MK 미디어코리아

제1장 총칙

제 1조 [ 목적 ]

이 규정은 [개인정보보호법] 제12조제1항에 따라 엠케이그룹 내 각 계열사의 개인정보 처리자가 준수하여야 하는 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 내부관리계획을 규정함을 목적으로 한다.

제 2조 [ 적용범위 ]

① 이 규정은 회사내에 근무하는 전 임직원(이하 "직원"이라 한다)에게 적용한다.
② 직원이 전근, 면직, 휴직되거나 직제개편, 업무분장의 변경, 기타의 사유로 인해 근무상의 변동이 있을 경우에는 이 규정이 정하는 바에 따라 업무를 인계 인수하여야 한다.
③ 30일 이상의 출장, 휴가 또는 결근으로 인하여 부재케 될 경우 그 담당업무 중 긴급을 요하는 사항은 소속장의 지시에 따라 다른 직원에게 인계하여야 한다.

제 3조 [ 용어 정의 ]

이 지침에서 사용하는 용어의 뜻은 다음과 같다.
① "개인정보 처리"란 개인정보를 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
② "개인정보 처리자"란 법 제2조제5호에 따른 개인정보를 처리하는 모든 공공기관, 영리목적의 사업자, 협회, 동창회 등 비영리기관, 단체, 개인 등을 말한다.
③ "개인정보 보호책임자"란 개인정보 처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자로서, 법 제31조에 따른 지위에 해당하는 자를 말한다.
④ "개인정보 취급자"란 개인정보 처리자의 지휘, 감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 말한다.
⑤ "개인정보처리시스템"이란 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스 시스템을 말한다.
⑥ "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유.무선망을 통하여 전송하는 일체의 장치로서 시행령 제3조에 따른 폐쇄회로텔레비전(CCTV) 및 네트워크카메라를 말한다.
⑦ "개인영상정보"라 함은 영상정보처리기기에 의하여 촬영.처리되는 영상정보 중 개인의 초상, 행동 등 사생활과 관련된 영상으로서 해당 개인의 동일성 여부를 식별할 수 있는 정보를 말한다.
⑧ "영상정보처리기기 운영자"라 함은 개인정보 보호법 제25조제1항 각호에 따라 영상정보처리기기를 설치.운영하는 자를 말한다.
⑨ "공개된 장소"라 함은 공원, 도로, 지하철, 상가 내부, 주차장 등 정보주체가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소를 말한다.
⑩ "개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

제 4조 [ 개인정보보호 책임 ]

본 내부관리계획에서 지정하는 책임자는 다음과 같다.
① 개인정보 처리자 : 회사내 전산 및 보안등을 관리하고 책임지는 위치에 있는 이사(대우)급 이상의 임원
② 개인정보 보호책임자 : 전산팀장
③ 개인정보 취급자 : 회사내 전 임직원

제2장 내부관리계획의 수립 및 시행

제 5조 [ 내부관리계획의 수립 및 승인 ]

① 개인정보 취급자는 개인정보보호 관련 법령의 제, 개정 사항 등을 반영하기 위하여 매년 11월말까지 내부관리계획의 타당성을 검토하여야 한다.
② 개인정보 취급자는 전항의 타당성 검토에 따라 내부관리계획을 개정할 필요가 있다고 판단되는 경우 12월말까지 내부관리계획의 개정안을 작성하여 개인정보 보호책임자에게 보고하고 개인정보 보호책임자의 승인을 받아야 한다.

제 6조 [ 내부관리계획의 공표 ]

개인정보 보호책임자는 전조에 따라 승인한 내부관리계획을 매년 1월말까지 회사 전 임직원에게 공표한다.

제3장 개인정보 보호책임자의 의무와 책임

제 7조 [ 보호책임자의 지정 ]

① 개인정보 처리자는 정보주체의 개인정보를 보호하고 개인정보와 관련한 정보주체의 불만을 처리하기 위하여 다음 각 호의 업무를 수행하는 개인정보 보호책임자를 지정하여야 한다.
가. 정보주체 개인정보의 수집, 이용, 제공 및 관리에 관한 업무의 총괄
나. 개인정보 처리자의 소속 직원에 의한 위법, 부당한 개인정보 침해행위에 대한 점검
다. 정보주체로부터 제기되는 개인정보에 관한 불만이나 의견의 처리 및 감독
라. 임직원,개인정보취급자에 대한 교육 등 인식제고
마. 기타 정보주체의 개인정보보호에 필요한 사항
② 개인정보 보호책임자는 개인정보 취급자의 상사 또는 개인정보와 관련하여 정보주체의 고충처리를 담당하는 부서의 장의 지위에 있는 자 또는 개인정보 취급부서의 장이어야 한다.
③ 개인정보 보호책임자는 개인정보관리에 대하여 개인정보관리자를 지정하여 관리할 수 있다.
④ [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 제27조에 따른 개인정보 관리책임자를 지정한 경우에는 개인정보 보호책임자를 별도로 두지 않을 수 있다.

제 8조 [ 보호책임자의 역할 및 책임 ]

① 개인정보 보호책임자는 개인정보의 처리에 관한 업무를 총괄해서 책임지는 역할을 수행하는 사람으로, 개인정보 보호를 위해 개인정보와 관련된 내부지침을 준수하도록 기술적.관리적 보호조치를 실시하고 관리.감독하는 책임을 진다.
② 정보주체의 불만사항 접수 및 처리에 대한 책임을 지며, 개인정보를 취급하는 직원에 대해 교육훈련을 실시하여야 한다.
개인정보를 취급하는 업무를 외부에 위탁한 경우, 개인정보 보호책임자는 해당 위탁자의 개인정보 관리현황을 지속적으로 확인해야 한다

제 9조 [ 취급자의 범위 및 역할과 책임]

① '개인정보 취급자'는 개인정보 처리자의 지휘.감독을 받아 개인정보를 처리하는 자로서 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 해야 한다.
② '개인정보 취급자'는 사내 임직원, 외부기관에서 또는 외부기관으로 파견된 근로자, 계약직원, 아르바이트 직원 등의 시간제근로자 등이 해당될 수 있다.

제4장 개인정보의 기술적, 관리적, 물리적 조치

제 10조 [ 접근권한관리 및 접근제어]

① 개인정보 취급자는 정보주체의 개인정보를 취급할 수 있는 자를 다음 각 호의 1에 해당하는 자로 정하여 최소한으로 제한하여야 한다.
가. 정보주체를 직접 상대로 하여 마케팅 업무를 수행하는 자
나. 개인정보 보호책임자 등 개인정보 관리업무를 수행하는 자
다. 데이터베이스를 포함한 전산 관련 업무를 수행하는 자
라. 기타 업무상 개인정보의 취급이 불가피한 자
② 개인정보 처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다.
③ 개인정보 처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보 처리자는 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보 취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보 취급자와 공유되지 않도록 하여야 한다.

제 11조 [ 개인정보의 암호화 ]

① 개인정보 처리자는 개인정보를 정보통신망을 통하여 송.수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
② 개인정보 처리자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화 저장하여야 한다.

제 12조 [ 접근기록의 위변조 방지 ]

① 개인정보 처리자는 개인정보 취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관.관리하여야 한다.
② 개인정보 처리자는 개인정보 취급자의 접속기록이 위.변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

제 13조 [ 보안프로그램의 설치 및 운영 ]

개인정보 처리자는 악성 프로그램 등을 방지.치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치.운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
① 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시
② 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시

제 14조 [ 물리적 접근제한 ]

① 개인정보 처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립.운영하여야 한다.
② 개인정보 처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.

제5장 개인정보보호 교육

제 15조 [ 개인정보보호 교육 계획의 수립 ]

① 개인정보 보호책임자는 다음 각 호의 사항을 포함하는 연간 개인정보보호 교육계획을 매년 12월말까지 수립한다.
가. 교육목적 및 대상
나. 교육내용
다. 교육 일정 및 방법
② 개인정보 보호책임자는 수립한 개인정보보호 교육 계획을 실시한 이후에 교육의 성과와 개선 필요성을 검토하여 차년도 교육계획 수립에 반영하여야 한다.

제16조 [ 개인정보보호 교육의 실시 ]

① 개인정보 보호책임자는 고객정보보호에 대한 직원들의 인식제고를 위해 노력해야 하며, 개인정보의 오.남용 또는 유출 등을 적극 예방하기 위해 임.직원을 대상으로 매년 정기적으로 연2회 이상의 개인정보보호 교육을 실시한다.
② 연2회의 정기 교육은 상반기에 1회, 하반기에 1회 실시한다.
③ 교육 방법은 집체 교육뿐만 아니라, 인터넷 교육, 그룹웨어 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 외부 전문기관이나 전문요원에 위탁하여 교육을 실시할 수 있다.
④ 개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 변경된 사항이 있는 경우, 개인정보 보호책임자는 부서 회의 등을 통해 수시 교육을 실시할 수 있다.

부 칙

이 규정은 2011년 12월 1일부터 시행한다.