|
[2부] 재보험 증권별 데이터 제공 활성화 방안 |
◈재보험사가 증권별 데이터를 안전하게 수신·관리할 시스템을 구축하는 것을 전제로 원수사는 증권별 데이터를 제공 ◦데이터의 형식과 범위는 아래 양식을 참고하되, 원수사와 재보험사의 협의에 따라 일부 조정 가능 |
I | 증권별 데이터 제공표준양식 |
계수 마감(Booking)을 위한 기초데이터
ㅇ공통항목
구 분 | 항 목 |
공통 정보 | o Key계약정보 : 마감년월/상품코드/담보코드/계약번호(비식별화 또는 재보험 계약번호 변환 필요) o 피보험자정보 : 가입연령/성별 o계약정보 : 보험기간/납입기간/납입주기/개시일자/가입연령/계약상태/가입금액 o 담보정보** : 출재율/위험률코드/갱신담보여부/갱신담보주기 |
ㅇ재보험료 및 재보험금 관련 항목
구 분 | 항 목 |
재보험료 | o 추가 Key계약정보 : 납입상태** o보험료정보:영업보험료*/할인보험료*/납입보험료*/위험보험료 |
재보험금 | o 손사정보 : 사고일자(장해의 원인사고 발생일자)/접수일자/지급일자/사고보험금/손해조사비 및 소송비용/해지환급금/효력상실환급금/소멸당시준비금 |
ㅇ준비금 관련 항목
구 분 | 항 목 |
보험료적립금 | o 준비금정보* : 계약자적립금, 실효비금 |
지급준비금 | o 손사정보 : 접수일자/지급기준일/사고일자(장해의 원인사고 발생일자)/사고당시해약환급금/미지급보험금/개별추산액(OS) |
가격산출(Pricing)을 위한 기초데이터
※ 최초 1회 제공을 원칙으로 하며, 이후에는 사별 협의
ㅇ재보험사 요청 기초자료 List
-대상상품의 기초서류
-증권별/특약별 계약속성(모델포인트)
-현금흐름산출 기초가정(계리적 가정 및 경제적 가정)
-원보험사의 현금흐름 산출결과*
-대상상품의 PV 테이블*
ㅇ주요 기초자료별 항목
구 분 | 항 목 |
모델 포인트 | 기준시점, 계약번호(비식별화 또는 재보험 계약번호 변환 필요), 계약상태, 상품코드, 담보코드, 보험기간, 납입기간, 계약일, 주피성별, 주피생년월, 최종납입회차, 가입연령, 가입금액, 최종납입연월, 미경과보험료적립금*, 영업보험료*, 순보식적립금, 해약식적립금* |
현금흐름 | 수입(영업)보험료, 보험료 할인, 해약환급금, 사고보험금, 생존급부(만기지급금, 연금지급금 등), 계약자적립금(적용), 유지계약건수 |
기초가정 | 출재대상 상품에 적용 중인 기준값 및 구분 단위가 명시된 최신 가정별 레이아웃 |
* 공동재보험 기초데이터 ** 전통재보험 기초데이터
II | 증권별 데이터 수신시스템 구조(예시) |
□ 보안성을 강화한 데이터 수신시스템 구축
㉮재보험사는 보험회사로부터 데이터를 안전하게 제공받고 내부망에 적재하기 위한 대외망을 구성한다.
㉯재보험사는 가상사설망 또는 통신사 전용선 기반의 데이터 제공시스템을 보험회사별 환경에 맞추어 구축한다.(클라우드 제외)
㉰대외 연계망과 내부망 사이의 보안을 고려하여 방화벽은 2단계에 걸쳐 구성하여 DMZ 구간(Demilitarized Zone) 내 서버에서 송‧수신한다.
㉱제공받은 데이터를 별도의 S/W를 구비하여 유효성 검사 후 내부망에 전송하도록 한다.
㉲재보험사는 향후 보험회사의 ‘외부발송시스템’ 또는 자체 ‘파일 송수신 프로그램’을 이용하여 데이터를 송‧수신한다.
III | 증권별 데이터 내부 표준관리지침(예시) |
□ 수신 데이터 관리를 위한 내부통제방안 마련
◦재보험사는 원수사와 유사한 수준으로 수신받은 데이터를 안전하게 관리할 수 있는 내부통제 절차를 마련
-업계 공동 TF에서 마련한 내부 표준관리지침을 참고하여 회사별로 내부 관리지침을 마련
제1장 총칙 제1조 (목적) 이 개인정보의 내부 관리계획(이하 “계획”)은 「개인정보 보호법」 또는 「신용정보법」(이하 “법률”) 및 내부기준에 따라 회사가 개인정보 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정함으로써 안정적인 개인정보보호 관리를 도모하는 것을 목적으로 한다. 제2조 (용어정의) 1. “개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다. 2. “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. 3. “보조저장매체”란 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결·분리할 수 있는 저장매체를 말한다. 4. “내부망”이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다. 5. “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다. 단, 본 계획에 별도로 정의되어 있지 않은 용어의 정의는 「SRAP PIDP」제2조에 따른다. 제3조 (적용범위) 이 규정은 재보험계약서에 의해 재보험거래 목적으로 회사가 수집하게 되는 회사의 전자적 파일과 인쇄물, 서면 등 모든 형태의 개인정보파일을 운용하는 개인정보보호 관련 업무에 적용하며, 다른 법령 또는 규정에 특별히 정한 것을 제외하고는 이 규정에 따른다. 제2장 내부 관리계획의 수립 및 시행 제4조 (내부 관리계획의 수립 및 승인) 내부 관리계획의 수립 및 개정관련 사항은 경영관리위원회에 보고하고 승인한다. 제5조 (내부 관리계획의 공표) 제4조에 의해 승인된 내부 관리계획은 승인 후 5일 이내 모든 임직원 및 관련자에게 통보하여 이를 준수할 수 있도록 한다. 제3장 개인정보 보호책임자의 역할과 책임 제6조 (개인정보 보호책임자의 지정) ① 효율적인 개인정보 보호업무수행을 위하여 개인정보보호책임자를 지정한다. ② 개인정보보호책임자는 준법감시인으로 하며 회사의 개인정보보호업무를 관장한다. 제7조 (개인정보 보호책임자의 역할 및 책임) ① 개인정보보호책임자는 개인정보보호를 위하여 다음 각 호의 임무를 수행한다. 1. 개인정보보호를 위한 계획의 수립 및 시행 2. 개인정보 분실·도난·유출·변조·훼손 등의 개인정보 침해신고 접수 및 처리 3. 개인정보취급자의 개인정보 관리실태의 확인·감독 4. 개인정보취급자의 개인정보 열람권한 부여를 위한 권한관리 등 제반 보호 장치에 관한 사항의 확인·감독 5. 개인정보보호 관련 통계 및 자료 취합 제8조 (개인정보취급자의 역할 및 책임) 부서별 개인정보취급자는 개인정보보호를 위하여 다음 각 호의 임무를 수행한다. 1. 「개인정보 보호법」 제32조에 따른 개인정보보호책임자, 분야별 개인정보보호담당자에게 개인정보파일 등록과 공개에 따른 실무를 처리하여야 한다. 2. 개인정보보호책임자의 승인을 받아 개인정보를 파기하여야 한다. 3. 개인정보보호책임자가 위임한 개인정보보호와 관련된 업무를 수행해야 한다. 4. 개인정보취급자는 개인정보에 대한 침해가 발생한 것을 인지한 경우 개인정보보호책임자 및 분야별 개인정보보호책임자에게 신고하여야 한다. 5. 개인정보 처리 관련 업무를 수행한다. 6. 개인정보 내부관리계획 및 처리방침을 준수한다. 7. 개인정보의 기술적·관리적 보호조치를 준수한다. 8. 소속 직원 또는 제3자에 따른 위법·부당한 개인정보 침해행위에 대한 점검을 수행한다. 9. 그 밖에 개인정보보호를 위해 필요한 사항의 준수 등 제4장 개인정보 보호 교육 제9조 (개인정보보호 교육 계획의 수립) ① 개인정보보호책임자는 매년 교육일정, 대상, 내용 등이 포함된 개인정보보호 교육계획을 수립하여 시행해야 한다. ② 개인정보 보호책임자는 교육계획에 따라 개인정보보호 교육을 수행하기 위해 외부 전문교육기관, 온라인, 교재 등 교육을 수행하는데 합리적이고 효율적인 방법을 선택하여 활용할 수 있다. ③ 교육 내용은 관련 법령 및 사내 지침, 개인정보 처리자의 주의 사항, 위반 시 처벌 규정 및 기타 필요하다고 판단되는 사항을 포함할 수 있다. 제10조 (개인정보보호 교육의 실시) ① 개인정보보호책임자는 개인정보보호에 대한 직원들의 인식제고를 위하여 정기적으로 개인정보보호 교육을 실시한다. ② 모든 직원은 최소 1년마다 개인정보보호 교육과정을 이수해야 한다. ③ 개인정보보호책임자는 개인정보보호 교육 이수에 대한 증빙자료로 교육 참석자에 대한 증빙을 유지하고 관리하여야 한다. 제5장 개인정보 처리단계별 안전조치 제11조 (물리적 접근제한 대책) ① 장소에 대한 접근제한은 전산실 및 자료보관장소에 대해 실시하며, 취급인가를 허가받은 직원만이 출입이 가능하며 통제구역 출입자명부를 생성하여 기록을 관리한다. ② 개인정보보호책임자는 개인정보와 개인정보처리시스템의 안전한 보관을 위한 물리적 잠금장치 등의 출입통제를 통한 보호조치를 취하여야 한다. 1. 개인정보보호책임자는 물리적 접근방지를 위한 별도의 보호시설에 출입하거나 개인정보를 열람하는 경우, 그 출입자에 대한 출입사실 및 열람 내용에 관한 관리대장을 작성하도록 하여야 한다. 2. 개인정보보호책임자는 물리적 접근제한 관리대장의 출입 및 열람 내용을 주기적(월 1회)으로 검토하여 정당하지 않은 권한으로 출입하거나 열람하는 경우가 있는지를 점검 및 확인하고 필요한 조치를 취하여야 한다. ③ 매체에 대한 접근제한은 USB 등 보조저장매체 및 개인정보가 포함된 서류 및 파일에 대해 실시하며, 분야별 개인정보보호책임자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다. 제12조 (개인정보취급자 접근권한 관리 및 인증) ① 개인정보처리자는 담당업무 수행에 필요한 최소한의 범위로 업무 담당자에게 개인정보 취급권한을 부여하며, 업무별/부서별/직급별에 따라 개인정보에 대한 접근권한(읽기/쓰기/수정 및 삭제권한)을 차등 부여한다. ② 개인정보처리자는 전보 또는 퇴직 등 다음 각 호에 해당하는 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다. 1. 인사이동 시 인사발령일 기준으로 기존 권한을 시스템적으로 자동해지처리 하고 신규부서에서 업무에 따른 권한을 신규로 신청한다. 2. 휴직자는 인사명령에 따른 2개월 이상 장기 휴직 발생 시 모든 권한을 시스템적으로 자동해지처리 하고 복귀 시 업무에 따른 권한을 신규로 신청한다. 3. 퇴직자는 퇴직일을 기준으로 시스템적으로 모든 권한을 자동 해지한다. ③ 개인정보처리자는 접근권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관한다. ④ 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 1인당 한 개 고유한 사용자 계정(ID)을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 한다. 제13조 (비밀번호 관리) 개인정보 처리를 위한 비밀번호의 작성 및 관리는 회사내규를 따른다. 제14조 (접근통제) ① 회사는 재보험 계약과 관련하여 고객사로부터 안전하게 재보험거래 목적의 정보를 수집하고 관리하기 위한 정보통신망을 구축하여야 한다. ② 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 대한 접속권한을 방화벽 등을 통해 제한하여 인가받지 않은 접근을 제한하는 등 접근통제시스템을 설치하여야 한다. ③ 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망 또는 전용선 등 안전한 접속수단을 적용하여야 한다. ④ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, 공유설정 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치를 취하여야 한다. 제15조 (보안프로그램의 설치 및 운영) 회사의 보안프로그램은 회사내규에 따라 유지 및 운영된다. 제6장 관리적 안전조치 제16조 (개인정보 보호조직 구성 및 운영) ① 개인정보 보호조직의 구성 및 운영은 회사의 내규를 따른다 ② 본 내부규제 준수 결과는 분기1회 내부통제규정준수여부 자체점검표에 반영하여 점검하고 경영관리위원회에 보고한다. 제17조 (개인정보 유출사고 대응) 개인정보 유출사고 발생시 회사내규에 따라 처리한다. 제7장 개인정보 처리 제18조 (처리하는 정보의 항목) 회사는 재보험계약 체결 및 회사운영을 위한 정보를 아래와 같이 수집하며, 개인정보 보호법 제23조 제1항에 따라 파기대상 개인정보는 다른 개인정보와 분리하여 저장·관리한다. ① 재보험계약정보 : 특약서 코드, 마감년월, 증권번호, 계약상태코드, 판매채널코드, 상품코드, 특약코드, 담보코드, 위험률코드, 계약일자, 보장기간, 갱신담보 갱신주기, 감액기간 해당여부, 감액기간, 감액율, 보장대기기간 여부, 보장대기기간, 경과차월, 납입주기, 피보험자 상해급수, 피보험자 성별, 가입시점 피보험자 보험연령, 출재율, 재보험료 할인·할증율, 재보험요율, 원수보험가입금액, 위험보험금액, 출재 위험보험금액, 원수 위험보험료, 출재 위험보험료 등 ② 재보험금지급정보 : 특약서 코드, 마감년월, 증권번호, 상품코드, 특약코드, 담보코드, 위험률 코드, 계약일자, 감액기간 해당여부, 감액기간, 감액률, 보장대기기간 여부, 보장대기기간, 경과차월, 사고일자, 지급사유발생일자, 청구일자, 지급일자, 사인분류코드, 수술코드, 입원일수, 피보험자 성별, 가입시점 피보험자 보험연령, 원수보험가입금액, 위험보험금액, 출재 위험보험금액, 원수지급보험금, 원수부대비용, 출재지급보험금, 출재부대비용, 원수미지급보험금(OS), 원수미지급보험금(OS)부대비용, 출재미지급보험금(OS), 출재미지급보험금(OS)부대비용 등 제19조 (개인정보의 이용·제공 제한) ① 개인정보처리자는 개인정보 수집시 고지한 제20조제2항의 이용목적 범위를 넘어 개인정보를 이용하거나 제23조제2항에 의한 고지 범위를 넘어 개인정보를 제3자에게 제공하여서는 아니 된다. ② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 1. 정보주체로부터 별도의 동의를 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우 3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우 5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 법률 제7조에 따른 보호위원회의 심의·의결을 거친 경우 6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 8. 법원의 재판업무 수행을 위하여 필요한 경우 9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우 ③ 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보를 제공받는 자 2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다) 3. 이용 또는 제공하는 개인정보의 항목 4. 개인정보의 보유 및 이용 기간 (제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다) 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 ④ 회사는 제2항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 개인정보보호법 시행규칙에서 정하는 바에 따라 인터넷 홈페이지 등에 게재하여야 한다. ⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다. 제20조 (업무위탁에 따른 개인정보의 처리) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적·관리적 보호조치에 관한 사항 3. 그 밖에 개인정보의 안전한 관리를 위하여 기관장이 정한 사항 ② 제1항에 따라 개인정보의 처리 업무를 위탁하는 경우 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자를 정보주체가 언제든지 쉽게 확인할 수 있도록 인터넷 홈페이지 등 보기 쉬운 장소에 게시하여야 한다. ③ 개인정보보호책임자는 위탁 처리되는 개인정보가 안전하게 관리될 수 있도록 제1항의 내용이 성실하게 이행되는지 여부에 대하여 위탁한 업무의 범위 내에서 적절한 감독을 행하여야 한다. 제21조 (개인정보의 파기) ① 회사는 재보험 계약 사항과 관련하여 양사(고객사와 회사)간의 잔존 책임이 소멸했음을 확인하는 서면 통지가 도달한 때를 개인정보의 처리 목적 달성 시점으로 간주한다. ② 제1항의 서면 통지 도달이후 재보험 계약과 관련된 개인정보를 별도의 DB로 분리(종이의 경우 별도의 서류) 하여 내부 방침 및 관계 법령에 따라 일정기간 보관 후 혹은 즉시 (처리 목적 달성 시점으로부터 3개월 이내) 파기해야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다. ③ 제2항에 따라 개인정보를 파기할 때에는 개인정보 보호법 제58조의 2 및 개인정보 보호법 시행령 제16조 제1항에 따라 복구 또는 재생되지 아니하도록 조치하여야 한다. 1. DB에 저장된 레코드를 삭제 시에도 파기에 해당된다. 2. 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보로 익명처리 시에도 파기에 해당된다. ④ 개인정보처리자는 개인정보의 파기에 관한 사항을 개인정보파기관리 대장에 기록·관리하여야 한다. ⑤ 개인정보파기의 시행 및 확인은 개인정보보호책임자의 책임하에 수행된다. |
|