제20조 (신용정보 관리책임의 명확화 및 업무처리기록의 보존)

**①** 신용정보회사등은 신용정보의 수집ㆍ처리ㆍ이용 및 보호 등에 대하여 금융위원회가 정하는 신용정보 관리기준을 준수하여야 한다. <개정 2015.3.11>

**②** 신용정보회사등은 다음 각 호의 구분에 따라 개인신용정보의 처리에 대한 기록을 3년간 보존하여야 한다. <개정 2020.2.4>

1. 개인신용정보를 수집ㆍ이용한 경우
가. 수집ㆍ이용한 날짜
나. 수집ㆍ이용한 정보의 항목
다. 수집ㆍ이용한 사유와 근거
2. 개인신용정보를 제공하거나 제공받은 경우
가. 제공하거나 제공받은 날짜
나. 제공하거나 제공받은 정보의 항목
다. 제공하거나 제공받은 사유와 근거
3. 개인신용정보를 폐기한 경우
가. 폐기한 날짜
나. 폐기한 정보의 항목
다. 폐기한 사유와 근거
4. 그 밖에 대통령령으로 정하는 사항

**③** 신용정보회사, 본인신용정보관리회사, 채권추심회사, 신용정보집중기관 및 대통령령으로 정하는 신용정보제공ㆍ이용자는 제4항에 따른 업무를 하는 신용정보관리ㆍ보호인을 1명 이상 지정하여야 한다. 다만, 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 자는 신용정보관리ㆍ보호인을 임원(신용정보의 관리ㆍ보호 등을 총괄하는 지위에 있는 사람으로서 대통령령으로 정하는 사람을 포함한다)으로 하여야 한다. <개정 2015.3.11, 2020.2.4>

**④** 제3항에 따른 신용정보관리ㆍ보호인은 다음 각 호의 업무를 수행한다. <신설 2015.3.11, 2020.2.4, 2023.3.14, 2026.3.10>

1. 개인신용정보의 경우에는 다음 각 목의 업무
가. 「개인정보 보호법」 제31조제4항제1호 및 같은 항 제4호부터 제7호까지에 따른 업무
나. 임직원 및 전속 모집인 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검
다. 그 밖에 신용정보의 관리 및 보호를 위하여 대통령령으로 정하는 업무
2. 기업신용정보의 경우 다음 각 목의 업무
가. 신용정보의 수집ㆍ보유ㆍ제공ㆍ삭제 등 관리 및 보호 계획의 수립 및 시행
나. 신용정보의 수집ㆍ보유ㆍ제공ㆍ삭제 등 관리 및 보호 실태와 관행에 대한 정기적인 조사 및 개선
다. 신용정보 열람 및 정정청구 등 신용정보주체의 권리행사 및 피해구제
라. 신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영
마. 임직원 및 전속 모집인 등에 대한 신용정보보호 교육계획의 수립 및 시행
바. 임직원 및 전속 모집인 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검
사. 그 밖에 신용정보의 관리 및 보호를 위하여 대통령령으로 정하는 업무
3. 삭제 <2020.2.4>
4. 삭제 <2020.2.4>
5. 삭제 <2020.2.4>
6. 삭제 <2020.2.4>
7. 삭제 <2020.2.4>

**⑤** 신용정보관리ㆍ보호인의 업무수행에 관하여는 「개인정보 보호법」 제31조제5항 및 제7항을 준용한다. <개정 2020.2.4, 2023.3.14, 2026.3.10>

**⑥** 대통령령으로 정하는 신용정보회사등의 신용정보관리ㆍ보호인은 처리하는 개인신용정보의 관리 및 보호 실태를 대통령령으로 정하는 절차와 방법에 따라 정기적으로 점검하고, 그 결과를 금융위원회에 제출하여야 한다. <신설 2020.2.4>

**⑦** 제3항에 따른 신용정보관리ㆍ보호인의 자격요건과 그 밖에 지정에 필요한 사항, 제6항에 따른 제출 방법에 대해서는 대통령령으로 정한다. <개정 2015.3.11, 2020.2.4>

**⑧** 「금융지주회사법」 제48조의2제6항에 따라 선임된 고객정보관리인이 제6항의 자격요건에 해당하면 제3항에 따라 지정된 신용정보관리ㆍ보호인으로 본다. <개정 2015.3.11, 2020.2.4>