1단계: 회원 관련 용어 정의하기
보통 서비스 이용약관을 보면 [용어의 정의] 항목이 있다. 그래서 육육걸즈(카페24) / 지그재그의 서비스 이용약관을 참고해서 회원 용어를 정의했다.
서비스 이용약관을 작성할 때 [용어의 정의] 항목에 해당 내용이 들어갈 것이다.
2단계: 약관 작성하기
약관은 서비스 제공자와 사용자간의 권리, 의무, 책임을 정의한 것이다. 따라서 약관 작성은 법적 고지의 의무를 준수할 뿐 아니라 서비스 정책을 정의하기 위해 필수적인 단계이다.
일반적으로 사용자가 회원가입 단계에서 동의해야 하는 약관은 두 가지이다. 하나는 서비스 이용약관이고 다른 하나는 개인정보 수집 및 이용약관이다. 그 밖에 다른 약관은 상황(개인정보 위탁, 위치 정보 수집 등)에 따라 추가적으로 동의를 받는다. 서비스 기획자 세균무기님의 강의안에서 약관의 종류에 대해 참고하고 주의사항과 내용을 추가했다.
또한 궁금했던 개인정보 위탁과 제3자 제공 구분에 대해 세균무기님의 강의안에서 내용을 참고했다.
1월 서비스 기획 강의 및 1:1 레슨 진행 안내
서비스 기획자 또는 PM이 되기를 희망하는 학생이나 주니어 기획자들이 서비스 기획을 공부하고 싶은데 대학 내 커리큘럼도 없는 데다 서점에 제대로 된 책 한 권 없다 보니 어떻게 공부를 해야
germweapon.tistory.com
우선 회원 정보와 관련이 있는 개인정보 처리방침을 작성하기로 했다. 앞서 육육걸즈와 지그재그의 약관을 살펴본 결과 서비스마다 약관내용이 조금씩 달랐다. 그래서 가이드가 있을까 해서 '개인정보 처리방침 가이드'로 검색하니 개인정보보호포털에서 제공하는 작성 가이드가 있었다.
> 메인
개인정보처리방침 만들기 개인정보처리방침 간단히 만들기 개인정보처리방침을 간단하게 작성해 보세요. 개인정보처리방침 새로 만들기 - 개인정보보호법 및 시행령, 표준 개인정보 보호지침
www.privacy.go.kr
다음은 개인정보 처리방침에 반드시 들어가야 할 내용을 발췌한 것이다.
개인정보 처리방침이란 ?
「개인정보 처리방침」이란 개인정보를 처리하고 있는 사업자/단체의 개인정보 처리기준 및 보호조치 등을 문서화하여 공개하는 것을 말함
개인정보 보호법에서는 사업자 등 개인정보처리자로 하여금 개인정보 처리방침을 수립․공개하도록 의무화하고 있음 (법 제30조)
※ 개인정보 처리방침을 정하지 않거나 공개하지 않는 자는 1천만원 이하 과태료가 부과됨어떤 내용을 담아야 하는가?
개인정보 보호법 및 표준 개인정보 보호지침은「개인정보 처리방침」에 포함되어야 하는 사항을 정하고 있음
<개인정보 처리방침 기재사항>
필수적 기재사항 임의적 기재사항 1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정함)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정함)
5. 정보주체와 법정대리인의 권리․의무 및 그 행사방법에 관한 사항
6. 처리하는 개인정보의 항목
7. 개인정보의 파기에 관한 사항
8. 개인정보 보호책임자에 관한 사항
9. 개인정보 처리방침의 변경에 관한 사항
10. 개인정보의 안전성 확보조치에 관한 사항
11. 개인정보 자동 수집 장치의 설치∙운영 및 그 거부에 관한 사항1. 정보주체의 권익침해에 대한 구제방법
2. 개인정보의 열람청구를 접수․처리하는 부서
3. 영상정보처리기기 운영․관리에 관한 사항
(개인정보 보호법 제25조제7항에 따른 ‘영상정보처리기기 운영․관리방침’을 개인정보처리방침에 포함하여 정하는 경우)※ 필수적 기재사항이란 개인정보 보호법 제30조, 시행령 제31조, 표준 개인정보 보호지침 제37조에 따라 「개인정보 처리방침」에 반드시 모두 포함해야 하는 사항임
※ 임의적 기재사항이란「개인정보 처리방침」에 포함시킬지 여부를 사업자/단체 스스로가 개인정보 처리현황을 고려하여 자율적으로 정할 수 있는 사항임
필수 기재사항을 기준으로 다음과 같이 개인정보 처리방침을 작성했다. 내가 구상한 목차는 다음과 같다.
| 필수적 기재사항 | 체크 | 내가 작성한 목차 |
| 1. 개인정보의 처리 목적 | O | [1조] 개인정보의 수집 및 이용 목적 |
| 6. 처리하는 개인정보의 항목 | O | [2조] 수집하는 개인정보 항목 및 방법 |
| 2. 개인정보의 처리 및 보유 기간 | O | [3조] 개인정보의 보유ㆍ이용기간 |
| 7. 개인정보의 파기에 관한 사항 | O | [4조] 개인정보의 파기절차 및 방법 |
| 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정함) | O | [5조] 개인정보의 제3자 제공에 관한 사항 |
| 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정함) | O | [6조] 개인정보의 처리위탁에 관한 사항 |
| 5. 정보주체와 법정대리인의 권리․의무 및 그 행사방법에 관한 사항 | O | [7조] 이용자 및 법정대리인의 권리와 그 행사방법에 관한 사항 |
| 11. 개인정보 자동 수집 장치의 설치∙운영 및 그 거부에 관한 사항 | O | [8조] 개인정보 자동수집 장치의 설치ㆍ운영 및 그 거부에 관한 사항 |
| 추가 | [9조] 접근권한에 관한 사항 | |
| 10. 개인정보의 안전성 확보조치에 관한 사항 | O | [10조] 개인정보의 안전성 확보조치에 관한 사항 |
| 8. 개인정보 보호책임자에 관한 사항 | O | [11조] 개인정보 보호책임자에 관한 사항 |
| 추가 | [12조] 권익침해 구제방법 | |
| 추가 | [13조] 기타 개인정보 처리에 관한 방침 | |
| 9. 개인정보 처리방침의 변경에 관한 사항 | O | [14조] 고지의무 |
필수 항목 외에 추가한 조항들도 있다. [9조] 접근권한에 관한 사항은 앱 설치시 단말기 내 정보 접근에 대한 권한을 정의한 내용이고 [12조] 권익침해 구제방법은 임의적 기재사항인 정보주체의 권익침해에 대한 구제방법에 해당하는 내용이다. [13조] 기타 개인정보 처리에 관한 방침은 정보도용과 적용범위에 대한 내용을 추가한 것이다. 필수 항목만 준수한다면 세부적인 내용은 서비스의 특성에 따라 작성하면 된다.
3단계: 정책 정의하기
처음에는 논문식으로 정책을 한 번에 정리하려고 했는데 불가능하다는 것을 깨달았다. 예전 프로젝트 경험만 떠올려봐도 설계 단계부터 완벽하게 정의하고 들어가기보다는 테스트 단계에서 '아맞다'하고 정책을 정의했었다. (로그인 세션이나 브라우저 뒤로가기 등) 물론 기획자가 꼼꼼하게 먼저 정의했어도 그대로 순탄하게 구현된다는 보장도 없다. 개발 환경이나 요구사항에 따라 변경될 수 있음을 감안해야 한다. 그래서 일단은 의사결정이 필요한 항목에 대해 체크리스트 정도를 만드는 것으로 일단락했다.
회원 정책에서 가장 중요한 항목은 회원가입이다. 보안 및 법령, 데이터 입력/저장, 생성 조건, 유효성 체크가 서로 밀접하게 연결되어 있기 때문이다. 그래서 회원가입폼을 정의하면서 동시에 회원가입 플로우를 분석하게 되었다. 한편 관습적으로 입력해왔던 개인정보에 대해 의문이 들었다.
앞서 나는 회원 데이터 설계에서 아이디, 비밀번호, 이름, 전화번호를 필수 입력 값으로 정의했다. (고 생각했다.) Not Null 정의하면서 이건 필수 입력 값이라고 무의식적으로 생각했던 것이다. 그러나 필수 입력 값은 반드시 Not Null이지만 Not Null이 반드시 필수 입력 값은 아니다. ex)회원등급
회원가입 플로우와 관련 법령 분석을 통해 다음과 같이 최소한의 필수 입력 값과 생성 조건, 유효성 체크를 정의했다. 아이디는 이메일과 별도로 생성하고 전화번호는 본인인증을 받는 경우에 수집한다고 가정했다.
+참고로 비밀번호는 다른 유효성 체크 인터랙션을 제공할 수도 있다. 비밀번호 생성 조건을 나열하고 실시간으로 입력 데이터 형식을 체킹하는 것이다. 프로그래스 바로 안전도를 나타내는 방법도 있지만 조건을 명시하고 달성 여부를 시각적으로 표현하는 아래 방식이 더 사용자를 배려한다고 느껴진다.
마치며
개인정보 처리방침이 이렇게 서비스마다 다른지 몰랐다. 백지에서 서비스를 기획해야 한다고 생각하니 개인정보에 대해 고려할 사항이 이렇게나 많았다. 진작에 개인정보보호포털의 가이드를 참고했으면 빨랐을 수도 있었겠지만 하도 둘러보다 보니 열가지 항목을 저절로 외울 수 있었다. As-Is 서비스를 기획했다면 깊이 생각하지 않고 긁어다 썼을 것이다.
그리고 한 가지 더. 데이터와 약관, 정책과 서비스 정의가 밀접하게 연관되어 있음을 체감했다. 이건 실제 기획을 해봐야 와닿는데 가령 제공 서비스 범위에 따라 제3자 제공 여부나 위탁 처리 여부가 결정된다. 지그재그는 플랫폼을 통해 각 쇼핑몰에 주문 정보가 제공하므로 제3자 제공에 관련한 약관이 명시되고, 육육걸즈는 택배 배송을 위해 택배회사에 개인정보를 제공하므로 위탁에 관련한 약관이 명시된다. 이러한 구분 기준은 정보주체의 예측 가능성과 관리, 이득의 주체이다.
확실히 단시간에 습득할 수 있는 내용들은 아니다. 따라서 최소한의 서비스를 위한 틀을 구축하고 지속적으로 업데이트해 나가는 것이 중요하다.
사용툴: Word, PowerPoint
참고자료
[개인정보보호법][제3자 제공 vs. 위탁][목적 외 이용 vs 목적 외 제공]
정보보안 관련 자격을 준비하려면, 개인정보보호법을 꼭 알아야 한다. 개인정보보호법에서 ‘제3자 제공’과 ‘위탁’은 혼돈하기 쉬운 개념이다. 실생활에서도 ‘제3자 제공’과 ‘위탁’은
dreamlog.tistory.com
[웹기획가이드] 회원가입 서비스 ② - 본인인증, 왜 해야할까?
안녕하세요? 야메군 입니다. 지난 주, 회원가입 서비스 ①편 - 정보수집 구조의 설계 편을 정리해봤는데요, 오늘은 조금 더 깊게 들어가서 왠지 모르지만 회원가입의 레귤러 멤버가 된 듯한 본
www.yamestyle.com
+ 정책 설계 방법에 대해 더 자세히 알고 싶다면
기획자가 알아야 할 정책 설계 가이드: 회원 정책(템플릿 제공)
아직도 화면 중심으로 서비스를 기획하고 있다면 / 정책 설계의 4가지 요소
publy.co
'서비스 기획 > 바닥부터 이커머스 시스템 기획' 카테고리의 다른 글
| 05. 상품 정책 정의 (0) | 2020.12.31 |
|---|---|
| 04. 상품 데이터 설계 (2) | 2020.12.29 |
| 03. 회원 플로우차트 (0) | 2020.12.27 |
| 01. 회원 데이터 설계 (0) | 2020.12.18 |
| 00. 이커머스 시스템 기획 프레임워크 (0) | 2020.12.17 |
댓글