OPUS 개인정보처리방침
본 방침은 OPUS(이하 서비스)가 이용자의 개인정보를 어떻게 수집·이용·보관·파기하는지 설명합니다. 본 방침은 정보보호 설계(Security by Design)·개인정보보호 설계(Privacy by Design) 원칙에 따라 작성되었으며, 한국 개인정보보호법(PIPA) 과 일본 개인정보보호법(APPI) 의 기준을 반영합니다.
1. 운영자 및 문의
- 운영 주체: 주식회사 이지메이션 (대표 정훈)
- 주소: 서울특별시 영등포구 의사당대로 83, 서울핀테크랩 한국휴렛팩커드빌딩 4·5·6·8층 (여의도동)
- 사업자등록번호: 649-81-00202
- 개인정보 보호 책임자: 대표이사 (문의: admin@opus-store.com)
- 문의: admin@opus-store.com (전화 문의는 받지 않습니다. 이메일로 연락해 주세요.)
2. 수집하는 개인정보 항목
서비스 단계에 따라 다음과 같은 항목이 수집될 수 있습니다.
- 계정·인증: 이메일 주소, 비밀번호(해시 등 원문 비저장 형태), 표시 이름, 역할(작가·컬렉터 등)
- 서비스 이용: 복제 불가능한 디지털 아트 관련 메타데이터, 에디션·출처·소유 이력(The Chronicle 및 연동 기록)
- 기술 정보: IP 주소, 쿠키·로컬 저장소, 기기·브라우저 정보, 접속·이용 로그
- 분석(해당 시): 비식별·집계 위주의 이용 통계(예: 페이지 조회, 이벤트 집계). 개인을 직접 식별하지 않도록 설계합니다.
3. 수집 및 이용 목적
- 회원 식별, 로그인·세션 관리, 부정 이용 방지
- 인증된 디지털 에디션의 소유·출처·감상 경험 제공 및 The Chronicle 기록의 무결성·감사 가능성 유지
- 고객 지원, 공지, 약관·방침 변경 안내
- 서비스 품질 개선(통계·보안 모니터링, PII 최소 노출 원칙 하의 로그)
본 서비스는 NFT 등 분산원장 기술을 기술적 수단으로 활용할 수 있으나, 투자·수익·금융 상품을 목적으로 한 개인정보 처리를 하지 않습니다.
4. 보안 보관 구역 및 암호화·보안 통제
OPUS는 민감 데이터의 저장(At-Rest) 및 전송(In-Transit) 구간에서 암호화와 접근 통제를 적용합니다.
- 보안 보관 구역: 운영 인프라 내 프라이빗 보관·처리 구역을 지칭하며, 개인정보·제출 자산·감사 로그 등은 업무상 필요한 최소 범위에서만 이 구역 또는 이에 상응하는 통제 수준의 환경에 보관됩니다. (이용자에게 제공되는 마이페이지의 계정·소장 화면은 이 통제 수준에 맞춰 설계·운영됩니다.)
- 암호화: 전송 구간은 TLS 등 업계 표준을 따릅니다. 저장 데이터는 암호화된 저장소·암호화된 백업 등을 통해 노출 위험을 완화합니다(구체 알고리즘·키 관리는 내부 보안 기준 및 인프라 문서에 따름).
- 접근 통제: 최소 권한(RBAC) 원칙, 운영·개발 분리, 감사 로그(식별 정보 마스킹 원칙)를 적용합니다.
- 무결성: The Chronicle 등 불가변·연속 기록이 필요한 영역은 해시 체이닝 등으로 무결성 검증을 지원할 수 있습니다. 이 경우에도 직접 식별자는 가능한 한 분리·최소화합니다.
5. 개인정보의 제공 및 처리 위탁
- 원칙적으로 이용자 동의 없이 제3자에게 개인정보를 제공하지 않습니다.
- 위탁(호스팅, 결제 대행, 분석 도구 등)이 있는 경우 위탁 계약에 따라 목적 외 이용 금지·기술적·관리적 보호조치를 요구하고, 위탁 업체와 처리 항목을 방침 또는 별지로 공개합니다.
5.1 결제 처리 위탁 — 가맹 심사 진행 중
본 서비스는 일본 내 신용카드 등 결제 처리를 일본 결제대행사(PSP) 에 위탁할 예정이며, 현재 KG 이니시스 일본(KG Inicis Japan) 을 우선 후보로 가맹 심사를 진행하고 있습니다. 가맹 확정 전까지는 본 항목의 수탁자 명칭·소재국·처리 항목 등은 잠정 표기이며, 가맹 확정 시점에 본 표를 확정하여 본 방침을 갱신하고, 동시에 이용자에게 별도 고지합니다. 어떤 결제대행사를 선정하더라도 카드 번호 등 결제 정보는 OPUS 서버를 거치지 않고, 선정된 결제대행사의 PCI DSS 준수 환경에서 직접 보관·처리되도록 요구합니다.
| 항목 | 내용 (잠정 — 가맹 확정 시 확정) |
|---|---|
| 수탁자 명칭 | 가맹 심사 완료 시 확정 (현 후보: KG 이니시스 일본 (KG Inicis Japan)) |
| 소재국 | 일본 (현 후보 기준; 다른 PSP 선정 시 갱신) |
| 위탁 처리 내용 | 결제 세션 생성, 카드 등 결제 정보 수집·토큰화, 결제 결과 통지(Webhook), 환불 처리 |
| 제공되는 개인정보 항목 | OPUS 주문번호, 결제금액(JPY), 통화, 결과 구분. 카드 번호·유효기간·보안코드는 OPUS 측에서 수집·보유하지 않으며, 선정된 결제대행사가 직접 보관·처리합니다. |
| 수탁자의 보유·이용 기간 | 선정된 결제대행사의 정책 및 PCI DSS 등 관련 법령·기준에 따릅니다. |
| 안전관리 조치 | PCI DSS 인증 사업자 선정, TLS 통신 암호화, 토큰화를 통한 가맹점 카드 번호 비보관을 전제로 합니다. 위탁 계약을 통해 목적 외 이용 금지 및 기술적·관리적 안전조치를 요구합니다. |
| 동의 철회 | 결제 화면으로 진행하지 않음으로써 본 위탁을 회피할 수 있습니다. 이미 발생한 결제는 별도 환불 절차로 처리합니다. |
| 도입 시점 | 가맹 심사 완료 시점에 본 표를 확정하고, 서비스 공개와 동시에 최신 표기로 갱신합니다. |
향후 다른 결제 대행사·관련 처리 위탁처를 추가하는 경우, 해당 처리를 시작하기 전에 본 방침 §5를 갱신하여 동일 형식으로 공개합니다.
6. 국외 이전
Google·LINE 계정으로 로그인·회원가입을 선택하는 경우, 인증 처리를 위해 개인정보가 국외(미국·일본)로 이전·처리됩니다. 본 이전에 대한 동의는 가입·로그인 화면의 "이용약관 및 개인정보처리방침 동의" 체크박스에 포함되어 있으며, 그 구체적 내용은 본 절을 통해 사전에 고지합니다. 본 절은 일본 개인정보보호법(APPI) 제28조(외국 제3자 제공) 및 한국 개인정보보호법(PIPA) 제28조의8 ②항(국외 이전 사전 고지)이 요구하는 정보를 모두 포함합니다.
6.1 Google LLC(미국) — 계정 인증
| 고지 항목 | 내용 |
|---|---|
| 이전받는 자 | Google LLC |
| 이전되는 국가 | 미합중국(United States of America) |
| 이전 일시 및 방법 | 이용자가 Google 로그인·회원가입을 선택한 시점, HTTPS 기반 OAuth 2.0 / OpenID Connect 표준 플로우 |
| 이전되는 개인정보 항목 | 이메일 주소, Google 표시 이름, 프로필 이미지 URL, Google 계정 고유 식별자(OIDC sub) |
| 이전받는 자의 이용 목적 | 이용자 본인 확인, 인증 토큰 발급, 서비스 로그인 상태 유지 |
| 이전받는 자의 보유·이용 기간 | Google 측은 Google 프라이버시 정책에 따름. OPUS 측은 이용자 계정 삭제 또는 동의 철회 시까지. |
| 안전성 확보 조치 | TLS 전송 암호화, OAuth 권한 범위 최소화(프로필·이메일 범위만 요청), OPUS 내부 저장 시 접근 제어(RBAC) 및 감사 로그 기록 |
| 이전받는 자 국가의 개인정보 보호 제도 | 미국은 포괄적 연방 개인정보보호법 대신 분야별 법률과 FTC Act §5(불공정·기만적 행위 금지)에 의해 집행됩니다. Google LLC는 자사 프라이버시 정책, 적용 가능한 표준 계약 조항(SCC) 및 GDPR 정합 처리자 계약 등을 통해 개인정보 보호를 이행합니다. 본 정보는 개인정보보호위원회(PIPC)의 국외 이전 관련 고시 및 일본 개인정보보호위원회(PPC)의 외국 제도 조사자료 를 참조하여 작성되었습니다. |
| 이전받는 자가 취하는 조치 | OECD 프라이버시 원칙에 상응하는 내부 통제, 업계 표준 암호화, EU GDPR 정합 처리자 계약을 채택하고 있습니다. |
| 거부 방법 및 거부 시 조치 | 이용자는 Google 로그인을 선택하지 않는 방법으로 본 국외 이전을 거부할 수 있으며, 이 경우 향후 제공될 이메일 기반 로그인 등 대체 수단을 이용할 수 있습니다. 제공 이후의 동의 철회는 OPUS 계정 삭제 요청을 통해 처리됩니다. |
6.2 LY Corporation(일본) — LINE Login 인증
| 고지 항목 | 내용 |
|---|---|
| 이전받는 자 | LY Corporation (구 LINE Corporation 등을 통합한 일본 법인; 2023-10-01 LINE Corporation·Yahoo Japan Corporation 등 그룹 재편으로 발족) |
| 이전되는 국가 | 일본 (도쿄 소재) |
| 이전 일시 및 방법 | 이용자가 LINE 로그인 을 선택한 시점, HTTPS 기반 OAuth 2.0 / OpenID Connect (LINE Login v2.1) 표준 플로우 |
| 이전되는 개인정보 항목 | LINE 발급 OIDC sub(이용자 고유 식별자), 이메일 주소(이용자가 동의한 경우), LINE 표시 이름, 프로필 이미지 URL |
| 이전받는 자의 이용 목적 | 이용자 본인 확인, 인증 토큰 발급, 서비스 로그인 상태 유지 |
| 이전받는 자의 보유·이용 기간 | LY Corporation 측은 LY Corporation 그룹 프라이버시 정책에 따름. OPUS 측은 이용자 계정 삭제 또는 동의 철회 시까지. |
| 안전성 확보 조치 | TLS 전송 암호화, LY Corporation이 서명한 ID 토큰(JWT) 서명·만료 검증, OAuth 권한 범위 최소화(profile openid email 범위만 요청), OPUS 내부 저장 시 접근 제어(RBAC) 및 감사 로그 기록 |
| 이전받는 자 국가의 개인정보 보호 제도 | 일본은 개인정보의 보호에 관한 법률(APPI) 에 따라 개인정보보호위원회(PPC) 가 감독합니다. 한국 PIPC는 일본을 PIPA 제28조의8 ①항의 적정성 인정 국가로 별도 고시하고 있지는 않으나, APPI는 PIPA와 비교 가능한 보호 수준을 제공하는 것으로 평가됩니다. 본 이전은 PIPA 제28조의8 ②항에 따른 사전 고지 동의 에 근거합니다. |
| 이전받는 자가 취하는 조치 | LY Corporation은 APPI 및 자사 그룹 데이터 보호 정책에 따라 안전 관리 조치, 위탁 통제, 정보주체 권리 대응(열람·정정·삭제 등)을 이행합니다. |
| 거부 방법 및 거부 시 조치 | 이용자는 LINE 로그인을 선택하지 않는 방법으로 본 국외 이전을 거부할 수 있으며, 이 경우 Google 로그인 또는 이메일 기반 로그인 등 대체 수단을 이용할 수 있습니다. 제공 이후의 동의 철회는 OPUS 계정 삭제 요청을 통해 처리됩니다. |
6.3 기타
위 6.1 ~ 6.2 외의 국외 이전(예: 새로운 OAuth 제공자 추가, 해외 분석·호스팅 위탁 등)이 도입되는 경우, 해당 처리를 개시하기 전에 본 방침 §6을 갱신하여 이전받는 자·국가·항목·기간·거부권을 동일한 형식으로 고지합니다. 변경은 서비스 내 공지 및/또는 이메일로 안내합니다.
7. 일본 개인정보보호법(APPI) 준수
OPUS는 일본 「개인정보의 보호에 관한 법률」(Act on the Protection of Personal Information, APPI) 및 개인정보 보호 위원회 가이드라인을 준수하기 위해 다음을 이행합니다.
- 이용 목적의 특정·명시, 목적 외 이용 금지
- 안전 관리 조치(보안 보관 구역을 포함한 기술적·조직적 대책)
- 제3자 제공·위탁의 적정화
- 열람·정정·이용 정지·삭제 등 청구에 응하는 절차(세부는 별도로 정함)
- 국외에 있는 제3자에 대한 제공이 있는 경우 APPI에 따른 대응
※ 일본 거주자에게 서비스를 제공하는 경우, 표시 언어·절차를 일본어로 정비하는 것을 권장합니다.
8. 대한민국 개인정보보호법 준수
대한민국 거주 이용자에 대해서는 「개인정보 보호법」 및 시행령에 따른 수집·이용 동의, 제3자 제공, 파기, 이용자 권리(열람·정정·삭제·처리정지 등) 절차를 적용합니다.
9. 보유 기간 및 파기
- 회원 탈퇴 또는 보유 기간 만료 시, 관련 개인정보는 지체 없이 파기합니다. 단, 관계 법령에 보존 의무가 있는 경우 해당 기간까지 분리 보관 후 파기합니다.
- The Chronicle 등 감사·무결성을 위한 기록은 블록체인·해시·불가변 로그 형태로 영구 보존될 수 있습니다. 이 경우 직접 식별 정보는 별도 분리·비식별화 등을 통해 최소화합니다.
10. 이용자의 권리
이용자는 본인의 개인정보에 대해 다음과 같은 권리를 가집니다.
- 열람 청구(PIPA 제35조)
- 정정·삭제 청구(PIPA 제36조)
- 처리 정지 청구(PIPA 제37조)
- 동의 철회: 서비스 내 설정 또는 문의 창구를 통해 언제든지 신청 가능
- 제3자 제공 중단 요청
- (APPI 적용 시) 이용 정지·소거·제3자 제공 정지 청구(APPI 제35조)
요청은 본인 확인 후, 법정 기한 및 The Chronicle의 무결성 요구(§9 참조)를 고려하여 합리적 기간 내 처리합니다.
11. 쿠키 및 유사 기술
서비스는 세션·기본 설정·보안 목적으로 쿠키 등을 사용할 수 있습니다. 분석용 쿠키는 동의가 필요한 경우 별도 동의 UI를 둡니다.
12. 아동의 개인정보
본 서비스는 만 13세 미만(또는 관할 법상 아동) 의 개인정보를 고의로 수집하지 않습니다. 해당 사실이 확인되면 지체 없이 삭제 조치합니다.
13. 유출 등의 통지
개인정보의 유출·분실·훼손 등 사고가 발생하고 관계 법령(한국 개인정보보호법 제34조, 일본 APPI 제26조 및 시행규칙 제7조 등)에 따른 통지·보고 요건에 해당하는 경우, 감독기관(PIPC·KISA·PPC 등) 및 정보주체 본인에게 지체 없이 통지합니다.
14. 정책 변경
법령·서비스 변경 시 본 방침을 개정할 수 있으며, 중요한 변경은 서비스 내 공지 또는 이메일로 안내합니다.
문서 버전: v1.0.0 | 시행일: 2026-05-23 | 최종 갱신일: 2026-05-23 | 다음 검토: 법령·준거법 정합성