신용정보의 이용 및 보호에 관한 법률 제40조의2

내용

제40조의2(가명처리ㆍ익명처리에 관한 행위규칙)

• ① 신용정보회사등은 가명처리에 사용한 추가정보를 대통령령으로 정하는 방법으로 분리하여 보관하거나 삭제하여야 한다.
• ② 신용정보회사등은 가명처리한 개인신용정보에 대하여 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험으로부터 가명정보를 보호하기 위하여 내부관리계획을 수립하고 접속기록을 보관하는 등 대통령령으로 정하는 바에 따라 기술적ㆍ물리적ㆍ관리적 보안대책을 수립ㆍ시행하여야 한다.
• ③ 신용정보회사등은 개인신용정보에 대한 익명처리가 적정하게 이루어졌는지 여부에 대하여 금융위원회에 그 심사를 요청할 수 있다.
• ④ 금융위원회가 제3항의 요청에 따라 심사하여 적정하게 익명처리가 이루어졌다고 인정한 경우 더 이상 해당 개인인 신용정보주체를 알아볼 수 없는 정보로 추정한다.
• ⑤ 금융위원회는 제3항의 심사 및 제4항의 인정 업무에 대해서는 대통령령으로 정하는 바에 따라 제26조의4에 따른 데이터전문기관에 위탁할 수 있다.
• ⑥ 신용정보회사등은 영리 또는 부정한 목적으로 특정 개인을 알아볼 수 있게 가명정보를 처리하여서는 아니 된다.
• ⑦ 신용정보회사등은 가명정보를 이용하는 과정에서 특정 개인을 알아볼 수 있게 된 경우 즉시 그 가명정보를 회수하여 처리를 중지하고, 특정 개인을 알아볼 수 있게 된 정보는 즉시 삭제하여야 한다.
• ⑧ 신용정보회사등은 개인신용정보를 가명처리나 익명처리를 한 경우 다음 각 호의 구분에 따라 조치 기록을 3년간 보존하여야 한다.
  • 1. 개인신용정보를 가명처리한 경우
• 가. 가명처리한 날짜
• 나. 가명처리한 정보의 항목
• 다. 가명처리한 사유와 근거
  • 2. 개인신용정보를 익명처리한 경우
• 가. 익명처리한 날짜
• 나. 익명처리한 정보의 항목
• 다. 익명처리한 사유와 근거
• [본조신설 2020. 2. 4.]

해설