신용정보업감독규정 별표 8
IT 위키
(가명정보에 관한 보호조치 기준에서 넘어옴)
가명정보에 관한 보호조치 기준(신용정보업감독규정 제43조의7 관련)
I. 기술적ㆍ물리적 보호조치[편집 | 원본 편집]
1. 추가정보에 대한 보호조치[편집 | 원본 편집]
- ① 신용정보회사등은 추가정보를 삭제하지 아니하고 보존하여야 하는 경우 추가정보를 가명정보와 분리된 저장소에 암호화하여 저장하여야 한다.
- ② 신용정보회사등은 원칙적으로 가명정보를 취급하는 직원이 추가정보에 접근할 수 있는 권한을 부여하지 않아야 하며, 추가정보 접근이 불가피한 경우 관리책임자의 사전 승인을 받아 일시적으로 부여하고, 관련 기록을 보관하는 등 적절한 통제시스템을 갖추어야 한다.
- ③ 신용정보회사등은 제2항에 따른 기록 보관시 접근자의 신원, 관리책임자의 신원, 접근일시, 대상정보, 조회가 불가피한 사유, 용도 등의 기록을 3년간 보관하여야 한다.
- ④ 신용정보회사등은 추가정보가 가명정보를 재식별하는 데 사용되는 등 부정한 목적으로 사용되지 않도록 월 1회 이상 주기적으로 점검하여야 한다.
2. 가명정보에 대한 보호조치[편집 | 원본 편집]
- ① 신용정보회사등은 가명처리전 개인신용정보와 가명처리한 개인신용정보를 분리하여 저장하여야 한다.
- ② 신용정보회사등은 가명정보를 취급하는 담당자를 별도로 지정ㆍ관리하고 가명처리전 개인신용정보를 취급하는 담당자와 접근권한을 구분하여 운영하여야 한다.
- ③ 신용정보회사등은 원칙적으로 가명정보를 취급하는 직원이 가명처리전 개인신용정보에 접근할 수 있는 권한을 부여하지 않아야 하며, 가명처리 전 개인신용정보에 접근이 불가피한 경우 관리책임자의 사전 승인을 받아 일시적으로 부여하고, 관련 기록을 보관하는 등 적절한 통제시스템을 갖추어야 한다.
- ④ 신용정보회사등은 제3항에 따른 기록 보관시 접근자의 신원, 관리책임자의 신원, 접근일시, 대상정보, 접근이 불가피한 사유, 용도 등의 기록을 3년 이상 보관하여야 한다.
- ⑤ 신용정보회사등은 가명정보 처리 시 가명정보의 구체적인 처리 목적, 처리 방법, 처리 일시를 기록하여 가명정보가 파기된 이후 3년 이상 보관하고, 처리 기록에 대해 월 1회 이상 주기적으로 확인ㆍ감독하여야 한다.
- ⑥ 신용정보회사등은 가명정보 오ㆍ남용에 대한 자체 제재기준을 마련하여야 한다.
II. 관리적 보호조치[편집 | 원본 편집]
- ① 신용정보회사등은 가명처리한 개인신용정보에 대하여 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험으로부터 가명정보를 보호하기 위해 다음 각 호의 사항을 포함하는 별도 내부관리계획을 수립ㆍ시행하여야 한다.
- 1. 가명정보 및 추가정보에 대한 접근 권한 부여ㆍ변경ㆍ말소에 관한 사항
- 2. 가명정보 및 추가정보가 저장 또는 처리되는 시스템ㆍ단말의 보호조치에 관한 사항
- 3. 가명정보 및 추가정보에 대한 접근기록 보관 및 점검에 관한 사항
- 4. 가명정보 및 추가정보의 보유 기간 및 파기 기준ㆍ방법에 관한 사항
- 5. 가명정보의 목적 외 활용 방지 및 재식별 방지 대책에 관한 사항
- 6. 가명정보 제3자 제공 시 사후관리에 관한 사항
- ② 신용정보회사등은 가명정보 및 추가정보에 접근하는 취급자들에 대해 다음 각 호의 사항을 포함하는 가명정보보호교육을 연 1회 이상 수행하여야 한다.
- 1. 가명정보의 목적 외 활용 금지에 관한 사항
- 2. 가명정보의 재식별 금지에 관한 사항
- 3. 가명정보 재식별 시 즉시 회수 및 삭제에 관한 사항
- ③ 신용정보회사등은 영 제17조의2제3항 각 호의 사항을 고려하여 가명정보의 보존기간을 주기적으로 검토하고, 그 적정성 여부를 판단하여 필요시 조정하여야 한다.
- ④ 신용정보회사등은 가명정보를 법 제32조제6항제9호의2에 따라 법 제32조제1항부터 제5항까지를 적용하지 아니하고 제3자에게 제공하는 경우 다음 각 호의 사항을 준수하여야 한다.
- 1. 가명정보를 불특정 다수에게 공개하지 아니할 것
- 2. 가명정보 제공 시 가명정보를 제공 받는 자, 가명정보 활용목적, 가명정보 이용ㆍ보존기간 등을 구체적으로 명시하여 제공할 것
- 3. 가명정보의 재식별 금지, 가명정보의 목적 외 사용 금지 등 관련 법령 준수에 관한 사항을 주지시킬 것
- 4. 추가정보를 제공하거나 공개하지 않을 것
- 5. 가명정보의 재식별 가능성을 발견한 경우에는 그 정보를 처리하고 있는 자에게 해당 사실을 통지하고 해당 정보의 처리중단 및 파기를 요청하는 등 재식별 방지에 필요한 조치를 취할 것
III. 보호대책의 준용[편집 | 원본 편집]
- ① 그 밖에 신용정보회사등이 마련해야 할 가명정보에 대한 보호조치는 별표 3의 신용정보의 기술적ㆍ물리적ㆍ관리적 보안대책을 준용한다.
- ② 가명정보 및 추가정보의 보호에 관하여 이 기준과 별표 3의 적용이 경합하는 때에는 본 기준을 우선 적용한다.