고객정보 제공 및 이용에 관한 규정고객정보 취급방침

소관부서 컴플라이언스실

  • 제정 2014. 5. 14.
  • 개정 2014. 12.16.
  • 개정 2015. 5. 8.
  • 개정 2016. 6. 21.
  • 개정 2017. 9. 13.
  • 개정 2018. 9. 19.
  • 개정 2019. 3. 21.
  • 개정 2019. 9. 27.
  • 개정 2020. 9. 11.
  • 개정 2021. 9. 29.

제1장 총 칙

제1조 (목적) 이 규정은 금융지주회사법 제48조의 2의 규정에 따라 한국투자금융지주 및 그 자회사등 (이하‘그룹’이라 한다) 사이에서 고객정보의 제공 및 이용을 함에 있어 엄격한 관 리를 통한 금융소비자의 보호 및 그룹 내 고객 정보의 적법하면서도 효율적 이용을 도모함을 목적으로 한다.

제2조 (적용범위) ① 그룹 내 고객정보의 제공 및 이용에 관한 사항은 금융지주회사법 등 관련 법령에 다른 정함이 있는 경우 외에는 이 규정에서 정한 바에 따른다. ② 자회사등은 특별한 사유가 있는 경우를 제외하고는 이 규정과 동일한 내용의 업무지침서를 작성∙운영하여야 한다.

제3조 (정의) ① 이 규정에서 사용하는 용어의 정의는 다음과 같다. 1. “그룹”이라 함은 “한국투자금융지주”와 관련 법령에 따라 동 금융지주회사 내 편입된 자회사등을 말하며, “그룹사”는 그룹 내 각 회사를 말한다. 2. “자회사등”이라 함은 관련 법령에 따라 동 금융지주회사의 지배를 받는 자회사와 그 자 회사의 지배를 받는 손자회사와 같이 그룹 내에서 금융지주회사를 제외한 나머지 회사를 말한 다. 3. “고객정보”라 함은 금융지주회사법 제48조의2에서 정한 정보 또는 자료로서 제5조에 서 정한 것을 말한다. 4. “공동 데이터베이스”라 함은 그룹사간 주기적, 반복적으로 제공 및 이용이 필요한 고객 정보에 관하여 이를 효율적으로 할 수 있도록 그룹 공동으로 구축한 고객정보시스템을 말한다. 5. “실시간 공유시스템”이라 함은 그룹 내 온라인 시스템을 통하여 고객정보를 실시간 조 회하여 공유할 수 있는 정보시스템을 말한다. 6. “외부 영업”이라 함은 그룹 내 다른 회사의 고객정보를 이용하여 전화 등 비대면 방식( 비대면 방식을 이용하여 대면을 유도한 경우를 포함)으로 금융상품 또는 서비스의 가입 등을 권유하는 영업 행위를 말한다. 7. “고객정보 원장”이라 함은 해당 그룹사와 고객이 직접 거래함에 따라 해당 그룹사가 취 득하여 관리하게 된 고객정보에 관한 데이터나 문서 등을 말한다.

제4조 (적용대상) 이 규정이 적용되는 자회사등은 금융지주회사법상 자회사 및 손자회사로서 한 국투자증권, 한국투자저축은행, 한국투자파트너스, 한국투자신탁운용, 한국투자밸류자산운용, 한국투자캐피탈, 한국투자프라이빗에쿼티, 한국투자부동산신탁으로 한다.

제5조 (고객정보의 범위) 그룹 내 제공 및 이용이 가능한 고객정보의 범위는 다음 각 호와 같다. 다만, 금융결제원이나 신용정보집중기관, 신용정보회사 또는 자회사등이 그룹사가 아닌 제휴회 사와 같은 그룹 외 제 3자로부터 입수한 정보는 제공 및 이용 대상 범위에 포함되지 아니한다. 1. 『금융실명거래 및 비밀보장에 관한 법률』 제4조에 따른 금융거래의 내용에 관한 정보 또는 자료 2. 『신용정보의 이용 및 보호에 관한 법률』 제32조 제1항에 따른 개인신용정보 3. 『자본시장과 금융투자업에 관한 법률』에 따른 투자매매업자 또는 투자중개업자를 통하여 매매하고자 하는 위탁자가 예탁한 금전 또는 증권에 관한 정보 중 다음 각 목에 해당하는 정 보 가. 예탁한 금전의 총액 나. 예탁한 증권의 총액 다. 예탁한 증권의 종류별 총액 라. 채무증권의 종류별 총액 마. 수익증권으로서 『자본시장과 금융투자업에 관한 법률』 제229조 각 호의 구분에 따른 집합투자기구의 종류별 총액 바. 예탁한 증권의 총액을 기준으로 한 위탁자의 평균 증권보유기간 및 일정기간 동안의 평균 거래회수

제2장 고객정보관리인 등

제6조 (고객정보관리인의 선임 등) ① 그룹사는 당해 회사 임원 중 1인 이상을 고객정보관리인 으로 선임하여야 한다. ② 고객정보관리인은 당해 회사의 고객정보 관리에 관한 일체의 권한 및 책임을 가지며, 회사 내 업무 분장에 따라 권한을 집행임원에게 위임할 수 있다. 다만, 고객정보관리인이 권한을 위 임한다고 하더라도 고객정보 관리에 관한 책임에는 영향을 미치지 아니한다. ③ 권한을 위임받은 집행임원은 고객정보의 항목, 이용 목적이 동일하여 전형적인 업무로써 승 인이 반복될 것이 명백히 예상되는 경우에는 최초 승인 후 소관부서의 장에게 승인 업무를 위 임할 수 있다. 단, 소관부서장이 휴가, 출장 등으로 수행할 수 없을 시에는 사후승인으로 대신 할 수 있다.

제7조 (고객정보관리인의 권한과 의무) 금융지주회사의 고객정보관리인은 그룹 내 고객정보 제 공 및 관리에 관한 제반사항을 총괄하며 다음 각 호의 권한과 의무를 가진다. 1. 자회사등의 고객정보관리인으로부터 고객정보의 제공 및 관리에 관한 사항을 보고 받아 고 객정보의 목적 외 이용이 없는지를 점검 2. 자회사등의 고객정보관리인으로부터 고객정보의 제공 및 관리에 관한 민원처리 및 피해고객 의 구제신청 처리 결과, 보안대책 이행 여부 등을 보고 받아 그 적정성 여부를 심사 3. 자회사등의 고객정보 관리 실태에 대해 매분기 이상 점검하고 점검결과를 연 1회 금융감독 원장에 보고 4. 제1호에서 제3호의 점검 및 심사 결과 필요하다고 판단되는 경우에는 해당 자회사등에 시 정조치 또는 제24조에서 정한 제재 등을 권고

제8조 (소관부서 등) 그룹사는 이 규정에 수반되는 제반업무를 담당할 소관부서를 정하여야 한다.

제3장 업무처리

제9조 (정보의 요청) ① 그룹사는 내부통제 또는 위기관리 등 내부 경영관리 목적상 다음 각호 의 업무를 위하여 다른 자회사등의 고객정보가 필요한 경우 당해 회사의 고객정보관리인의 승 인 후 당해 자회사등에 대하여 그 고객정보의 제공을 요청할 수 있다. 1. 신용위험관리 등 위험관리와 내부통제 2. 업무 및 재산상태에 대한 검사 3. 고객분석과 상품 및 서비스의 개발 4. 성과관리 5. 위탁업무 수행 ② 그룹사는 외부 영업 목적상 다른 자회사등의 고객정보 제공을 요청할 수 없다. ③ 다른 자회사등의 고객정보를 제공받고자 하는 그룹사는 고객정보 요청서에 이용목적, 이용 항목, 이용기간, 이용자의 범위를 구체적으로 기재하여야 한다. ④ 고객정보의 이용 기간에 관하여는 1월 이내에서 최소한으로 설정하여 요청하여야 한다. 다 만, 신용위험관리 등 정보제공의 목적을 달성하기 위해 필요한 경우로서 고객정보를 요청한 회 사와 제공한 회사의 고객정보관리인의 승인을 받은 경우에는 1개월을 초과하여 정보이용기간 을 설정할 수 있다. ⑤ 고객정보 제공 요청에 관한 승인 신청을 받은 고객정보관리인은 다음 각호의 사항에 대한 적정성을 심사하여 승인 여부를 결정하여야 한다. 1. 고객정보의 이용목적이 내부 경영관리에 이용할 목적에 해당하고 구체적이고 타당한지 여부 2. 요청ㆍ제공하는 고객정보의 범위와 이용기간이 적정한지 여부 3. 고객정보 이용자 범위, 이용 후 처리방법 등이 적정한지 여부 ⑥ 다음 각 호의 어느 하나에 해당하는 고객정보의 요청·제공의 경우에는 제4항 및 제5항을 적용하지 아니한다. 다만, 이 경우 고객정보를 요청한 회사의 고객정보관리인은 고객정보의 이 용이 제5항 각 호의 사항을 준수한 것인지를 매분기마다 1회 이상 점검하여야 한다 1. 신용위험관리 등 위험관리와 내부통제 2. 업무 및 재산상태에 대한 검사 3. 고객분석과 상품 및 서비스의 개발 4. 법, 시행령 및 관련 규정 등의 준수를 위해 필요한 경우 5. 국제적으로 통용되는 국제법과 국제기준의 준수를 위해 필요한 경우 6. 1개월 이내의 고객정보 공유

제10조 (정보의 제공) ① 고객정보의 제공을 요청받은 그룹사는 내부통제 또는 위기관리 등 내 부 경영관리 목적을 위한 경우에는 당해 회사의 고객정보관리인의 승인을 받아 제공할 수 있다. ② 고객정보를 제공할 때에는 고객정보원장을 그대로 제공하여서는 아니된다. 또한 『개인정보 보호법』 제24조에 따른 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번 호)는 정보를 제공받은 사람이 식별할 수 없도록 암호화하거나 별도의 ID로 변환한 경우에만 제공할 수 있다. ③ 고객정보 제공에 관한 승인 신청을 받은 고객정보관리인은 다음 각 호의 사항에 대한 적정 성을 심사하여 승인 여부를 결정하여야 한다. 1. 고객정보의 이용목적이 내부 경영관리에 이용할 목적에 해당하고 구체적이고 타당한지 여부 2. 요청ㆍ제공하는 고객정보의 범위와 이용기간이 적정한지 여부 3. 고객정보 이용자 범위, 이용 후 처리방법 등이 적정한지 여부 ④ 고객정보를 제공하는 경우에는 고객정보 요청서상 정해진 이용자 외에는 제공받은 정보에 대한 접근이나 활용이 불가능하도록 암호화 등의 조치를 통해 제공하여야 한다.

제11조 (고객정보의 취급) ① 고객정보를 제공받은 그룹사는 그 이용시 금융지주회사 및 제공한 그룹사에서 제시하는 주의사항 및 의견을 준수하여야 하며, 자신이 보유한 고객정보와 분리하 여 보관하고, 보관시에는 암호화 등 이용권한 제한상태를 유지하여야 한다. 다만, 제공받은 고 객정보를 활용해서 새로운 정보를 산출하는 경우에는 분리하지 않고 보관하는 것이 가능하다. ② 제10조 제2항의 단서에 따라 암호화 또는 별도의 ID 등으로 변환된 고유식별정보를 제공 받은 경우에는 그 상태를 유지하여야 한다. ③ 이 규정에 따라 제공받은 고객정보의 이용 권한을 부여받은 이용자는 일시적으로 이용을 위 해 암호화를 해제할 수 있다. 다만, 고유식별정보에 관하여서는 그러하지 아니하다. ④ 고객정보의 제공 및 이용 업무와 관련된 임직원은 신의성실의 원칙에 따라 해당 목적 외 용 도의 이용 및 제3자 등에의 누설 등이 발생하지 않도록 그 주의를 다하여야 한다. ⑤ 그룹사가 영업양도∙분할∙합병과 관련하여 고객정보를 처리하는 경우에는 고객 동의절차 등 관련법규를 준수하여야 하며, 개인신용정보를 타인에게 제공하는 경우 『신용정보의 이용 및 보호에 관한 법률』 제32조 제8항에 따른 금융위원회의 승인을 받아야 한다. ⑥ 고객정보의 이용기간의 종료나 이용 목적 달성 등으로 제공받은 고객정보가 불필요하게 된 경우에는 이를 즉시 파기하고, 고객정보관리인에게 보고하여야 한다. ⑦ 고객정보관리인은 제공받은 고객정보의 파기 여부에 대하여 매월 점검하여 금융지주회사의 고객정보관리인에게 보고하여야 한다. ⑧ 제공받은 고객정보를 활용하여 새로운 정보를 산출하는 경우에도 고유식별정보에 관하여는 제2항에 따라 암호화 또는 별도의 ID 등으로 변환된 상태를 유지하여야 하며, 산출된 정보에 포함된 그룹사의 고객정보에 관하여는 다음 각 목의 이용기간 내에서 이용하여야 한다. 가. 고객정보관리인의 승인을 받은 경우에는 그 승인 받은 기간 나. 제9조 제6항에 따라 고객정보관리인의 승인이 면제된 경우에는 목적 달성을 위해 필요한 기간

제12조 (고객정보의 활용) ① 고객정보의 제공 및 이용은 이 규정에서 정한 바에 따라 이루어져 야 하며, 목적 외 이용(특정 고객에게 부당한 이익을 제공하기 위한 이용과 같은 부정 이용을 포함한다)이나 제3자에의 누설 등이 발생하지 않도록 그룹 전 임직원에 대하여 보안 교육 등 을 실시하여야 한다. ② 그룹공동 데이터베이스 등 전산시스템을 이용하여 고객정보를 제공 및 이용하는 경우에도 이 규정에서 정한 절차를 거쳐야 한다.

제13조 (업무처리절차) ① 그룹사의 고객정보를 제공받고자 하는 경우에는 고객정보 제공 요청 서 를 작성하여 당해 부서의 장 및 고객정보 담당 소관부서의 장의 승인을 받은 후 고객정보 관리인의 승인을 받아야 한다. ② 그룹사에 고객정보를 제공하고자 하는 경우에는 고객정보 제공 통지서를 작성하여 당해 부 서의 장 및 고객정보 담당 소관부서의 장의 승인을 받은 후 고객정보관리인의 승인을 받아야 한다. ③ 정보제공 요청서 및 정보제공 통지서는 그룹사간 공문(전자문서의 형태를 포함한다)으로 송 달되어야 한다. ④ 정보제공 요청서 및 정보제공 통지서의 양식은 [별지서식 1], [별지서식2]와 같다. ⑤ 제6조 제3항에 따라 소관부서의 장에게 권한이 위임된 사항에 대하여는 동 조에 따른 승 인을 요하지 아니한다.

제14조 (그룹공동 데이터베이스의 구축 및 운영) ① 그룹사는 고객정보의 이용을 위해 다른 그 룹사와 공동으로 그룹공동 데이터베이스를 구축할 수 있다. 다만, 이용권한 없는 자가 이용할 수 없도록 고객정보를 암호화 등 이용권한을 제한하여 관리하여야 한다. ② 그룹사는 고객정보관리인에 의하여 이용권한이 부여된 자에 한하여 일시적으로 암호화 등을 해제하여 그룹공동 데이터베이스에 접근할 수 있도록 통제하여야 한다. 다만, 제6조 제3항과 같은 예외적인 경우에는 권한을 위임받은 소관부서의 장의 승인으로 고객정보관리인의 승인을 갈음할 수 있다. ③ 그룹공동 데이터베이스에 적재되는 그룹사 고객정보 중 성명, 주민등록번호, 주소, 전화번 호 등 고객을 식별할 수 있는 정보는 별도의 ID 부여 등으로 전환하여 식별할 수 없도록 하여 야 한다. ④ 그룹사는 그룹공동 데이터베이스를 이용한 정보이용내역을 소관부서에서 관리하도록 하여야 하며, 소관부서장이 매월 고객정보관리인에게 해당 내역을 보고하여 금융지주회사의 고객정보 관리인에게 보고될 수 있도록 하여야 한다.

제15조 (실시간 정보공유) 그룹사는 다음 각 호에서 정한 바와 같이 별도의 정보조회 요청 및 승인 절차와 실시간 정보공유를 위한 관리시스템을 구축한 경우에 한하여 내부경영관리 목적상 필요한 경우에 한하여 실시간 정보공유를 할 수 있다. 1. 실시간 정보공유 요청시 공유대상 고객의 조건, 공유목적, 정보이용 담당자, 정보이용 기간 및 공유대상 정보의 범위를 정하여야 한다. 2. 고객정보관리인은 자격을 갖춘 직원에 한해 실시간 고객정보 조회권한을 부여하여야 하며, 고객정보 조회권자도 승인을 받은 범위 내에서만 고객정보를 조회하여야 한다. 3. 소관부서는 조회권한이 부여된 직원 및 부서별 이용현황과 실시간 정보제공 현황을 전산으 로 관리하고, 매월 이용내역을 고객정보관리인에게 보고하며, 고객정보관리인은 정기적으로 이 사회 및 지주회사 고객정보관리인에게 이를 보고하여야 한다. 4. 이용부서는 실시간 고객정보 사용자별 이용현황에 대하여 매월 자체 검사를 실시하여야 한 다.

제16조 (조회시스템 운영) ① 고객정보를 제공하는 그룹사는 고객이 다음 각 호에 따른 내용을 인터넷 홈페이지에서 조회할 수 있도록 하여야 한다. 1. 고객정보를 제공하는 자 2. 고객정보를 제공받는 자 3. 고객정보의 제공목적 4. 고객정보의 제공항목 ② 제1항과 관련하여 다음 각 호의 사항을 준수하여야 한다. 1. 고객정보를 제공한 날부터 1개월 이내에 고객이 조회사항을 조회할 수 있도록 할 것 2. 고객에게 조회할 수 있도록 하여야 하는 조회사항은 그 조회가 의뢰된 날을 기준으로 최근 3년간의 조회사항으로 할 것 3. 고객이 조회사항을 편리하게 확인할 수 있도록 하기 위한 고객정보조회시스템을 구축하고, 인터넷 홈페이지 등에 그 고객정보조회시스템을 이용하는 방법 및 절차 등을 게시할 것 4. 조회를 요구하는 사람이 그 조회사항에 관한 고객정보주체 본인인지 여부를 확인할 것. 이 경우 그룹사는 금융거래 등 상거래관계의 유형·특성·위험도 등을 고려하여 본인 확인의 안전 성과 신뢰성이 확보될 수 있는 수단을 채택하여 활용할 수 있다. 5. 조회사항을 조회한 고객이 제17조 제4항 각 호의 어느 하나에 해당하는 방법을 지정할 수 있도록 할 것

제17조 (공고 및 게시등) ① 그룹에서 고객정보의 취급방침을 최초로 정하거나 변경한 때에는 지체없이 그 내용을 2개 일간지에 공고하고, 각 영업점(본점 해당 부서 포함), 그룹 및 해당 자회사 홈페이지 등에 게시하여야 한다. ② 자회사등은 고객과 금융거래를 개시한 때에는 정보제공 및 이용에 관한 내용이 기재된 서면 을 고객이 이해하기 쉽게 설명하고 교부하여야 하며, 고객에게 연 1회 정기적으로 2개 일간지 를 통해 공고하여야 한다. 다만, 온라인과 같은 비대면 방식으로 금융거래를 개시한 경우에는 전화, 이메일 등 비대면 방식으로 그 설명 및 교부를 갈음할 수 있다. ③ 고객정보를 그룹사에 제공하는 경우에는 고객에게 다음 각호와 같은 정보의 종류를 통지하 여야 한다. 다만, 연락처 등 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니하다. 1. 고객정보를 제공하는 자 2. 고객정보를 제공받는 자 3. 고객정보의 제공목적 4. 고객정보의 제공항목 ④ 통지의 방법으로는 연 1회 이상 다음 각 호의 어느 하나의 방법으로 통지할 수 있다. 다만, 제16조 제2항 제5호에 따라 고객이 통지방법을 정한 경우에는 그 방법에 따르되, 제3호 또 는 제4호의 방법으로 통지할 경우 고객정보를 그가 속하는 그룹사에 제공하였다는 사실과 고 객이 제16조제2항제3호에 따른 고객정보시스템을 이용하여 그 조회사항을 조회할 수 있다는 사실을 고객에게 알려주는 경우로 한정한다. 또한, 기존에 그룹사에 제공한 목적 범위에서 고 객정보의 정확성·최신성을 유지하기 위한 경우로서 그 고객정보에 대한 제3항 각 호의 사항 을 통지하면서 해당 목적 범위에서 그 고객정보를 그룹사에 계속 제공한다는 사실을 고객에게 알린 경우에는 그 기존의 통지로 연 1회 이상 하여야 하는 통지를 갈음한다. 1. 우편 2. 전자우편 3. 문자메시지 4. 그 밖에 정보통신망을 통하여 수신자에게 부호∙문자∙화상 또는 영상을 전자적 형태로 전송 하는 매체나 방식 ⑤ 그룹사는 제4항에 따라 통지하는 경우 고객에게 그룹사간의 고객정보 제공내역에 대한 통 합적 통지가 이루어지도록 노력하여야 한다. ⑥ 고객정보의 취급방침에 기재할 내용은 [별첨1]과 같다. ⑦ 제2항 단서에 따른 설명 및 교부를 할 때에는 대면 방식과 동등한 수준의 설명이 이루어졌 음을 입증할 수 있도록 하여야 한다. ⑧ 고객에 대한 연락처 등 통지할 수 있는 정보를 수집하지 않은 경우에는 홈페이지 게시만으 로 그 통지를 갈음할 수 있다.

제18조 (점검 및 보고) ① 그룹사의 고객정보관리인은 고객정보의 제공 및 이용에 관한 현황과 규정 준수 등 관련 내용을 당해 회사의 이사회에 보고하여야 한다. ② 자회사등은 고객정보의 제공 및 이용 현황에 대한 제반 사항을 지주회사의 고객정보관리인 에게 매월 보고하여야 하며, 그룹공동 데이터베이스 이용 현황이나 실시간 정보공유 현황을 포 함하는 경우에는 별도의 항목으로 구분하여야 한다. ③ 자회사등은 고객정보의 제공 및 이용에 관한 업무 처리의 적정성을 분기별로 점검하여 그 결과를 지주회사의 고객정보관리인에게 보고하여야 한다. ④ 위 제3항에 따른 보고를 받은 지주회사의 고객정보관리인은 그룹사의 보고 및 점검 결과를 당해 회사의 이사회에 보고하여야 하며, 그룹사에 대하여 관련 문제점의 개선이나 임직원의 제 재 등을 요청할 수 있다.

제19조 (고객정보의 이용 제한) ① 고객정보의 제공 및 이용에 관하여 고객이 동의하지 않거나 동의를 철회한 고객의 정보는 외부 영업 활동에 이용하여서는 아니된다. ② 고객에 대한 연락을 취하는 경우에는 고객정보의 출처 및 고객이 원할 경우 동의를 철회할 수 있음을 알려야 한다. ③ 위 제1항에 따라 고지받은 고객이 동의를 철회하는 경우에는 해당 영업 활동을 중지하고, 전 그룹사에 그 사실을 알려야 한다. 이 경우에는 고객정보관리인의 승인 등 이 규정에서 정한 절차를 거치지 아니할 수 있다. ④ 특정 고객에게 부당한 이익을 제공하기 위해 고객의 정보를 이용하여서는 아니된다.

제20조 (민원처리) ① 고객정보의 제공 및 이용과 관련하여 발생한 민원처리 및 피해고객의 구 제절차는 고객별로 당해 자회사등의 소관부서 또는 민원담당부서에서 담당한다. ② 당해 민원처리를 맡은 소관부서 또는 민원담당부서는 민원사항에 대한 안내 및 상담, 접수, 처리 결과 통지 등 민원처리 관련한 일체의 업무를 수행하여야 한다. ③ 위 제2항에 따른 소관부서 또는 민원담당부서는 해당 사항을 고객정보관리인에게 정기 적으로 보고하여야 하며, 자회사등의 고객정보관리인은 지주회사의 고객정보관리인에게 이를 보고하여야 한다.

제21조 (기록 보존) 그룹사의 소관부서는 고객정보의 제공 및 이용에 관한 서류(전자문서를 포 함한다)를 당해 회사의 문서보존절차에 따라 보존하여야 한다.

제 4 장 기 타

제22조 (조정 등) ① 이 규정에 따른 고객정보의 제공 및 이용에 관한 그룹사 상호간 이해관계 의 조정은 일차적으로 당사자간 협의에 의하며, 그 협의가 이루어지지 않을 경우에는 지주회 사가 이를 조정할 수 있다. ② 이 규정에 따른 정보의 제공 및 이용과 관련하여 발생한 비용은 당사자간 협의하여 정산하 기로 한다.

제23조 (보안대책) ① 그룹사는 고객정보에 관하여 권한이 부여된 자만이 시스템(물리적 공간을 포함한다)에 접근할 수 있도록 하여야 한다. ② 그룹사는 고객정보시스템에 대한 공격 또는 침입을 방지할 수 있는 보안시스템을 구축, 운 용하여야 한다. ③ 그룹사는 화재, 홍수 등 천재지변이나 기술적 실패 등 기타 불가항력적 사항으로 인한 고객 정보시스템(물리적 공간을 포함한다)의 전부 또는 일부의 파괴, 손실, 손상으로부터 고객정보 를 보호할 수 있는 대책을 마련하여야 한다. ④ 그룹사는 고객정보의 제공 및 이용에 관한 업무에 종사하는 임직원에 대하여 정기적으로 보 안 교육을 실시하여야 한다.

제24조 (제재 등) ① 그룹사는 이 규정을 위반한 자에 대한 제재기준을 다음과 같이 운영하여야 한다. 1. 면직 가. 고의로 고객정보를 그룹사 이외의 제3자에게 유출하거나 유출하도록 지시 또는 교사 등 관여한 경우 나. 고의로 고객정보의 전부 또는 일부를 파괴, 손실, 손상, 위․변조하는 행위를 하거나 이를 지시 또는 교사 등 관여한 경우 다. 고객정보관리인이 제2호 나 내지 다목의 사유에 해당하는 행위를 한 경우 라. 고객정보관리인이 감독기관 또는 지주회사의 고객정보관리인으로부터 고객정보와 관련한 시정조치지시 등을 받고도 2회 이상 이를 이행하지 않거나 이행하지 아니하도록 지시 또는 교 사 등 관여한 경우 마. 이 규정에 따른 정직을 2회 이상 받은 경우 2. 정직 가. 위 제1호 가 또는 나목의 사유 중 정상 참작 사유가 있는 경우 나. 제공받은 고객정보를 승인 목적 외 용도로 이용하거나 이용하도록 지시 또는 교사 등 관 여한 경우 다. 접근 권한 없이 고객정보에 접근하거나 접근하도록 지시 또는 교사 등 관여한 경우 라. 고객정보관리인이 이 규정에서 정한 보고 의무 위반을 감독기관 또는 지주회사의 고객 정보관리인으로부터 지적받고도 2회 이상 이행하지 아니하거나 이행하지 아니하도록 지시 또 는 교사 등 관여한 경우 마. 이 규정에 따른 감봉을 최근 5년 이내2회 이상 받은 경우 3. 감봉 가. 제2호 사유(마목은 제외한다) 중 정상 참작 사유가 있는 경우 나. 고의로 제11조 제6항을 위반하여 고객정보를 파기하지 않거나 이를 지시 또는 교사 등을 한 경우 다. 고의로 제19조의 절차를 위반하여 고객정보를 이용하거나 이를 지시 또는 교사 등을 한 경우 라. 이 규정에 따른 견책을 최근 5년 이내 2회 이상 받은 경우 4. 견책 가. 제3호 가 내지 다목 사유 중 정상 참작 사유가 있는 경우 나. 이 규정에서 정한 보고 또는 점검을 하지 아니하여 자체점검 또는 금융당국의 지적을 2회 이상 받은 경우 다. 이 규정에 따른 시정조치사항을 이행하지 아니한 경우 라. 제1호 내지 제3호의 사유에 해당하는 행위가 미수 또는 예비․음모에 그친 경우 ② 동일한 사유로 자체 점검 또는 금융당국의 지적을 받은 경우 그 회수는 1회로 본다. 다만, 최초의 지적 이후에 개선 조치 등을 이행하지 아니하여 이루어진 지적의 경우에는 그러하지 아 니하다. ③ 그룹사는 동일한 위반사항에 대해 동일한 수준의 제재를 하여야 하며 그룹사의 상벌규정 등 에서 정한 적법한 절차를 따라야 한다.

제25조 (제∙개정 절차) ① 이 규정의 제정 또는 개정이 필요한 경우 이사회의 승인을 받아야 하 며, 제∙개정된 규정을 이사회 승인일로부터 2주 이내에 금융위원회에 보고하여야 한다. 다만, 단순한 자구 수정, 소관 부서의 변경 등 경미한 사항을 개정하는 경우에는 이사회의 승인 및 금융위 보고를 생략할 수 있다. ② 자회사등의 고객정보관리인은 이 규정을 제정 또는 개정하는 경우에는 즉시 지주회사의 고 객정보관리인에게 보고하여야 하며, 지주회사의 고객정보관리인은 이를 취합하여 제1항의 보 고를 하여야 한다.

제26조 (보칙) 이 규정에서 정하지 아니한 사항은 금융지주회사법, 동법 시행령, 금융지주 회사 법 감독규정, 기타 관계법령에서 정한 바에 따른다.

부 칙

제1조(시행일) 이 지침은 2014년 5월 1일부터 소급시행한다. 다만, 제10조 및 제11조에 정한 고유식별정보에 대한 암호화와 관련된 사항은 2015년 1월 1일에 시행한다.

부 칙

제1조(시행일) 이 지침은 2014년 11월 29일부터 소급시행한다.

부 칙

제1조(시행일) 이 지침은 2015년 5월 8일부터 시행한다.

부 칙

제1조(시행일) 이 지침은 2016년 6월 21일부터 시행한다.

부 칙

제1조(시행일) 이 지침은 2017년 9월 13일부터 시행한다.

부 칙

제1조(시행일) 이 지침은 2018년 9월 17일부터 시행한다.

부 칙

제 1조(시행일) 이 지침은 금융지주회사감독규정 제24조의2 개정사항 반영을 위한 각 그룹(적용대상이 아닌 그룹 제외)의 고객정보 제공 및 이용에 관한 지침 개정 이사회 승인일 중 최종 이사회 승인일부터 시행한다.

부 칙

제1조(시행일) 이 규정은 2019년 09월 27일부터 시행한다.

부 칙

제1조(시행일) 이 규정은 2019년 12월 23일부터 시행한다.

부 칙

제1조(시행일) 이 규정은 2020년 3월 23일부터 시행한다.

부 칙

제1조(시행일) 이 규정은 2021년 9월 29일부터 시행한다.