회원가입
개인정보처리내부관리계획
  • 개인정보처리내부관리계획
    • (개인정보보호법 시행령: 제정 2011.9.29 대통령령 제23169호)
    • (개인정보보호법 제1차(타)일부개정 2013.3.23 법률 제 11690호)
    • (개인정보보호법 타법개정 2014.11.19 법률 제 12844호)
    • (개인정보보호법 시행규칙:시행 2014.11.19 행정자치부령 제1호, 2014.11.19 타법개정)
    • (개인정보보호법 시행령:시행 2015.3.11, 대통령령 제26140호, 20153.11 타법개정)
    • (개인정보보호법 시행 2015.7.24 법률 제13423호, 2015.7.24 일부개정)
    • (개인정보보호법 시행령 시행 2016.7.25.대통령령 제27370호, 2016.7.22., 일부개정)
    • (개인정보 보호법 시행 2016.09.30 법률 제14107호 2016.03.29 일부개정)
    • (개인정보 보호법 시행 2017.10.19 시행 법률 제14839호, 2017.7.26 타법개정)

    • (개인정보보호법 시행 2019.1.1 대통령령 제29421호, 2018.12.24, 타법개정)

    • (개인정보보호법 시행령 시행 2020.3.3. 대통령령 제30509호, 2020.3.3. 타법개정)

    • (개인정보보호법 시행령 2020.08.05 대통령령 제30892호 일부개정)

    • (개인정보보호법 2020.08.05 법률 제16930호 일부개정)

    • (개인정보보호법 시행령 시행 2021.02.05. 대통령령 제30892호, 2020.08.04. 일부개정)

    • (개인정보보호법 시행령 시행 2021.02.05. 대통령령 제31429호, 2021.02.02. 타법개정)

    • 1.개인정보보호법 제1조(목적)
    • 이 법은 개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다.

    • 2.내부관리계획 수립·시행(개인정보처리자)
    • 1)개인정보 처리자 : S&B모기지뱅크
    • 2)개인정보 취급자 : 사무직원
    • 3)개인정보 보호담당자 : 본부장
    • 4)개인정보 보호책임자 : 대표

    • 3.용어정의
    • 1)제 2조 1호. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
    • 2)제 2조 2호. “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다.
    • 3)제 2조 3호. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
    • 4)제 2조 4호 “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열 하거나 구성한 개인정보의 집합물(集合物)을 말한다.
    • 5)제 2조 5호. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
    • 6)제 28조 1항. 개인정보 취급자는 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제 근로자, 등 개인정보 처리자의 지휘, 감독을 받아 개인정보를 처리하는 자
    • 7)제31조 1항. “개인정보 보호책임자”는 개인정보의 처리에 관한 업무를 총괄해서 책임진다.
    • 8)제 31조 2항. 개인정보 보호책임자의 역할 및 책임.

    • 4.개인정보 보호책임자의 역할 및 책임
    • 제 31조 2항. 개인정보 보호 책임자는 다음 각 호의 업무를 수행한다.
    • ① 개인정보 보호 계획의 수립 및 시행
    • ② 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
    • ③ 개인정보 처리와 관련한 불만의 처리 및 피해 구제
    • ④ 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
    • ⑤ 개인정보 보호 교육 계획의 수립 및 시행
    • ⑥ 개인정보파일의 보호 및 관리·감독
    • ⑦ 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무 제31조 3항. 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
    • 제 31조 4항. 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속기관 또는 단체의 장에게 개선조치를 보고하여야 한다.
    • 제 31조 5항. 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.
    • 제 31조 6항. 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.

    • 5.개인정보 취급자의 역할 및 책임
    • 제28조 2항. 개인정보처리자는 개인정보의 적당한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.
    • ※(매월 법인 전체 교육 시 1회: 법인주관/ 매월 팀별 교육 시 1회 이상: 팀 주관)년간 24회 이상

    • 6. 개인정보의 처리 및 안전한 관리(개인정보 수집, 이용, 파기, 유출통지 등)
    • 제 15조 1항. (개인정보의 수집·이용)개인정보처리자는 그 수집 목적의 범위 내에서 개인정보를 수집, 이용 할 수 있다.
    • 제 21조 1항. (개인정보의 파기)개인정보처리자는 보유기관의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다.
    • 제 34조 1항. (개인정보 유출 통지 등) 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때는 지체 없이 해당 정보주체에게 사실을 알려야 한다.
    • 제 34조 2항. 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.

    • 7. 개인정보처리 보안점검 체크리스트(자체점검)
    • 제 29조(안전조치의무) 개인정보처리자는 개인정보가 분실, 도난, 유출, 변조, 또는 훼손되지 아니하도록 내부관리계획수립, 접속기록보관 등 대통령령으로 정하는 바에 따라 안정성 확보에 필요한 기술적, 관리적, 물리적 조치를 하여야 한다.
    • 제 30조(개인정보 처리방침의 수립 및 공개) 개인정보처리자는 개인정보의 처리방침(이하 개인정보 처리방침)을 정하여야한다.(법인 홈페이지에 공지)
    • ※관리적 점검(8가지)
    • ① 수탁업무 수행과 관련하여 주요 법률의 개정과 변경 사항을 주기적으로 검토하고 변경사항 발생 시 금융회사에 즉시 통보하고 변경사항을 계약사항에 반영하여야 한다.
    • ② 주요 계약사항에 대한 이행여부를 주기적으로 점검하고 중요 사고 발생 시 금융회사의 담당자에게 보고하여야 한다.
    • ③ 수탁업무의 제3자 재 위탁은 원칙적으로 금지되어야 하며 계약이행을 위한 불가피한 재 위탁 시 금융회사와의 수탁계약을 기준으로 재 위탁하고 관련된 모든 중요 사항을 금융회사에 보고하여야 한다.
    • ④ 개인정보처리자는 개인정보의 안전한 처리를 위하여‘내부관리계획’을 수립·시행하여야 하며 아래의 내용을 포함하여야 한다.
    • ⑤ 개인정보처리자는 중요한 변경이 있는 경우에는 이를 즉시 반영하며 내부관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
    • ⑥ 개인정보 업무 수행 시 개인정보처리자/처리자/담당자에 개인정보 보호서약서를 징구 하여야한다.
    • ⑦ 개인정보처리자는 연간 1회 이상 개인정보 및 정보 보호 교육을 이수 하여야 한다.
    • ⑧ 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 된 경우 지체 없이 그 개인정보를 파기하여야 한다.
    • ※물리적 점검(2가지)
    • ① 주요 접근통제 구역 내 비인가 접근을 통제할 수 있는 접근통제가 적용 되어야 한다.
    • ② 개인정보가 포함된 문서 및 저장매체는 물리적으로 통제된 별도의 장소에 시건장치가 적용된 설비에 보관 하여야 한다.
    • ※기술적 점검(8가지)
    • ① 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보 취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보 취급자와 공유되지 않도록 하여야한다.
    • ② 개인정보처리자는 개인정보취급자 또는 정부주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야한다.
    • ③ 비밀번호 작성규칙은 아래와 같은 내용으로 시행한다
    • – 문자, 숫자, 기호를 혼합하여 8자 이상을 기본으로 한다
    • – PW문자 종류에 따라 최소 8자리에서 10자리로 구성할 수 있다
    • – 영문, 숫자, 특수문자, 대문자, 소문자 중 2개 구성 시 10자리로 하여야 한다
    • – 영문, 숫자, 특수문자, 대문자, 소문자 중 3개 구성 시 8자리로 할 수 있다
    • – 단어로 된 PW, 키보드의 연속배열의 PW는 금지한다
    • – 변경 시 동일한 PW는 사용금지 한다
    • – 변경주기는 윈도우 로그인 PW의 경우 1개월, 부팅PW의 경우 6개월로 한다
    • ④ 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가 받지 않은 접근을 제한하여야한다.
    • ⑤ 개인정보처리자는 개인정보취급자 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN:Virtual Private Network)또는 전용선 등 안전한 접속수단을 적용하여야한다.
    • ⑥ 개인정보처리자는 취급중인 개인정보가 인테넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치를 취하여야한다.
    • ⑦ 개인정보처리자는 개인정보를 정보통신망을 통하여 송수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
    • ⑧ 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하여야한다.
    • ⑨ 악성 프로그램관련 경보가 발견된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시하여야 한다.

    • 8. 개인정보 유출시 보고 체계
    • 법인의 조직도 구성그대로 보고체계를 운영한다.

    • 9. 개인정보 관리 시스템(대출상담사 개인정보수집 처리단계별 관리시스템)
    • 1. 고객서류 대출실행 흐름도(정보수집>보관>영업점전달>대출심사>대출승인>대출실행)
    • 2. 대출불승인,취소시 고객서류반환 및 파기절차(수집>보관>영업점관리>반환. 파기)
    • 3. 대출상담사 고객 자서서류 영업점 인수도 관리대장/대출상담사 고개 자서서류 반환. 폐기 인수도 관리대장 운용.
    • (본 양식은 실물을 익월 5 영업일 이내로 제출하여 S&B모기지뱅크에서 1개월 보관 후 파기)
    • 4. 대출상담사 상담. 본인확인. 자서 후 영업점 서류접수는 당일접수가 원칙이며, 부득이 영업시간 종료 후 또는 공휴일 자서서류는 다음 영업일 오전에 접수함을 원칙으로 한다.
    • 5. 영업시간 종료 후 서류보관은 시건장치가 되어있는 곳에 보관 한다.
    • 6. 대출상담사가 서류보관 중 고객서류 분실 또는 개인 정보 유출시 개인정보 보호법 제 34조에 따라 지체 없이 해당 정보주체(고객)에게 알려 유출 또는 분실된 시점과 경위 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야한다.
    • * 단계별조치 : 대출상담사->팀장->지역센터장->대표,신협->정보주체(고객)
    • (단계별 2시간이내/조직도 참조)

    • 10. 고객 개인정보처리내용 세부지침
    • 1)목적
    • ① 개인정보처리 위. 수탁 업무처리중 발생될 수 있는 고객개인정보처리 관리 중요성 대두.
    • ② 고객정보와 관련된 수집정보, 각종문서, 신청서, 출력물, 전산자료 등 관리에 세부적인 지침필요.
    • ③ 개인정보처리: 개인정보의 수집,생성,기록,저장,보유,가공,편집,검색,출력,정정,복구,이용,제공,공개,파기 그밖에 이와 유사한 행위
    • ④ 체계적이고 주기적인 고객개인정보 처리에 대한 지속적 반복적 교육실시를 통해 철저한 대출상담사로서의 기본 자질함양.
    • 2) 고객 개인정보처리 관리 세부지침
    • ① 수집정보, 각종문서, 신청서, 출력물 등 각종정보자료를 사무실에 방치, 개인별 휴대전화 등을 통하여 외부인에게 노출되거나 분실되지 않도록 유의한다.
    • ② 대출모집 위임계약서상의 위임 내용에 위배된 고객정보의 활용금지(대출정보를 타인에게 제공, 공유불가, 개인정보 판매금지, 유포 영리 행위금지)
    • ③ 사용용도가 지난 각종고객정보자료는 천공, 분해, 용해, 소각, 파일삭제 등의 방법으로 파기하며, 정보화된 자료(대출상담표 등)를 철저히 관리하여 외부에 유출되지 않도록 해야 한다.
    • ④ 개인정보 유출시 개인정보보호법 34조에 따라 지체 없이 고객에게 알려야하며, 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다./단계별조치 참조 : 단계별 2시간이내.
    • ⑤ 개인정보취급자에 대한 교육은 법인주관으로 매월 1회. 팀 주관으로 매월 1회 이상 년간 24회 이상 정기적으로 교육을 실시한다.

    • 3)법인은
    • ① 개인정보취급자의 보안서약서(입사시 전원징구)
    • ② 고객개인정보취급 관리대장(매월 징구)
    • ③ 『마음편한 고객정보보호서비스』실시, 고객이 작성한 대출서류 일체를 봉투에 밀봉 및 간인하여 영업점에 제출
    • (2014.06.16 시행)
    • ④ 고객 자서서류 영업점 인수도 관리대장(매월 징구)
    • ⑤ 개인정보 파기확인서(매월 징구)
    • ⑥ 고객 자서서류 반환. 폐기 인수도 관리대장(매월 징구)을 매월 소속 전체 대출상담사, 팀장, 사무직원등에게 교육한 후 관리사항을 확인하여 sign후 보관하도록 한다.