제1조(목적)

이 지침은 「금융복합기업집단의 감독에 관한 법률」(이하 “법”이라 한다) 제29조 및 <금융복합기업집단 내부통제기준> 제20조제2항에 따라 소속금융회사 간 고객정보를 제공이용하는 경우 고객정보의 엄격한 관리를 위하여 필요한 사항을 정하는 것에 목적이 있다.

제2조(용어의 정의)

이 지침에서 사용하는 용어의 정의는 다음 각 호와 같다. 1. “금융회사”란 다음 각 목의 어느 하나에 해당하는 회사(외국 법인을 포함한다.)를 말한다. 가. 「통계법」 제22조제1항에 따라 통계청장이 고시하는 한국표준산업분류에 따른 금융 및 보험업을 영위하는 회사 (단, 「금융복합기업집단 감독규정(이하 “감독규정”이라 한다.)」 제2조제1항 각 호의 회사는 제외한다.) 나. 금융업의 영위와 밀접한 관련이 있는 사업의 영위를 목적으로 하는 회사로서 법 시행령 제2조제2항에 따른 회사 2. “기업집단”이란 동일인이 사실상 그 사업내용을 지배하는 회사의 집단으로서 「독점규제 및 공정거래에 관한 법률」 제2조제11호에 따른 기업집단을 말한다. 3. “금융복합기업집단”이란 동일한 기업집단에 속한 둘 이상의 금융회사로 구성된 집단으로서 법 제5조제1항에 따라 금융위원회가 지정한 집단을 말한다. 4. “소속금융회사”란 금융복합기업집단에 속하는 금융회사를 말한다. 5. “고객정보”란 다음 각 목의 정보를 말한다. 가. 「금융실명거래 및 비밀보장에 관한 법률」 제4조에 따른 금융거래의 내용에 관한 정보 또는 자료(이하 “금융거래정보”라 한다) 나. 「신용정보의 이용 및 보호에 관한 법률」 제2조제2호에 따른 개인신용정보(이하 “개인신용정보”라 한다) 다. 「자본시장과 금융투자업에 관한 법률」에 따른 투자매매업자 또는 투자중개업자를 통하여 증권을 매매하거나 매매하려는 위탁자가 예탁한 금전 또는 증권에 관한 정보(이하 “증권총액정보등”이라 한다)

제3조(적용범위)

① 이 지침은 내부통제∙위험관리 등을 위해 다우키움 금융복합기업집단의 소속금융회사 간 고객정보를 제공∙이용하는 경우에 적용한다. ② 이 지침은 제1항에 관하여 개인정보보호 내부관리규정 등 다른 사규에 우선하여 적용한다. 1. 제공범위 가. 개인식별정보 : 성명, 생년월일, 주민등록번호, 주소, 성별, 직업, 전화번호, 휴대전화번호, 전자우편주소 나. 보험계약정보 : 보험사명, 증권번호, 보험기간, 보험종목, 보험계약일자, 상품명, 담보내용, 보험가입금액, 보험료, 특약사항, 계약유지 여부 등 다. 보험금지급정보 : 보험사고일자, 보험금청구일자, 보험금지급일자, 지급액, 지급사유 등 라. 임직원 및 판매조직정보 : 개인식별정보, 입사일, 퇴사일, 은행 계좌번호, 급여 관련사항, 위촉 및 해지관련 정보, 지급수수료, 환수수수료 등

제4조(고객정보의 제공 목적)

소속금융회사는 다음 각 호의 사항에 이용하게 할 목적으로 고객정보를 다른 소속금융회사에 제공할 수 있다. 1. 금융복합기업집단 내부통제 정책 및 금융복합기업집단 내부통제 기준의 수립∙운영 및 평가∙점검 2. 금융복합기업집단 위험관리 정책 및 금융복합기업집단 위험관리 기준의 수립∙운영 및 평가∙점검 3. 금융복합기업집단의 자본적정성 평가∙점검

제5조(고객정보의 이용 제한)

소속금융회사는 고객정보를 특정고객에게 부당한 이익을 제공하기 위해 이용하여서는 아니 된다.

제6조(제공 가능한 고객정보의 종류)

소속금융회사에 제공 가능한 고객정보의 종류는 다음 각 호와 같다. 1. 금융거래정보: 금융회사등이 금융자산을 수입∙매매∙환매∙중개∙할인∙발행∙상환∙환급∙수탁∙등록∙교환하거나 그 이자, 할인액 또는 배당을 지급하는 것과 이를 대행하는 것 또는 그 밖의 금융자산을 대상으로 하는 거래의 내용에 관한 정보 또는 자료 2. 개인신용정보: 기업 및 법인에 관한 정보를 제외한 살아있는 개인에 관한 신용정보로서 해당 정보의 성명, 주민등록번호 및 영상 등을 통하여 특정 개인을 알아볼 수 있는 정보이거나 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 3. 증권총액정보등: 「자본시장과 금융투자업에 관한 법률」에 따른 투자매매업자 또는 투자중개업자가 제공 가능한 정보로 다음 각 목의 어느 하나에 해당하는 정보 가. 예탁한 금전의 총액 나. 예탁한 증권의 총액 다. 예탁한 증권의 종류별 총액 라. 수익증권으로서 「자본시장과 금융투자업에 관한 법률」 제229조 각 호의 구분에 따른 집합투자기구의

제7조(고객정보를 제공열람하는 소속금융회사의 상호)

고객정보를 제공∙열람하는 소속금융회사의 상호는 다음 각 호와 같다. 1. 키움증권㈜ 2. 키움투자자산운용㈜ 3. ㈜키움저축은행 4. ㈜키움예스저축은행 5. 키움캐피탈㈜ 6. 키움에프앤아이㈜ 7. 키움에셋플래너㈜ 8. 키움인베스트먼트㈜ 9. 키움프라이빗에쿼티㈜

제8조(고객정보 제공 절차 및 점검)

고객정보를 제공∙열람하는 소속금융회사의 상호는 다음 각 호와 같다. ① 소속금융회사 간 고객정보를 제공∙이용하고자 하는 경우에는 사전에 서면 또는 전자결재시스템을 통하여 고객정보관리인의 승인을 받아야 한다. ② 고객정보를 제공할 때에는 다음 각 호의 사항을 준수하여야 한다. 1. 고객정보 원장을 제공하지 않을 것 2. 고객정보는 고객정보관리인의 승인을 받은 이용자 외에는 제공받은 정보에 대한 접근이나 활용이 불가능하도록 암호화 등의 조치를 통해 제공할 것 3. 고객정보 가운데 「개인정보 보호법 시행령」 제19조에 따른 고유식별정보는 정보를 제공받는 사람이 식별할 수 없도록 암호화하거나 별도의 관리번호 등으로 변환하여 제공할 것 4. “[별지서식1] 고객정보 제공승인 신청서”를 작성하여 제1항에 따라 고객정보관리인의 승인을 받을 것 ③ 고객정보를 이용할 때에는 다음 각 호의 사항을 준수하여야 한다. 1. 제공받은 고객정보는 그 이외 정보와 분리하여 보관할 것. 다만, 제공받은 고객정보를 활용해서 새로운 정보를 산출하는 경우에는 그러하지 아니하되, 이 경우에도 제공받은 고객정보에 대해서는 목적 달성을 위해 필요한 기간 이내에서 이용할 것 2. 이용기간이 경과하였거나 제공목적 달성 등으로 정보가 불필요하게 되었을 때에는 해당 정보를 지체 없이 파기할 것 3. “[별지서식2] 고객정보 요청 승인 신청서”를 작성하여 제1항에 따라 고객정보관리인의 승인을 받을 것 ④ 고객정보관리인은 고객정보의 제공∙이용이 다음 각 호의 사항을 준수하는 것인지를 매 반기 1회 이상 점검하여야 한다. 1. 요청∙제공하는 고객정보의 이용목적이 소속금융회사의 내부통제∙위험관리 등 제4조의 이용 목적에 해당하고 구체적이고 타당한지 여부 2. 요청∙제공하는 고객정보의 범위와 이용기간이 적정한지 여부 3. 고객정보 이용자 범위, 이용 후 처리방법 등이 적정한지 여부

제9조(고객정보관리인)

① 소속금융회사는 고객정보의 엄격한 관리를 위해 임원(「금융회사의 지배구조에 관한 법률」 제2조제2호에 따른 임원을 말한다) 중 1명 이상을 고객정보관리인으로 선임하여야 한다. ② 고객정보관리인은 다음 각 호의 업무를 수행한다. 1. 다음 각 목의 사항이 포함된 업무지침서(이 지침을 말한다) 작성 및 금융위원회 보고 가. 고객정보의 제공목적 나. 특정고객에게 부당한 이익을 제공하기 위한 고객정보의 이용제한 등에 관한 사항 다. 소속금융회사간 제공 가능한 고객정보의 종류 라. 고객정보를 제공∙열람하는 소속금융회사의 상호 마. 소속금융회사간 고객정보를 제공하는 업무처리절차 바. 고객정보에 대한 보안대책 사. 고객정보관리인의 권한 및 임무 아. 지침 위반자에 대한 제재기준 및 절차 자. 고객정보의 취급방침의 공고 또는 통지방법 차. 고객정보 제공내역의 통지방법 카. 영업양도∙분할∙합병시 고객정보의 처리방법 및 「신용정보의 이용 및 보호에 관한 법률」 제32조제8항에 따른 의무의 이행방법 2. 고객정보 제공 절차 수립 및 관리 실태 점검 3. 고객정보 제공 관련 임직원에 대한 교육 계획 수립 및 시행 4. 지침 위반자에 대한 개선 조치 및 필요 시 경영진 보고 5. 고객정보 취급방침 관리 6. 그 밖에 고객정보를 보호하기 위하여 필요한 사항 ③ 「개인정보 보호법」 제31조에 따른 개인정보 보호책임자 및 「신용정보의 이용 및 보호에 관한 법률」 제20조에 따른 신용정보관리보호인의 업무를 담당하는 각 소속금융회사의 임원은 이 지침에 따른 고객정보관리인의 업무를 겸직할 수 있다.

제10조(고객정보에 대한 보안대책)

① 소속금융회사는 고객정보 보호를 위해 다음 각 호의 사항이 포함된 보안대책을 수립 및 준수하여야 한다. 1. 고객정보를 이용하는 업무의 부서장은 고객정보관리담당자를 지정하고 고객정보에 대한 접근권한을 필요한 최소한의 인원에게만 부여하여야 한다. 2. 고객정보를 송∙수신 및 보관하는 경우에는 소속금융회사의 암호화 정책을 따른다. 3. 외부로부터의 침입 등에 대비하여 보안프로그램을 설치 및 운영하여야 한다. 4. 고객정보를 출력 및 복사하는 경우 이용 목적이 완료되면 파쇄 및 소각 등의 안전한 방법으로 파기하여야 한다. 5. 그 외 고객정보를 안전하게 관리하기 위한 세부사항은 소속금융회사의 개인정보보호 관련 규정을 따른다. ② 소속금융회사가 다른 소속금융회사에 고객정보를 제공하는 경우에는 다음 각 호의 사항이 포함된 고객정보 제공 관련 보안 협약서를 체결하여야 한다. 1. 제공되는 고객정보의 범위 및 제공∙이용 목적 2. 제공된 고객정보의 업무목적 외 사용 및 제3자 제공 금지에 관한 사항 3. 제공된 고객정보의 이용자 제한 및 전담 관리자 지정에 관한 사항 4. 소속금융회사간 고객정보 송∙수신시 정보유출 방지에 관한 사항 5. 고객정보의 이용기간 및 동 기간 경과 후 고객정보의 폐기∙반납에 관한 사항 6. 그 밖에 고객정보 보호를 위하여 필요한 사항 7. 제1호 내지 제6호를 위반한 경우의 책임소재 및 제재에 관한 사항

제11조(고객정보 유출 대응)

① 고객정보관리인은 고객정보가 유출된 경우 그 피해를 최소화하기 위하여 다음 각 호의 조치를 취하여야 한다. 1. 시스템 일시 정지, 암호 등의 변경, 유출 원인 분석, 기술적∙관리적∙물리적 보호조치 강화, 시스템 변경, 기술지원 의뢰 및 복구 등과 같은 임시 대응조치에서부터 유사사고 발생 방지대책 수립 및 시행 등과 같은 장래의 피해 예방조치 강구 2. 우선적으로 고객정보 유출사실을 지체 없이 피해고객에게 통지하고 피해고객으로부터 고객정보 유출로 인한 피해 현황을 접수 받을 수 있는 창구 마련 3. 피해확산을 방지하기 위해 신속하고 적절한 조치를 취하고 피해 복구를 위하여 직∙간접적인 사고발생 원인을 즉시 제거 4. 미비한 기술적∙관리적∙물리적 보호조치를 보완하여 유출된 고객정보의 악용 또는 도용을 막을 수 있도록 관련부서와 협의하여 대책 마련 ② 소속금융회사는 유출된 고객정보가 개인(신용)정보에 해당할 경우, 「개인정보보호법」 등 관계법령에서 정하는 절차를 이행하여야 한다.

제12조(지침 위반자에 대한 제재기준 및 절차)

소속금융회사는 고객정보를 이용한 임직원이 다음 각 호의 어느 하나에 해당하는 행위를 하였을 경우 소속금융회사의 내부통제정책에 따라 해당 임직원에 대하여 조치를 취하여야 한다. 1. 고객정보의 임의 유출 2. 특정고객에게 부당한 이익을 제공하기 위한 고객정보의 이용 3. 고객정보의 무단 조회 및 추출 4. 출력저장된 고객정보의 방치 및 관리 소홀 5. 이 지침 또는 기타 관계법령 위반 행위

제13조(고객정보 취급방침)

① 고객정보관리인은 다음 각 호의 사항을 포함한 고객정보 취급방침을 정하여야 한다. 1. 고객정보의 보호에 관한 사항 2. 고객정보의 이용에 관한 사항 3. 고객정보의 제공에 관한 사항 4. 소속금융회사의 상호 및 업종 5. 고객정보의 제공이용의 목적 6. 고객정보의 제공이용으로 인하여 고객에게 피해가 발생한 경우 피해 구제 수단 ② 고객정보관리인은 제1항의 고객정보 취급방침을 소속금융회사의 거래상대방에게 통지 또는 공고하고 영업점에 게시하여야 한다. ③ 고객정보의 취급방침에 기재할 내용은 [별첨1]과 같다.

제14조(고객정보 제공내역의 통지)

① 소속금융회사에 고객정보를 제공하는 부서는 그 제공내역을 고객에게 통지하여야 한다. 다만, 연락처 등 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니하다. ② 고객정보의 제공내역을 고객에게 통지하는 경우에는 다음 각 호의 기준을 따른다. 1. 통지해야 하는 정보의 종류: 금융거래정보개인신용정보증권총액정보 2. 통지내용: 다음 각 목의 사항 가. 제공받는 자 나. 제공 목적 다. 제공 횟수 라. 제공한 고객정보의 내용 3. 통지주기: 매년 4. 통지방법: 다음 각 목의 방법 가. 서면 교부 나. 우편 또는 전자우편 다. 전화 또는 팩스 라. 휴대전화 문자메시지 또는 이에 준하는 전자적 의사표시 ③ 고객정보의 제공내역을 고객에게 통지하는 경우, 기존에 소속금융회사에 제공한 목적범위에서 고객정보의 정확성∙최신성을 유지하기 위하여 그 고객정보를 다른 소속금융회사에 계속 제공한다는 사실을 고객에게 알린 경우에는 그 기존의 통지로 매년 하여야 하는 통지를 갈음한다.

제15조(영업양도 등에 따른 고객정보의 처리)

① 소속금융회사는 영업의 양도∙분할∙합병 등의 이유로 권리∙의무의 전부 또는 일부를 이전하면서 그와 관련된 고객정보를 제공하는 경우에는 고객정보의 제공 사실 및 이유 등을 사전에 다음 각 호의 방법으로 해당 정보주체에게 알려야 한다. 1. 일반적인 경우: 서면, 전화, 문자메시지, 전자우편, 팩스 그 밖에 이와 유사한 방법 2. 고의 또는 과실 없이 정보주체의 연락처 등을 알 수 없는 경우: 인터넷 홈페이지에 게시하거나 사무실∙점포 등에서 해당 정보주체로 하여금 그 사실을 열람하게 하는 방법 ② 소속금융회사는 영업의 양도∙분할∙합병 등으로 고객정보를 이전 받는 경우에는 다음 각 호의 사항을 준수하여야 한다. 1. 제1항에 따른 방법으로 해당 정보주체에게 알려야 한다. 다만, 영업양도자가 제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다. 2. 당초 목적 범위 안에서만 고객정보를 이용하거나 제공하여야 한다. 3. 이전 받는 고객정보와 그 이외 정보를 분리하여 관리하여야 한다. ③ 소속금융회사는 영업의 양도∙분할∙합병 등으로 고객정보를 이전 하는 경우에는 「신용정보의 이용 및 보호에 관한 법률」 제32조제8항에 따라 다음 각 호의 사항에 관하여 금융위원회의 승인을 받아야 한다. 1. 제공하는 고객정보의 범위 2. 제공받는 자의 고객정보 관리보호 체계

제16조(지침의 제정·개정)

① 이 지침의 제정 및 개정은 제7조 각 호의 고객정보를 제공∙열람하는 소속금융회사 간 협의를 거쳐 각 소속금융회사 고객정보관리인의 승인에 의한다. ② 이 지침의 제정 및 주요 내용에 관한 개정은 법 제29조에 따라 금융위원회에 보고하여야 한다.