정보를 최근 6개월 이내에 제공받은 자와 해당 신용정보주체가 요구하는 자에게 해당 신용정보에서 삭제하거나 정정한 내용을 별지 제11호 서식에 따른 서면으로 알려야 한다.
  • 회사는 제3항 및 제4항에 따른 처리결과 및 신용정보법 제38조 제5항에 따른 시정요청 절차를 정정 청구 접수 후 7일 이내에 해당 신용정보주체에게 알려야 한다.

제15조(신용정보의 삭제)

  • 회사는 금융거래 등 상거래관계가 종료된 날부터 최장 5년 이내(해당 기간 이전에 정보 수집·제공 등의 목적이 달성된 경우에는 그 목적이 달성된 날부터 3개월 이내)에 해당 신용정보주체의 개인신용정보를 관리대상에서 삭제하여야 한다. 다만, 다음 각 호의 경우에는 그러하지 아니하다.
    • 1. 신용정보법 또는 다른 법률에 따른 의무를 이행하기 위하여 불가피한 경우
    • 2. 개인의 급박한 생명·신체· 재산의 이익을 위하여 필요하다고 인정되는 경우
    • 3. 기타 관련 법령에서 정하는 경우
  • 신용정보주체는 금융거래 등 상거래관계가 종료된 후 3개월(금융거래 등 상거래관계의 설정 및 유지 등에 필수적인 개인신용정보의 경우에는 5년)이 경과한 경우 회사에 별지 제9호 서식에 따른 서면으로 본인의 개인신용정보의 삭제"를 요구할 수 있다. 다만, 제1항 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
  • 제2항에 따른 신용정보주체의 개인신용정보 삭제로 인해 해당 신용정보주체에게 불이익이 발생할 경우 회사는 이에 대해 신용정보주체에게 충분히 설명한 후 삭제하여야 한다.
  • 개인신용정보의 삭제의 시행 및 확인은 신용정보관리·보호인의 책임 하에 수행하여야 하고, 신용정보관리·보호인은 개인신용정보 삭제 후 파기 결과를 확인하여야 한다.
  • 회사는 개인신용정보를 다음 각 호의 방법에 따라 삭제 후 복구 및 재생되지 않는 방법으로 파기하여야 한다.
    • 1. 전자적 파일 형태인 경우 : 복원이 불가능한 방법으로 영구 삭제
    • 2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 파쇄 또는 소각
  • 회사는 제2항의 요구를 받았을 때에는 지체 없이 개인신용정보를 삭제하고 그 결과를 신용정보주체에게 별지 제11호 서식에 따른 서면으로 통지하여야 한다.
  • 신용정보관리·보호인은 제1항 단서에 따라 신용정보를 삭제하지 아니하고 보관하는 경우에는 보관 사유의 근거 및 안전한 보관에 관한 사항을 개인인 신용정보주체에게 서면, 전화, 전자우편, 휴대전화 문자메시지 등의 방법으로 통지하여야 한다.
  • 회사는 개인신용정보 삭제청구 처리 대장을 작성·관리하고 최소 3년 이상 보존하여야 한다.
  • 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
    • 1. 완전파괴(소각ㆍ파쇄 등)
    • 2. 전용 소자장비(자기장을 이용해 저장장치의 데이터를 삭제하는 장비)를 이용하여 삭제
    • 3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
  • 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
    • 1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
    • 2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제
  • 기술적 특성으로 제9항 및 제10항의 방법으로 파기하는 것이 현저히 곤란한 경우에는 개인정보 보호법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치를 하여야 한다.

제16조(개인신용정보의 전송요구)

  • 개인인 신용정보주체는 회사에 대하여 그가 보유하고 있는 본인에 관한 개인신용정보를 다음 각 호의 어느 하나에 해당하는 자에게 전송하여 줄 것을 요구할 수 있다.
    • 1. 해당 신용정보주체 본인
    • 2. 본인신용정보관리회사
    • 3. 신용정보법 시행령에서 정하는 신용정보제공·이용자
    • 4. 개인신용평가회사
    • 5. 그 밖에 제1호부터 제4호까지의 규정에서 정한 자와 유사한 자로서 신용정보법시행령에서 정하는 자
  • 제1항에 따라 개인인 신용정보주체가 전송을 요구할 수 있는 본인에 관한 개인신용정보의 범위는 다음 각 호의 요소를 모두 고려하여 신용정보법 시행령에서 정하는 바에 따른다.
    • 1. 해당 신용정보주체(법령 등에 따라 그 신용정보주체의 신용정보를 처리하는 자를 포함한다. 이하 이 호에서 같다)와 회사 사이에서 처리된 신용정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것
      • 가. 회사가 신용정보주체로부터 수집한 정보
      • 나. 신용정보주체가 회사에게 제공한 정보
      • 다. 신용정보주체와 회사 간의 권리·의무 관계에서 생성된 정보
    • 2. 컴퓨터 등 정보처리장치로 처리된 신용정보일 것
    • 3. 회사가 개인신용정보를 기초로 별도로 생성하거나 가공한 신용정보가 아닐 것
  • 제1항에 따라 본인으로부터 개인신용정보의 전송요구를 받은 회사는 지체 없이 본인에 관한 개인신용정보를 컴퓨터 등 정보처리장치로 처리가 가능한 형태로 전송하여야 한다.
  • 제1항에 따라 신용정보주체 본인이 개인신용정보의 전송을 요구하는 경우 회사에 대하여 해당 개인신용정보의 정확성 및 최신성이 유지될 수 있도록 정기적으로 같은 내역의 개인신용정보를 전송하여 줄 것을 요구할 수 있다.
  • 개인인 신용정보주체가 제1항 각 호의 어느 하나에 해당하는 자에게 제1항에 따른 전송요구를 할 때에는 다음 각 호의 사항을 모두 특정하여 전자문서나 그 밖에 안전성과 신뢰성이 확보된 방법으로 하여야 한다.
    • 1. 신용정보제공·이용자등으로서 전송요구를 받는 자
    • 2. 전송을 요구하는 개인신용정보
    • 3. 전송요구에 따라 개인신용정보를 제공받는 자
    • 4. 정기적인 전송을 요구하는지 여부 및 요구하는 경우 그 주기
    • 5. 전송요구의 종료시점
    • 6. 전송을 요구하는 목적
    • 7. 전송을 요구하는 개인신용정보의 보유기간
  • 제3항에 따라 개인신용정보를 제공한 회사는 개인신용정보의 전송 사실을 해당 신용정보주체 본인에게 통보하지 아니할 수 있다.
  • 개인인 신용정보주체는 제1항에 따른 전송요구를 철회할 수 있다.
  • 제1항에 따라 본인으로부터 개인신용정보의 전송요구를 받은 회사는 신용정보주체의 본인 여부가 확인되지 아니하는 경우 등 신용정보법 시행령으로 정하는 경우에는 전송요구를 거절하거나 전송을 정지·중단할 수 있다. 이 때 회사는 지체 없이 해당 사실을 그 근거가 되는 사유와 함께 개인인 신용정보주체에게 통지해야 한다.

제17조(신용정보 처리의 위탁)

  • 회사는 제3자에게 신용정보의 처리업무를 위탁할 수 있다. 이 경우 개인신용정보의 처리위탁에 관해서는 개인정보관리규정 제16조의2를 준용한다.
  • 회사는 수탁자와 위탁계약을 체결하거나 갱신하는 경우에는 연 1회 이상(위탁계약기간이 1년 미만인 경우에는 그 기간 동안 1회 이상을 말한다. 이하 이 항에서 같다) 신용정보의 보호 관련 법령 및 제도의 내용, 신용정보의 분실·도난·유출·변조·훼손의 방지 및 안전한 신용정보의 처리에 관하여 수탁자의 소속 임직원에 대한 교육을 실시한다는 내용을 위탁계약에 반영하여야 하며, 그 위탁계약에 따라 교육을 실시하여야 한다. 이 경우 수탁자가 연 1회 이상 그 소속 임직원에 대한 교육을 실시한다는 내용이 위탁계약에 반영되어 있고, 회사가 수탁자가 그 위탁계약에 따라 해당 교육을 실시한 사실을 확인한 경우에는 회사가 수탁자의 소속 임직원에게 교육을 실시한 것으로 본다.

제18조(신용정보의 누설 및 통지)

  • 개인신용정보 누설은 회사가 개인신용정보에 대하여 통제를 상실하거나 권한 없는 자의 접근을 허용한 경우로서 다음 각 호 및 이와 유사한 경우에 해당하는 것을 말한다.
    • 1. 개인신용정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
    • 2. 개인신용정보가 저장된 데이터베이스 또는 신용정보전산시스템에 권한 없는 자가 접근한 경우
    • 3. 회사의 고의 또는 과실로 개인신용정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
  • 회사는 개인신용정보가 누설된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
  • 회사는 개인신용정보가 누설되었음을 알게 된 때에는 지체 없이 해당 신용정보주체에게 다음 각 호의 사실을 통지하여야 한다.
    • 1. 누설된 신용정보의 항목
    • 2. 누설된 시점과 그 경위
    • 3. 누설로 인하여 발생할 수 있는 피해를 최소화하기 위하여 신용정보주체가 할 수 있는 방법 등에 관한 정보
    • 4. 회사의 대응조치 및 피해 구제절차
    • 5. 신용정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
  • 회사는 누설 발생 확인 시 제3항 각 호의 사항을 서면, 전화, 전자우편, 휴대전화 문자메시지 등의 방법으로 해당 신용정보주체에게 통지하여야 한다.
  • 제3항 각 호의 사항 통지 후 미확인사실에 대하여는 확인 즉시 신용정보주체에게 통지하여야 한다.
  • 누설된 개인신용정보의 신용정보주체가 1만 명 이상인 경우에는 제4항의 방법을 통해 신용정보주체에게 통지하는 것 외에 인터넷 홈페이지에 그 사실을 15일 이상 게시하여야 한다.
  • 제6항 전단에 해당하는 경우에는 지체 없이 금융위원회 또는 금융감독원에 서면, 전자우편, 모사전송 또는 이와 유사한 방법을 통하여 금융위원회가 정하여 고시하는 신용정보 누설신고서를 제출하여 신고하여야 한다.
  • 제7항에도 불구하고 개인신용정보 누설에 따른 피해가 없는 것이 명백하고 누설된 개인신용정보의 확산 및 추가 유출을 방지하기 위한 조치가 긴급히 필요하다고 인정되는 경우에는 우선 금융위원회 또는 금융감독원에 그 개인신용정보가 누설된 사실을 알리고 추가 유출방지를 위한 조치를 취한 후 지체없이 전항의 신용정보 누설신고서를 제출할 수 있다. 이 경우 그 조치의 내용을 함께 제출하여야 한다.
제4장 기타

제19조(본인확인)

  • 회사는 신용정보주체가 개인신용정보의 열람, 정정, 삭제, 동의철회, 이용(제공)사실 통보 등을 요구(이하 “열람 등의 요구”라 한다)하는 경우 주민등록증·운전면허증·여권 등의 신분증명서를 확인하거나 그 밖에 이와 유사한 방법을 통하여 요구자가 정보주체 본인임을 확인하여야 한다.
  • 회사는 신용정보주체가 대리인을 통하여 개인신용정보의 열람 등의 요구를 하는 경우 “위임장”(별지 제12호 서식)과 인감증명서 또는 주민등록증·운전면허증·여권 등의 신분증명서 사본을 제출받아 정당한 대리인임을 확인한 후 업무처리를 하여야 한다.

제20조(보칙)

  • 제9조 제10항의 자체 제재기준은「별표 3」에서 정하는 바에 따른다.
  • 이 규정에서 정하지 아니한 사항은 관련 법령에서 정하는 바에 따른다.
  • 개인정보 보호에 관하여 이 규정에 특별한 정함이 있는 경우를 제외하고는「개인정보관리규정」에서 정하는 바에 따른다.
개인신용정보 관리·보호지침 변경

법령 개정 및 당사의 정책 변경 등의 사유로 개인신용정보 관리·보호지침을 변경하는 경우 개정된 사항을 쉽게 알아보실 수 있도록 홈페이지에 게시합니다.

  • 2015.01.13개인신용정보 관리·보호지침 내용보기
  • 2017.02.27개인신용정보 관리·보호지침 내용보기
  • 2022.09.13개인신용정보 관리·보호지침 내용보기
  • 2023.10.09개인신용정보 관리·보호지침 내용보기
  • 2024.03.11개인신용정보 관리·보호지침 내용보기
관련양식 다운로드
COPYRIGHT © 무궁화신탁. ALL RIGHTS RESERVED.

SITEMAP