개인정보보호정책

개인정보처리 내부관리계획

 

개인정보처리 내부 관리계획 

 

 

 

 

대출모집업무 위탁법인

유모기지()

2021-7-30

(개인정보보호법 시행령: 제정 2011.9.29 대통령령 제23169)

(개인정보보호법 제1()일부개정 2013.3.23 법률 제 11690)

(개인정보보호법 일부개정 2016.3.29. 법률 제 14107)

(개인정보보호법 시행령 2016.9.30. 대통령령 제 27522) - 별첨 1 첨부

(개인정보보호법 일부개정 2020.02.04. 법률 제 16930.)

 

1조.(목적)

이 내부관리계획은 당사의 개인정보 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.

 

2.내부관리계획 수립·시행(개인정보처리자)

개인정보 처리자: 유모기지()

개인정보 취급자: 대표이사, 경영지원부 직원(2)

개인정보 보호책임자: 감사

 

3.용어정의

"개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는

정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소

요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.

. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의

사용결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 "가명정보"라 한다)

"가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보

가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.

처리란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정

(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

정보주체란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을

말한다.

개인정보파일이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나

구성한 개인정보의 집합물(集合物)을 말한다.

개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통

하여 개인정보를 처리하는 공공기관, 당사, 단체 및 개인 등을 말한다.

공공기관이란 다음 각 목의 기관을 말한다.

. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령

소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체

. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관

영상정보처리기기란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나

이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.

"과학적 연구"란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적

용하는 연구를 말한다.

 

4.개인정보 보호의 원칙

개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한

의 개인정보만을 적법하고 정당하게 수집하여야 한다.

개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며,

그 목적 외의 용도로 활용하여서는 아니 된다.

개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성

보장되도록 하여야 한다.

개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과

그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.

개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구

권 등 정보주체의 권리를 보장하여야 한다.

개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.

개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는

경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명

에 의하여 처리될 수 있도록 하여야 한다. [개정 2020.2.4] [[시행일 2020.8.5]]

개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정

보주체의 신뢰를 얻기 위하여 노력하여야 한다.

 

5.개인 정보 보호책임자의 역할 및 책임

개인정보 보호 책임자는 다음 각 항 의 업무를 수행한다.

개인정보 보호 계획의 수립 및 시행

개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

개인정보 처리와 관련한 불만의 처리 및 피해 구제

개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축

개인정보 보호 교육 계획의 수립 및 시행

개인정보파일의 보호 및 관리·감독

그 밖에 개인정보의 적절한 처리를 위하여 개인정보 보호책임자는 업무를 수행함에 있어서 필요한

경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를

받을 수 있다.

개인정보 보호책임자는 개인정보 보호와 관련하여 이 내부관리 계획 및 다른 관계 법령의 위반 사실

을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 대표이사에게 개선조치를 보고하여야

한다.

개인정보처리자는 개인정보 보호책임자가 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거

나 받게 하여서는 아니 된다.

개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.

 

6.개인정보 취급자의 역할 및 책임

당사는 개인정보의 적당한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을

실시하여야 한다.

(매년 전체 교육시 1회이상: 당사 및 금융기관주관)년간 1회 이상

 

7조 개인정보의 처리 및 안전한 관리(개인정보 수집, 이용, 파기, 유출통지 등)

개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수

집 목적의 범위에서 이용할 수 있다.

1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를

받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필

요하다고 인정되는 경우

6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다

우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과

하지 아니하는 경우에 한한다.

개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야

한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

1. 개인정보의 수집·이용 목적

2. 수집하려는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간

4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지

여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는

바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다. [신설 2020.2.4] [[시행일 2020.8.5]]

개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당

하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게

제공할 수 있다. 다만, 이용자(정보통신망 이용촉진 및 정보보호 등에 관한 법률2조제1항제4

호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 처리하는 정보통신서비스 제공자(정보통신

망 이용촉진 및 정보보호 등에 관한 법률2조제1항제3호에 해당하는 자를 말한다. 이하 같다)

경우 제12호의 경우로 한정하고, 5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.

 

[개정 2020.2.4[[시행일 2020.8.5]]

1. 정보주체로부터 별도의 동의를 받은 경우

2. 다른 법률에 특별한 규정이 있는 경우

3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를

받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필

요하다고 인정되는 경우

4. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는

소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우

5. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

6. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

7. 법원의 재판업무 수행을 위하여 필요한 경우

8. () 및 감호, 보호처분의 집행을 위하여 필요한 경우

개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야

한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

1. 개인정보를 제공받는 자

2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)

3. 이용 또는 제공하는 개인정보의 항목

4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)

5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

(개인정보의 파기)개인정보처리자는 보유기관의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가

불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다.

1. 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

(개인정보 유출 통지 등) 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때는 지체 없이

해당 정보주체에게 사실을 알려야 한다.

1. 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 개인

정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야

한다.조치를 하여야 한다.(유모기지뱅크() 개인정보처리 내부 관리계획 - 별첨 1(16.9.29))

 

8조 개인정보처리 보완점검 체크리스트(자체점검)

개인정보처리자는 개인정보가 분실, 도난, 유출, 변조, 또는 훼손되지 아니하도록 내부관리계획수

,접속기록보관 등 대통령령으로 정하는 바에 따라 안정성 확보에 필요한 기술적, 관리적, 물리적

조치를 하여야 한다.

개인정보처리자는 개인정보의 처리방침(이하 개인정보 처리방침)을 정하여야한다.(당사 홈페이지에

공지)

 

관리적 점검(8가지)

1. 수탁업무 수행과 관련하여 주요 법률의 개정과 변경 사항을 주기적으로 검토하고 변경사항 발생 시

금융회사에 즉시 통보하고 변경사항을 계약사항에 반영하여야 한다.

2. 주요 계약사항에 대한 이행여부를 주기적으로 점검하고 중요 사고 발생 시 금융회사의 담당자에게

보고하여야 한다.

3. 수탁업무의 제3자 재 위탁은 원칙적으로 금지되어야 하며 계약이행을 위한 불가피한 재 위탁 시 금

융회사와의 수탁계약을 기준으로 재 위탁하고 관련된 모든 중요 사항을 금융회사에 보고하여야 한

.

4. 개인정보처리자는 개인정보의 안전한 처리를 위하여내부관리계획을 수립·시행하여야 하며 아래

의 내용을 포함하여야 한다.

5. 개인정보처리자는 중요한 변경이 있는 경우에는 이를 즉시 반영하며 내부관리계획을 수정하여 시행

하고, 그 수정 이력을 관리하여야 한다.

6. 개인정보 업무 수행 시 개인정보처리자/처리자/담당자에 개인정보 보호서약서를 징구 하여야한다.

7. 개인정보처리자는 연간 2회 이상 개인정보 및 정보 보호 교육을 이수 하여야 한다.

8. 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 된 경

우 지체 없이 그 개인정보를 파기하여야 한다.

 

물리적 점검(2가지)

1. 주요 접근통제 구역 내 비인가 접근을 통제할 수 있는 접근통제가 적용 되어야 한다.

2. 개인정보가 포함된 문서 및 저장매체는 물리적으로 통제된 별도의 장소에 시건장치가 적용된 설비에

보관 하여야 한다.

 

기술적 점검(8가지)

1. 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보

취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보 취급자와 공유되지 않도록 하여

야한다.

2. 개인정보처리자는 개인정보취급자 또는 정부주체가 안전한 비밀번호를 설정하여 이행할 수 있도록

비밀번호 작성규칙을 수립하여 적용하여야한다.

3. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가 받지 않

은 접근을 제한하여야한다.

4. 개인정보처리자는 개인정보취급자 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경

우에는 가상사설망(VPN:Virtual Private Network)또는 전용선 등 안전한 접속수단을 적용하여야한

.

5. 개인정보처리자는 취급중인 개인정보가 인테넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없

는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치를 취하

여야한다.

6. 개인정보처리자는 개인정보를 정보통신망을 통하여 송수신하거나 보조저장매체 등을 통하여 전달하

는 경우에는 이를 암호화하여야 한다.

7. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하여야한다.

8. 악성 프로그램관련 경보가 발견된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의

제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시하여야 한다.

 

9조 개인정보 유출시 대응 체계

당사의 조직도 구성에 기초하여 상시 보고체계를 운영한다.

 

10조 개인정보 관리 시스템(대출상담사 개인정보수집 처리단계별 관리시스템)

고객서류 대출실행 흐름도(정보수집[밀봉봉투 사용]>영업점전달>대출심사>대출승인>대출실행)

대출불승인,취소시 고객서류반환 및 파기절차(수집>보관>영업점관리>반환. 파기)

대출상담사 고객 자서서류 영업점 인수도 관리대장/대출상담사 고객 자서서류 반환. 폐기 인수도 관

리대장 운용.

(본 양식은 실물을 익월 5영업일 이내로 제출하여 유모기지뱅크()에서 1년 보관 후 파기)

대출상담사 상담. 본인확인. 자서 후 영업점 서류접수는 당일접수가 원칙이며, 부득이 영업시간 종

료 후 또는 공휴일 자서서류는 다음 영업일 오전에 접수함을 원칙으로 한다.

영업시간 종료 후 서류보관은 시건장치가 되어있는 곳에 보관 한다.

대출상담사가 서류보관 중 고객서류 분실 또는 개인 정보 유출시 개인정보 보호법 제 34조에 따라

지체 없이 해당 정보주체(고객)에게 알려 유출 또는 분실된 시점과 경위 그 피해를 최소화하기 위한

대책을 마련하고 필요한 조치를 하여야한다.

* 단계별조치 : 대출상담사->팀장->본부장(당사),NH농협은행->정보주체(고객)/(조직도참조)

당사는 다음과 같이 개인정보보호 관련 자료를 준비하여 확인한다.

1. 개인 정보취급자의 개인정보 보안서약서(입사시 전원 개인정보보호 교육 및 계약시 작성)

2. 고객 개인정보취급 관리대장(상시 관리)

팀장, 경영지원부 직원(2) 등에게 교육한 후 관리사항을 확인하여 보관하도록 한다.