개인정보처리 내부계획관리



 

(개인정보보호법 시행령: 제정 2011.9.29 대통령령 제23169호)
(개인정보보호법 제1차(타)일부개정 2013.3.23 법률 제 11690호)
(개인정보보호법 타법개정 2014.11.19 법률 제 12844호)
(개인정보보호법 시행규칙:시행 2014.11.19 행정자치부령 제1호, 2014.11.19 타법개정)
(개인정보보호법 시행령:시행 2015.3.11, 대통령령 제26140호, 20153.11 타법개정)
(개인정보보호법 시행 2015.7.24 법률 제13423호, 2015.7.24 일부개정)
(개인정보보호법 시행령 시행 2016.7.25.대통령령 제27370, 2016.7.22., 일부개정)
(개인정보 보호법 시행 2016.09.30 법률 제14107호 2016.03.29 일부개정)
(개인정보 보호법 시행 2017.10.19 시행 법률 제14839호, 2017.7.26 타법개정)

(개인정보보호법 시행 2019.1.1 대통령령 제29421호, 2018.12.24, 타법개정)
 


케이플러스모기지(주)



                                                    
1.개인정보보호법 제1조(목적)
이 법은 개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다.
 
2.내부관리계획 수립·시행(개인정보처리자)
1)개인정보 처리자 : 케이플러스모기지(주)
2)개인정보 취급자 : 사무직원
3)개인정보 보호담당자 : 센터장
4)개인정보 보호책임자 : 대표


3.용어정의
1)제 2조 1호. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
2)제 2조 2호. “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다.
3)제 2조 3호. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4)제 2조 4호 “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열 하거나 구성한 개인정보의 집합물(集合物)을 말한다.
5)제 2조 5호. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
6)제 28조 1항. 개인정보 취급자는 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제 근로자, 등 개인정보 처리자의 지휘, 감독을 받아 개인정보를 처리하는 자
7)제31조 1항. “개인정보 보호책임자”는 개인정보의 처리에 관한 업무를 총괄해서 책임진다.
8)제 31조 2항. 개인정보 보호책임자의 역할 및 책임.
 
4.개인정보 보호책임자의 역할 및 책임
제 31조 2항. 개인정보 보호 책임자는 다음 각 호의 업무를 수행한다.
① 개인정보 보호 계획의 수립 및 시행
② 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
③ 개인정보 처리와 관련한 불만의 처리 및 피해 구제
④ 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
⑤ 개인정보 보호 교육 계획의 수립 및 시행
⑥ 개인정보파일의 보호 및 관리·감독
⑦ 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무 제31조 3항. 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
제 31조 4항. 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속기관 또는 단체의 장에게 개선조치를 보고하여야 한다.
제 31조 5항. 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.
제 31조 6항. 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.
 
5.개인정보 취급자의 역할 및 책임
제28조 2항. 개인정보처리자는 개인정보의 적당한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.
※(매월 법인 전체 교육 시 1회: 법인주관/ 매월 팀별 교육 시 1회 이상: 팀 주관)년간 24회 이상
 
6. 개인정보의 처리 및 안전한 관리(개인정보 수집, 이용, 파기, 유출통지 등)
제 15조 1항. (개인정보의 수집·이용)개인정보처리자는 그 수집 목적의 범위 내에서 개인정보를 수집, 이용 할 수 있다.
제 21조 1항. (개인정보의 파기)개인정보처리자는 보유기관의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다.
제 34조 1항. (개인정보 유출 통지 등) 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때는 지체 없이 해당 정보주체에게 사실을 알려야 한다.
제 34조 2항. 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
 
7. 개인정보처리 보안점검 체크리스트(자체점검)
제 29조(안전조치의무) 개인정보처리자는 개인정보가 분실, 도난, 유출, 변조, 또는 훼손되지 아니하도록 내부관리계획수립, 접속기록보관 등 대통령령으로 정하는 바에 따라 안정성 확보에 필요한 기술적, 관리적, 물리적 조치를 하여야 한다.
제 30조(개인정보 처리방침의 수립 및 공개) 개인정보처리자는 개인정보의 처리방침(이하 개인정보 처리방침)을 정하여야한다.(법인 홈페이지에 공지)
※관리적 점검(8가지)
① 수탁업무 수행과 관련하여 주요 법률의 개정과 변경 사항을 주기적으로 검토하고 변경사항 발생 시 금융회사에 즉시 통보하고 변경사항을 계약사항에 반영하여야 한다.
② 주요 계약사항에 대한 이행여부를 주기적으로 점검하고 중요 사고 발생 시 금융회사의 담당자에게 보고하여야 한다.
③ 수탁업무의 제3자 재 위탁은 원칙적으로 금지되어야 하며 계약이행을 위한 불가피한 재 위탁 시 금융회사와의 수탁계약을 기준으로 재 위탁하고 관련된  모든 중요 사항을 금융회사에 보고하여야 한다.
④ 개인정보처리자는 개인정보의 안전한 처리를 위하여‘내부관리계획’을 수립·시행하여야 하며 아래의 내용을 포함하여야 한다.
⑤  개인정보처리자는 중요한 변경이 있는 경우에는 이를 즉시 반영하며 내부관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
⑥ 개인정보 업무 수행 시  개인정보처리자/처리자/담당자에 개인정보 보호서약서를 징구 하여야한다.
⑦ 개인정보처리자는 연간 1회 이상 개인정보 및 정보 보호 교육을 이수 하여야 한다.
⑧ 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 된 경우 지체 없이 그 개인정보를 파기하여야 한다.
※물리적 점검(2가지)
① 주요 접근통제 구역 내 비인가 접근을 통제할 수 있는 접근통제가 적용 되어야 한다.
② 개인정보가 포함된 문서 및 저장매체는 물리적으로 통제된 별도의 장소에 시건장치가 적용된 설비에 보관 하여야 한다.
※기술적 점검(8가지)
① 개인정보처리자는  개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보 취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보 취급자와 공유되지 않도록 하여야한다.
② 개인정보처리자는 개인정보취급자 또는 정부주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야한다.
③ 비밀번호 작성규칙은 아래와 같은 내용으로 시행한다
    - 문자, 숫자, 기호를 혼합하여 8자 이상을 기본으로 한다
    - PW문자 종류에 따라 최소 8자리에서 10자리로 구성할 수 있다
    - 영문, 숫자, 특수문자, 대문자, 소문자 중 2개 구성 시 10자리로 하여야 한다
    - 영문, 숫자, 특수문자, 대문자, 소문자 중 3개 구성 시 8자리로 할 수 있다
    - 단어로 된 PW, 키보드의 연속배열의 PW는 금지한다
    - 변경 시 동일한 PW는 사용금지 한다
    - 변경주기는 윈도우 로그인 PW의 경우 1개월, 부팅PW의 경우 6개월로 한다
④ 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가 받지 않은 접근을 제한하여야한다.
⑤ 개인정보처리자는 개인정보취급자 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN:Virtual Private Network)또는 전용선 등 안전한 접속수단을 적용하여야한다.
⑥ 개인정보처리자는 취급중인 개인정보가 인테넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치를 취하여야한다.
⑦ 개인정보처리자는 개인정보를 정보통신망을 통하여 송수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
⑧ 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하여야한다.
⑨ 악성 프로그램관련 경보가 발견된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시하여야 한다.




8. 개인정보 유출시 보고 체계
법인의 조직도 구성그대로 보고체계를 운영한다.



  



9. 개인정보 관리 시스템(대출상담사 개인정보수집 처리단계별 관리시스템)
1. 고객서류 대출실행 흐름도(정보수집>보관>영업점전달>대출심사>대출승인>대출실행)





2. 대출불승인,취소시 고객서류반환 및 파기절차(수집>보관>영업점관리>반환. 파기)


 


3. 대출상담사 고객 자서서류 영업점 인수도 관리대장/대출상담사 고개 자서서류 반환. 폐기 인수도 관리대장 운용.
(본 양식은 실물을 익월 5 영업일 이내로 제출하여 케이플러스모기지(주)에서 1개월 보관 후 파기)
4. 대출상담사 상담. 본인확인. 자서 후 영업점 서류접수는 당일접수가 원칙이며, 부득이 영업시간 종료 후 또는 공휴일 자서서류는 다음 영업일 오전에 접수함을 원칙으로 한다.
5. 영업시간 종료 후 서류보관은 시건장치가 되어있는 곳에 보관 한다.
6. 대출상담사가 서류보관 중 고객서류 분실 또는 개인 정보 유출시 개인정보 보호법 제 34조에 따라 지체 없이 해당 정보주체(고객)에게 알려 유출 또는 분실된 시점과 경위 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야한다.
* 단계별조치 : 대출상담사->팀장->지역센터장->대표,KB국민은행->정보주체(고객)
(단계별 2시간이내/조직도 참조)
 
10. 고객 개인정보처리내용 세부지침
1)목적
① 개인정보처리 위. 수탁 업무처리중 발생될 수 있는 고객개인정보처리 관리 중요성 대두.
② 고객정보와 관련된 수집정보, 각종문서, 신청서, 출력물, 전산자료 등 관리에 세부적인 지침필요.
③ 개인정보처리: 개인정보의 수집,생성,기록,저장,보유,가공,편집,검색,출력,정정,복구,이용,제공,공개,파기 그밖에 이와 유사한 행위
④ 체계적이고 주기적인 고객개인정보 처리에 대한 지속적 반복적 교육실시를 통해 철저한 대출상담사로서의 기본 자질함양.
2) 고객 개인정보처리 관리 세부지침
① 수집정보, 각종문서, 신청서, 출력물 등 각종정보자료를 사무실에 방치, 개인별 휴대전화 등을 통하여 외부인에게 노출되거나 분실되지 않도록 유의한다.
② 대출모집 위임계약서상의 위임 내용에 위배된 고객정보의 활용금지(대출정보를 타인에게 제공, 공유불가, 개인정보 판매금지, 유포 영리 행위금지)
③ 사용용도가 지난 각종고객정보자료는 천공, 분해, 용해, 소각, 파일삭제 등의 방법으로 파기하며, 정보화된 자료(대출상담표 등)를 철저히 관리하여 외부에 유출되지 않도록 해야 한다.
④ 개인정보 유출시 개인정보보호법 34조에 따라 지체 없이 고객에게 알려야하며, 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다./단계별조치 참조 : 단계별 2시간이내.
⑤ 개인정보취급자에 대한 교육은 법인주관으로 매월 1회. 팀 주관으로 매월 1회 이상 년간 24회 이상 정기적으로 교육을 실시한다.
 
3)법인은
① 개인정보취급자의 보안서약서(입사시 전원징구)
② 고객개인정보취급 관리대장(매월 징구)
③ 『마음편한 고객정보보호서비스』실시, 고객이 작성한 대출서류 일체를 봉투에 밀봉 및 간인하여 영업점에 제출
(2014.06.16 시행)
④ 고객 자서서류 영업점 인수도 관리대장(매월 징구)
⑤ 개인정보 파기확인서(매월 징구)


⑥ 고객 자서서류 반환. 폐기 인수도 관리대장(매월 징구)을 매월 소속 전체 대출상담사, 지역센터장, 사무여직원등에게 교육한 후 관리사항을 확인하여  sign후 보관하도록 한다.