회원 데이터를 SaaS로 위탁할 때 — 공공기관 운영자의 개인정보 점검 8가지
멤버십 디지털화 검토 단계에서 가장 자주 멈춰 서는 지점은 "이게 PIPA에 안전한가". 공공·문화재단·체육시설·박물관 운영자가 SaaS 도입 전에 점검할 8가지 항목을 실무 관점에서 정리했습니다.
"운영 효율은 알겠는데, 개인정보보호법은 괜찮나요?"
자치구 문화재단·시설관리공단·박물관 운영자가 회원 멤버십을 모바일로 전환할 때 가장 자주 마주치는 내부 검토 질문입니다. 본 글은 운영자 입장에서 도입 전 점검할 8가지를 정리합니다. 법률 자문은 아니며, 내부 법무 또는 위탁 검토 부서와 함께 활용하는 체크리스트로 작성됐습니다.
왜 PIPA가 첫 점검 항목인가
회원 멤버십을 SaaS 도구로 전환하는 순간, 회원의 휴대폰 번호·이메일·이름·기관 소속 같은 개인정보가 운영기관 외부의 시스템으로 흐르기 시작합니다. 종이 쿠폰 시절에는 한 부서 PC에 머물던 데이터가, SaaS 어드민·DB·발송 인프라를 거쳐 처리됩니다.
「개인정보 보호법」(PIPA)은 이 흐름을 위탁 처리로 규정하고, 위탁자(운영기관)에게 명확한 의무를 지웁니다. 운영자가 가장 먼저 점검할 곳도 여기입니다.
「개인정보 보호법」 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 한다.
핵심: 위탁 사실 자체는 합법입니다. 다만 위탁 계약·동의·관리 의무를 충족해야 합니다.
8가지 체크리스트
1. 회원 가입 동의 — 수집·이용 항목 명시
가장 기본은 회원이 가입할 때 받는 동의입니다. 다음을 회원 가입 양식에 명확히 표기해야 합니다.
- 수집 항목: 이름·휴대폰 번호·이메일·생년월일 등 (필요 최소 한정)
- 이용 목적: 회원 식별·혜택 발급·운영 안내
- 보유 기간: 회원 자격 유지 기간 + 법정 보존 기간
종이 시절의 회원 가입서에 이미 이 항목들이 있다면 디지털 전환 시 그대로 이전 가능합니다. 새로 추가할 항목이 있으면 (예: 모바일 쿠폰 발송용 번호 활용) 동의를 별도로 받아야 합니다.
2. 위탁 처리 동의 (제26조)
SaaS 도입의 핵심 조항입니다. 운영기관이 SaaS 사업자에게 회원 정보 처리를 위탁한다는 사실을 회원에게 알려야 합니다.
운영자가 준비할 것:
- 위탁 계약서 — SaaS 사업자와 체결, 위탁 업무 범위·기간·재위탁 제한 명시
- 개인정보처리방침 갱신 — 위탁 사실 + 수탁자 명·위탁 업무 공개
- 회원 동의 양식 — 위탁 처리에 대한 동의 1줄 추가
쿠러미는 개인정보처리방침에 위탁 사항을 명시하고, 운영기관용 표준 동의 1줄도 함께 제공합니다.
3. 마케팅 수신 동의 — 별도, 선택
쿠폰 발송에 카카오 알림톡·SMS·이메일을 사용한다면 「정보통신망법」 제50조가 별도로 적용됩니다. 마케팅 수신 동의는 가입 동의와 분리해서 받아야 합니다.
체크 포인트:
- 가입 동의서에서 "혜택 안내 SMS·알림톡 수신" 항목을 선택으로 분리
- 거부해도 가입은 가능해야 함
- 거부 후에도 법정 통지(약관 변경 등)는 발송 가능
4. 데이터 국내 저장 — CSAP·클라우드 가이드
공공기관·공공기관 부속법인의 경우 클라우드 SaaS 도입 시 데이터의 물리적 위치가 검토 항목입니다.
- 운영기관이 공공기관·산하법인이면 데이터 국내 저장이 사실상 의무 (디지털서비스 전문계약 가이드)
- 클라우드 서비스가 CSAP(클라우드 보안 인증) 등급을 보유하면 점검 부담 감소
- 인프라 사업자(AWS·Azure·NCP)의 한국 리전 사용이 일반적 답안
쿠러미 인프라: AWS 서울 리전(ap-northeast-2), AWS Korea의 CSAP "하" 등급 보유.
5. 보존 기간 + 파기 절차
PIPA 제21조: 개인정보의 처리 목적이 달성되면 지체 없이 파기해야 합니다.
운영자가 점검할 것:
- 회원 탈퇴 시 회원 정보 파기 시점·절차 (즉시 / 30일 유예 등)
- 법정 보존 기간 (국세기본법: 5년 결제 기록, 통신비밀보호법: 1년 발송 기록 등)
- SaaS 사업자가 파기 절차를 운영자에게 보고하는 메커니즘
6. 회원 권리 보장 — 열람·정정·삭제·이전
PIPA 제35–37조: 회원은 자신의 개인정보에 대해 열람·정정·삭제·처리정지를 요구할 수 있습니다.
SaaS 도구가 다음 기능을 제공하는지 확인:
- 열람: 회원이 자신의 정보·발급된 쿠폰 내역을 조회
- 정정: 휴대폰 번호 등 변경 요청
- 삭제: 탈퇴 + 데이터 파기
- 이전(2024.3 시행 마이데이터형): 본인 데이터를 다른 기관으로 이전 (선택적, 권고)
7. 안전조치 의무 (제29조)
개인정보의 안전한 보관·처리를 위한 기술적·관리적 조치 의무입니다.
운영자가 SaaS 사업자에게 확인할 항목:
- 암호화 — 휴대폰 번호·식별번호 등 민감 항목 저장 시 암호화
- 접근 통제 — 어드민 권한 분리, 작업 로그 보관
- 전송 보안 — HTTPS·TLS 적용
- 백업·복구 — 정기 백업 + 복구 절차
- 취급자 교육 — SaaS 사업자 직원 보안 교육 정기 실시
- 침해사고 대응 — 사고 발생 시 통지 절차 약정
쿠러미는 위 항목 모두 표준 위탁 계약서에 포함.
8. 개인정보처리방침 공개
PIPA 제30조: 개인정보처리자는 개인정보처리방침을 수립·공개해야 합니다.
SaaS 도입 시 운영기관의 개인정보처리방침에 다음을 추가·갱신:
- 수탁자 명·위탁 업무 내용
- 수탁자의 처리 절차·보안 조치 요약
- 위탁 변경·해제 절차
홈페이지 풋터·회원 가입 페이지·회원 마이페이지에서 누구나 접근 가능해야 합니다.
운영자 책임 vs SaaS 사업자 책임
PIPA에서 위탁자(운영기관)와 수탁자(SaaS 사업자)의 책임은 분리됩니다.
| 영역 | 운영기관 (위탁자) | SaaS 사업자 (수탁자) |
|---|---|---|
| 회원 가입 동의 | ✅ 직접 받음 | — |
| 처리 목적 결정 | ✅ 결정 | 운영기관 지시에 따름 |
| 위탁 계약·관리 | ✅ 점검 의무 | ✅ 표준 양식 제공 |
| 처리방침 공개 | ✅ 갱신·공개 | 표준 문구 제공 |
| 안전조치 (기술적) | 어드민 사용 권한 관리 | ✅ 시스템·인프라 |
| 안전조치 (관리적) | 직원 교육 | ✅ 직원 교육 |
| 침해사고 통지 | ✅ 회원·당국 통지 | 운영기관에 사고 보고 |
| 회원 권리 응대 | ✅ 1차 창구 | SaaS 어드민 기능 제공 |
운영기관이 위탁 사실을 동의받지 않거나 처리방침에 누락하면 책임은 위탁자(운영기관)에게 귀속합니다. SaaS 사업자가 안전조치를 미흡하게 하면 그 책임은 수탁자(SaaS)에 귀속하지만, 위탁자도 관리·감독 의무를 다했는지 점검됩니다.
흔한 실수 3가지
실수 1 — 회원 가입 동의를 새로 받지 않고 기존 종이 동의를 그대로 활용
기존 가입 동의에 "쿠폰 발송용 SMS·알림톡 발송" 항목이 없으면 추가 동의가 필요합니다. 신규 가입 회원에게는 새 양식을 적용하고, 기존 회원에게는 갱신 시점에 추가 동의를 받는 방식이 통상적입니다.
실수 2 — 위탁 사실을 처리방침에만 공개하고 동의는 누락
처리방침 공개와 가입 시 동의는 별개입니다. 처리방침은 정보 제공, 동의는 회원의 의사 확인입니다. 둘 다 필요합니다.
실수 3 — 마케팅 수신 동의 거부 회원에게도 만료 임박 알림 발송
만료 임박 알림이 정보 통지(법정 + 운영 안내)인지 마케팅인지 구분해야 합니다. 이미 발급된 쿠폰의 만료 알림은 정보 통지로 구분 가능하지만, 신규 캠페인 안내는 마케팅 동의 회원에게만 발송해야 합니다.
도입 전 5가지 질문
운영자가 SaaS 사업자에게 직접 물어볼 5가지:
- 위탁 처리에 대한 표준 계약서·동의 양식 제공해 주실 수 있나요?
- 데이터 저장 위치가 한국 리전인가요? CSAP·ISMS-P 인증 등급은?
- 회원 탈퇴 시 데이터 파기 절차를 자동으로 처리해 주시나요?
- 회원 권리(열람·정정·삭제) 응대 기능이 어드민에 있나요?
- 침해사고 발생 시 통지 절차·시간을 어떻게 약정하나요?
이 5가지에 명확히 답하지 못하는 SaaS는 도입 검토에서 보류하는 것이 안전합니다.
참고 자료
- 「개인정보 보호법」 전문 (국가법령정보센터)
- 개인정보보호위원회 (PIPC) — 가이드라인 정기 발표
- 개인정보 처리 위탁 안내서 (PIPC, PDF) — 검색: "개인정보 처리 위탁"
- 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 (정보통신망법) — 마케팅 수신 동의 관련
본 글은 일반적인 점검 항목을 정리한 것이며, 구체적인 도입 결정은 운영기관 내부 법무 또는 외부 전문가 자문과 함께 검토하시기 바랍니다.
관련 글
