개인정보처리방침

한국의료기기산업협회(이하 "협회")는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제 30 조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보처리방침을 수립·공개합니다.

1. 개인정보의 처리 목적

협회는 다음의 목적을 위해 개인정보를 처리합니다.

가. 회원관리 및 민원사무 처리

• 회원 가입의사 확인, 회원제 서비스 제공에 따른 본인 식별·인증, 회원자격 유지·관리, 제한적 본인확인제 시행에 따른 본인확인, 서비스 부정이용 방지
• 각종 고지·통지, 고충처리, 분쟁 조정을 위한 기록 보존
• 민원인의 신원 확인, 민원사항 확인, 사실조사를 위한 연락·통지, 처리결과 통보

나. 교육 서비스 제공 (KMDIA EDU LMS)

• 수강신청 접수, 신청자 본인 확인, 수강 자격 검증 (회원사/비회원사 구분에 따른 할인 적용 등)
• 학습 진도 관리 (강의 시청 시간, 마지막 재생 위치, 수료 여부 산정)
• 온라인 시험 응시·채점, 합격/불합격 판정, 시험 부정 방지를 위한 응시 기록 보관
• 설문 응시 결과 수집 및 통계 분석 (개인 식별 불가 형태로 통계 작성)
• 학습 수료증 발급, 수료증 진위 확인
• 실시간 강의(LIVE) 참여자 출석 관리 및 녹화본 다시보기 제공

다. 수강료 결제 및 정산

• 수강료 청구·결제 처리, 세금계산서 발행, 환불 처리
• PG사를 통한 신용카드/계좌이체/가상계좌 결제 처리 (결제 정보는 PG사가 처리하며 협회는 결제 결과만 보관)

2. 개인정보 파일 현황

파일명	USERS_GMP (회원정보) / LMS_REQUEST (수강신청·결제) / LMS_PROGRESS·LMS_QUIZ_ATTEMPT (학습기록)
개인정보 항목	공통 : 아이디, 비밀번호(암호화), 이름, 이메일, 휴대전화, 회사명, 직책, 부서, 사업자등록번호, 사업장 주소, 가입일시, 접속 IP, 쿠키, 접속 로그 수강 관련 : 신청자명, 연락처, 신청 차수, 결제 금액, 결제 수단, 결제 일시, 결제 PG 트랜잭션 ID 학습 관련 : 강의별 시청 시간/진도율, 시험 응시 답안 및 점수, 설문 응답, 출석 기록, 수료증 번호 및 발급 일자
수집방법	회원가입 폼, 수강신청 폼, 학습 중 자동 수집(진도/접속 로그), 결제 페이지 입력
보유근거	협회 정관 제 6 조 (회원의 가입), 「전자상거래 등에서의 소비자보호에 관한 법률」

3. 개인정보의 처리 및 보유 기간

협회는 「개인정보 보호법」 에 따른 개인정보 보유·이용기간 또는 정보주체로부터 개인정보를 수집 시에 동의 받은 개인정보 보유·이용기간 내에서 개인정보를 처리·보유합니다.

구분	보존 항목	보존 기간
회원 정보	회원관리에 필요한 개인정보 일체	개인정보 수집·이용 동의일로부터 5년 (또는 회원 탈퇴 시까지)
수강·결제 기록	수강신청 내역, 결제 내역, 세금계산서	「전자상거래법」 에 따라 5년 (계약·청약철회 등 기록), 5년 (대금결제·재화공급 기록)
학습·수료 기록	강의 진도, 시험 답안·점수, 출석 기록, 수료증 발급 기록	수료 후 5년 (수료증 진위 확인을 위한 보관)
접속 로그	접속 IP, 접속 일시, 서비스 이용 기록	「통신비밀보호법」 에 따라 3개월 이상

보유 근거 : 협회 사무처리 및 복무에 관한 규정 제 15 조, 전자상거래법, 통신비밀보호법

4. 개인정보의 제 3 자 제공

협회는 원칙적으로 이용자의 개인정보를 본 처리방침 제 1 조에서 명시한 범위 내에서 처리하며, 이용자의 사전 동의 없이 본래의 범위를 초과하여 처리하거나 제 3 자에게 제공하지 않습니다.

다만, 다른 법률에 특별한 규정이 있는 경우 또는 범죄의 수사와 같이 「개인정보 보호법」 제 17 조 및 제 18 조에 해당되는 경우는 예외로 처리됩니다.

5. 개인정보처리 위탁

① 협회는 원활한 서비스 제공 및 개인정보 업무처리를 위하여 다음과 같이 개인정보 처리업무를 위탁하고 있습니다.

수탁자	위탁업무 내용	위탁기간
토스페이먼츠㈜	수강료 결제(신용카드 · 계좌이체 · 가상계좌) 의 PG 결제처리 및 결제 결과 통보	결제 처리 완료 시까지 (결제 결과 보존은 「전자상거래법」 5년)
Bunny.net (Bunny Stream)	온라인 강의 영상(VOD) 의 호스팅·스트리밍 (시청 로그는 협회 서버에 별도 기록되며 Bunny 에는 영상 파일만 위탁)	서비스 제공 기간
Zoom Video Communications, Inc.	실시간 강의(LIVE) 운영 및 녹화본 생성 (참여자 이름·이메일은 협회가 Zoom 미팅 생성 시 일시적으로 전달)	서비스 제공 기간

② 협회는 위탁계약 체결 시 「개인정보 보호법」 제 26 조에 따라 위탁업무 수행목적 외 개인정보 처리금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독, 손해배상 등 책임에 관한 사항을 계약서 등 문서에 명시하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독하고 있습니다.

③ 위탁업무의 내용이나 수탁자가 변경될 경우에는 지체 없이 본 처리방침을 통하여 공개합니다.

6. 정보주체의 권리·의무 및 그 행사방법

① 정보주체는 협회에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있습니다.

1. 본인의 개인정보 조회, 수정 및 가입해지의 요청
2. 개인정보의 오류에 대한 정정 및 삭제의 요청
3. 학습 기록 및 결제 내역의 열람·발급(수료증/거래명세서) 요청

② 제 1 항에 따른 권리 행사는 본 서비스의 내정보 수정 메뉴를 통해 직접 처리하실 수 있으며, 그 외 사항은 「개인정보 보호법」 시행규칙 별지 제 8 호 서식에 따라 서면, 전자우편, 모사전송(FAX) 등을 통하여 하실 수 있습니다. 협회는 이에 대해 지체 없이 조치하겠습니다.

③ 정보주체가 개인정보의 오류 등에 대한 정정 또는 삭제를 요구한 경우에는 협회는 정정 또는 삭제를 완료할 때까지 당해 개인정보를 이용하거나 제공하지 않습니다.

④ 제 1 항에 따른 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수 있습니다. 이 경우 「개인정보 보호법」 시행규칙 별지 제 11 호 서식에 따른 위임장을 제출하셔야 합니다.

7. 처리하는 개인정보의 항목

① 협회는 다음의 개인정보 처리 목적에 필요한 최소한의 개인정보 항목을 처리하고 있습니다.

가. 회원가입 시 (USERS_GMP)

• 개인회원 필수 : 이메일(아이디), 비밀번호, 이름, 휴대전화, 생년월일
• 기업회원 필수 : 이메일, 비밀번호, 업체명, 사업자등록번호, 대표자명, 사업장 주소, 담당자 이름·연락처·이메일
• 선택 : 직책, 부서, 회사 전화번호, 팩스번호, 의료기기 업 허가·신고번호, 우편번호

나. 수강신청·결제 시 (LMS_REQUEST)

• 신청자명, 부서, 직책, 연락처, 이메일, 회사명, 사업자등록번호
• 신청 과정·차수, 신청 금액, 할인 적용 여부 및 할인액, 청구 금액, 입금 금액
• 결제 수단, 결제 일시, 결제 PG 트랜잭션 ID(dvPaymentKey), 카드결제 여부 ※ 신용카드 번호 등 결제 인증정보는 협회가 저장하지 않으며 PG사가 처리합니다.
• 신청 IP, 약관 동의 여부

다. 학습 진행 중 자동 수집 (LMS_PROGRESS, LMS_QUIZ_ATTEMPT, LMS_QUIZ_ANSWER, LMS_SURVEY_ANSWER, LMS_ATTEND)

• 강의별 시청 시작·종료 시각, 최종 재생 위치, 누적 시청 시간, 진도율
• 시험 응시 일시, 제출 답안, 점수, 합격 여부, 응시 횟수
• 설문 응답 (문항별 선택지 / 단답 / 장문)
• 실시간 강의(LIVE) 입장·퇴장 시각, 출석 인정 여부

라. 인터넷 서비스 이용 시 자동 생성

1. 접속 IP 정보, 서비스 이용 기록, 쿠키(EDU 인증 쿠키 포함), 접속 로그, 브라우저 정보

8. 개인정보의 파기

협회는 원칙적으로 개인정보 처리목적이 달성된 경우에는 지체없이 해당 개인정보를 파기합니다. 파기의 절차, 기한 및 방법은 다음과 같습니다.

1. 파기절차 : 이용자가 입력한 정보는 목적 달성 후 별도의 DB에 옮겨져(종이의 경우 별도의 서류) 내부 방침 및 기타 관련 법령에 따라 일정기간 저장된 후 혹은 즉시 파기됩니다. 이 때 DB로 옮겨진 개인정보는 법률에 의한 경우가 아니고서는 다른 목적으로 이용되지 않습니다.
2. 파기기한 : 이용자의 개인정보는 개인정보의 보유기간이 경과된 경우에는 보유기간의 종료일로부터 5일 이내에, 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 개인정보의 처리가 불필요한 것으로 인정되는 날로부터 5일 이내에 그 개인정보를 파기합니다.
3. 파기방법 : 전자적 파일 형태의 정보는 기록을 재생할 수 없는 기술적 방법(Database row 영구 삭제 또는 파일 와이프) 을 사용하며, 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각을 통하여 파기합니다.

9. 개인정보의 안전성 확보 조치

협회는 「개인정보 보호법」 제 29 조에 따라 다음과 같이 안전성 확보에 필요한 기술적·관리적 보호조치를 하고 있습니다.

1. 내부관리계획의 수립 및 시행 — 개인정보의 안전한 처리를 위하여 내부관리계획을 수립하고 시행하고 있습니다.
2. 개인정보 취급 직원의 관리 — 개인정보를 취급하는 직원을 최소한으로 지정하고 개인정보를 관리·운영하고 교육을 실시하고 있습니다.
3. 개인정보에 대한 접근 제한 — 개인정보를 처리하는 데이터베이스시스템에 대한 접근권한의 부여·변경·말소를 통하여 개인정보에 대한 접근통제를 위하여 필요한 조치를 하고 있습니다.
4. 개인정보의 암호화 — 이용자의 비밀번호는 SHA-256 알고리즘으로 일방향 암호화하여 저장·관리되고 있어, 본인만이 알 수 있으며 중요한 데이터는 파일 및 전송 데이터를 암호화하거나 파일 잠금 기능을 사용하는 등의 별도 보안기능을 사용하고 있습니다.
5. 접속기록의 보관 및 위변조 방지 — 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리하고 있으며, 접속 기록이 위변조 및 도난·분실되지 않도록 보안기능을 사용하고 있습니다.
6. 해킹 등에 대비한 기술적 대책 — 해킹이나 컴퓨터 바이러스 등에 의한 개인정보 유출 및 훼손을 막기 위하여 보안프로그램을 설치하고 주기적인 갱신·점검을 하며 외부로부터 접근이 통제된 구역에 시스템을 설치하고 기술적/물리적으로 감시 및 차단하고 있습니다.
7. 정기적인 자체 감사 실시 — 개인정보 취급 관련 안정성 확보를 위해 정기적(분기 1회) 으로 자체 감사를 실시하고 있습니다.

10. 개인정보보호책임자 지정 및 권익침해 구제방법

① 협회는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

개인정보보호책임자	김명정 상근부회장
담당부서	경영지원부 / KMDIA EDU 교육사업팀
전화	070-7725-8706 / 02-596-0565 (교육 관련 문의)
팩스	02-596-7401

② 기타 개인정보침해에 대한 신고나 상담이 필요하신 경우에는 아래 기관에 문의하시기 바랍니다.

1. 개인정보침해신고센터 : 118 / www.118.or.kr
2. 대검찰청 첨단범죄수사과 : 02-3480-2000 / www.spo.go.kr
3. 경찰청 사이버테러대응센터 : 02-393-9112 / www.netan.go.kr

11. 개인정보처리방침 변경

본 처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 본 사이트의 공지사항을 통하여 고지할 것입니다.