본 개인정보 처리방침(이하 '본 방침')은 Connect Tech Inc.(이하 '회사')가 'siftbeam'(이하 '서비스')에서 개인정보/개인데이터를 어떻게 처리하는지에 대해 설명합니다. 일본 APPI를 준수하며, 데이터 처리계약(DPA)에 관한 조항은 아래 부록에 기재합니다.
정의
개인정보/개인데이터: APPI에서 정의한 바에 따릅니다.
이용자 데이터: 이용자가 회사에 제공하는 데이터(원시데이터, 로그, 지시, 메타데이터 등)로, 개인정보를 포함할 수 있습니다.
출력 데이터: 서비스에 의해 생성/처리된 결과(CSV 등의 내보내기 포함).
처리: 수집, 기록, 편집, 보관, 이용, 제공, 삭제 등 일체의 행위.
수탁업체/재수탁업체: 회사가 위탁하는 사업자(예: AWS, Stripe).
사업자 정보
상호: Connect Tech Inc.
주소: 일본 시즈오카현 하마마쓰시 주오구 와고초 315-1485 디아스 와고 202호
대표자: Kazuaki Matsui(마츠이 카즈아키)
문의: connectechceomatsui@gmail.com
수집하는 정보의 종류
계정 정보(이름, 이메일, 조직, 직책 등)
인증 및 로그 정보(인증 ID, 접근 로그, IP, 기기 정보, 쿠키/유사 기술)
결제 정보(Stripe를 통해 처리, 카드정보는 Stripe가 관리)
이용자 데이터(업로드 데이터, 처리/학습용 데이터, 지시 내용)
지원 커뮤니케이션(채팅 내용)
이용 목적
서비스 제공/운영/기능 개선/품질 향상(모델 학습/평가/튜닝 포함)
인증, 보안, 장애 대응, 로그 분석
과금, 청구 및 부정 이용 방지
지원(채팅), 공지 및 정책/약관 변경 안내
통계 정보 생성/공개(개인 및 특정 이용자를 식별할 수 없는 형태로 한정)
법령 준수 및 권리 보호
보관 위치, 기간 및 삭제
보관 리전: 원칙적으로 일본(도쿄 리전). 변경 시 사전 통지합니다.
리전 변경은 원칙적으로 30일 전에 이메일 및/또는 서비스 내 공지로 안내합니다(긴급/법령 대응 시 예외).
보관 기간: 처리된 데이터는 1년간 보관되며 이후 자동으로 삭제됩니다. 이용자는 데이터를 개별 삭제할 수 있습니다.
청구 및 결제: 매월 월말 마감(당월 1일~말일 사용분). 청구서 발행일: 익월 1일. 결제 기한: 익월 15일.
계정 삭제: 신청 시 논리삭제, 90일 후 완전 삭제(백업은 추가 기간이 소요될 수 있음).
기술적 문제 발생 시: 조사/해결을 위해 최소한의 범위에서 접근/이용하며, 해결 후 지체 없이 삭제 또는 익명화합니다.
제3자 제공, 공동 이용 및 수탁
제3자 제공: 법령 근거가 없는 한 동의 없이 제공하지 않습니다.
수탁: 주요 수탁처는 AWS(인프라), Stripe(결제)이며 적절히 감독합니다.
재수탁: 상기 외 재수탁은 사전 허용 없이는 하지 않으며(불가피한 유지보수/대체 시 동등 이상의 보호 조치와 신속한 통지),
국제 이전: Stripe 등 사유로 일본 외(예: 미국)에서 보관/처리될 수 있으며, 법령에 따른 보호조치를 적용합니다.
국제 이전 발생 시, 회사는 EU SCC, 영국 IDTA/UK SCC 부속, 스위스 FDPIC 부속 등 적절한 보호조치를 채택합니다(부록 B 참조).
학습 활용과 옵트아웃
모델 개선 목적으로 이용자 데이터를 활용할 수 있습니다.
옵트아웃: 계정 단위 또는 특정 ‘처리 완료 파일’ 단위로 학습 활용에서 제외할 수 있으며, 서비스 품질에 영향이 있을 수 있습니다.
보안
접근 통제, 전송/저장 암호화, 권한 분리, 감사 로그, 취약점 관리 등 안전관리 조치를 시행합니다.
임직원 및 수탁업체에 대해 비밀유지의무 및 교육을 실시합니다.
중대한 유출 발생 시, 법령에 따라 조치하고 관할기관/정보주체에 통지합니다.
이용자 권리
열람, 정정, 추가, 삭제, 이용정지, 제3자 제공 정지 등을 청구할 수 있습니다(본인 확인 필요). 연락처: connectechceomatsui@gmail.com
법적 근거와 회사의 지위(컨트롤러/프로세서)
계정 관리, 과금, 서비스 운영 관련 개인정보에 대해 회사는 ‘사업자(컨트롤러 상당)’로서 처리합니다.
고객이 회사에 위탁한 이용자 데이터(고객의 목적 범위 내 처리되는 개인정보)에 대해 회사는 ‘프로세서’로서 처리합니다.
미국 주법(CCPA/CPRA 등)이 적용되는 범위에서는 회사는 ‘서비스 제공자/프로세서’의 의무를 준수합니다(부록 C 참조).
본 방침은 일본법을 기본으로 하나, EU/EEA 등 타 관할이 적용되는 경우 필요한 추가조치(SCC 등)를 이행합니다.
쿠키, 분석 및 성능 모니터링
편의성, 보안 및 분석을 위해 쿠키/유사 기술을 사용할 수 있습니다. 브라우저에서 비활성화할 수 있으나 일부 기능에 영향이 있을 수 있습니다.
【Google Analytics】본 사이트는 서비스 개선을 위해 Google Analytics를 사용합니다. Google Analytics는 쿠키를 사용하여 사용자 행동 데이터를 수집합니다. 수집된 데이터는 Google의 개인정보 보호정책에 따라 관리되며 IP 주소는 익명화되어 처리됩니다. 수집되는 정보에는 페이지 조회수, 세션 시간, 사용 기기, 브라우저, OS, 지역 정보(국가/도시 수준), 리퍼러 등이 포함됩니다. Google Analytics 데이터 수집을 거부하려면 Google에서 제공하는 브라우저 애드온(https://tools.google.com/dlpage/gaoptout)을 설치하십시오. 자세한 내용은 Google 개인정보 보호정책(https://policies.google.com/privacy)을 참조하십시오.
【Vercel Analytics / Speed Insights】본 사이트는 개인정보 보호를 고려한 액세스 분석 및 성능 측정을 위해 Vercel Analytics 및 Vercel Speed Insights를 사용합니다. 이러한 도구는 쿠키를 사용하지 않으며 개인 식별 정보(예: IP 주소)를 수집하지 않습니다. 수집되는 정보에는 페이지 조회수, 기기 유형, 대략적인 지역 정보(국가 수준), 리퍼러 정보, 페이지 로드 시간, 상호작용 응답 시간 등이 포함됩니다. 이 정보는 통계 분석에만 사용되며 개인을 식별할 수 없습니다. 이러한 도구는 GDPR 및 CCPA를 준수합니다.
미성년자의 개인정보
원칙적으로 보호자 동의 없이 미성년자의 서비스 이용은 예정하지 않습니다.
본 방침의 변경
중요 변경 사항은 사전에 고지합니다. 고지 이후 이용 지속은 변경에 대한 동의로 간주됩니다.
문의
개인정보 처리에 관한 문의: connectechceomatsui@gmail.com. 지원은 채팅만 제공하며 영업일 기준 3일 이내 회신을 목표로 합니다.
부록 A | 데이터 처리계약(DPA) 조항
A-1. 역할
고객은 컨트롤러, 회사는 프로세서로서 고객의 지시에 따라 이용자 데이터를 처리합니다.
A-2. 목적 및 범위
목적: siftbeam 제공, 모델 생성/개선, 출력 생성, 유지보수/지원, 보안, 과금.
대상 데이터: 고객이 제출한 개인정보(이름, 식별자, 연락처, 속성, 로그 등 포함 가능).
정보주체: 고객의 고객, 사용자, 임직원 등.
A-3. 처리자의 의무
고객의 서면(전자 포함) 지시에 따라서만 처리합니다.
비밀유지를 보장합니다.
적절한 기술적/관리적 안전조치를 유지합니다.
정보주체 요구가 회사에 직접 접수된 경우 지체 없이 고객에 전달하고 협력합니다.
유출 등 인시던트 발생 시 지체 없이 고객에게 통지하고 시정에 협력합니다.
고객의 합리적 범위의 감사/설명요구에 적절한 비밀/보안 하에 협력합니다.
처리 종료 시 고객의 선택에 따라 개인정보를 삭제 또는 반환합니다(법정 보존 의무 예외).
A-4. 하위처리자
기존 하위처리자: AWS(인프라), Stripe(결제).
상기 외 재위탁은 고객의 사전 허용 없이는 하지 않으며, 불가피한 대체가 필요한 경우 동등 이상의 보호조치를 확보하고 사전 통지합니다.
하위처리자에게 본 계약과 동등 이상의 데이터 보호의무를 부과합니다.
A-5. 국제 이전
국외에서 처리하는 경우, 적용법에 따른 보호조치(계약조항, 법률상 통지 등)를 시행합니다.
A-6. 보존기간 및 삭제
고객의 지시 또는 계약 종료 후 합리적 기간 내 개인정보를 삭제하거나 반환하며, 백업은 안전하게 덮어쓰기/삭제합니다.
A-7. 감사 및 보고
고객은 합리적 통지와 범위로 감사를 수행할 수 있으며, 회사는 필요한 정보 제공에 협력합니다.
A-8. 책임
책임 분담은 이용약관 및 본 DPA에 따릅니다. 보안의무 위반 등 회사의 고의·중과실로 인한 손해에 대해서는 이용약관의 한도 내에서 부담합니다.
A-9. 학습 활용 지시
고객은 계정 단위 또는 특정 파일 단위로 학습 활용 가능 여부를 지정할 수 있으며, 회사는 해당 지시에 따릅니다.
부록 B | 국제 이전 조항(SCC/영국/스위스)
B-1. 적용
EU/EEA로부터의 이전에는 SCC(2021/914)를 적용합니다.
모듈: Controller→Processor(모듈 2), Processor→Processor(모듈 3)를 필요에 따라 적용합니다.
영국에는 UK IDTA 또는 UK SCC 부속을, 스위스에는 FDPIC 부속을 적용합니다.
B-2. 주요 선택
Clause 7(Docking Clause): 적용.
Clause 9(Sub-processor): 일반 허용; 현 하위처리자(AWS, Stripe). 신규/변경은 원칙적으로 15일 전 통지.
Clause 11(Redress): 미적용(법령에 따름).
Clause 17(준거법): 아일랜드 법.
Clause 18(관할): 아일랜드 법원.
B-3. 감독기관
주된 감독기관은 원칙적으로 아일랜드 DPC로 예정(별도 합의가 있으면 그에 따름).
B-4. Annex I(이전 상세)
당사자: 데이터 수출자(고객), 데이터 수입자(회사).
정보주체: 고객의 고객/이용자/임직원 등.
데이터 범주: 식별자, 연락처, 행동 로그, 트랜잭션, 지시/메타데이터 등(고객 지시에 따름).
특별 범주: 원칙적으로 비적용. 포함 시 사전 합의 필요.
목적: siftbeam 제공, 모델 생성/개선(옵트아웃 가능), 유지보수/보안, 과금, 지원.
보존기간: 목적 달성 시까지. 계약 종료 후 삭제/반환(법정 보존 제외).
전송 빈도: 지속적/수시.
B-5. Annex II(기술·관리적 보호조치 개요)
접근 통제(최소 권한, MFA, 직무 분리)
데이터 암호화(전송 TLS, 저장 AES-256)
키 관리(로테이션, KMS)
로그/감사(변조 방지, 알림)
보안 개발/운영(SDLC, 취약점 대응, 의존성 모니터링)
가용성(백업, 리전 내 이중화, DR 절차)
벤더 관리(하위처리자 평가/계약)
정보주체 권리 대응 프로세스
인시던트 대응(탐지, 차단, 원인 분석, 통지)
B-6. Annex III(하위처리자)
AWS(인프라/호스팅, 주 리전: 도쿄)
Stripe(결제)
추가 시 사전 통지하며 동등 이상의 보호조치를 부과합니다.
B-7. 정부 요청
법에서 금지하지 않는 한 수출자에게 지체 없이 통지하고, 합법성을 검토하며 범위를 최소화합니다. 투명성 보고를 제공할 수 있습니다.
B-8. TIA(이전 영향 평가)
필요 시 회사는 수출자의 TIA에 합리적 범위에서 협력하고 관련 정보를 제공합니다.
부록 C | 미국 주법 부가 조항(CCPA/CPRA 등)
C-1. 역할 및 목적 제한
회사는 ‘서비스 제공자/프로세서’로서 고객의 사업 목적을 위해서만 개인정보를 처리합니다.
C-2. 판매/공유 금지
회사는 개인정보를 ‘판매’하거나 ‘공유’하지 않습니다(교차 컨텍스트 행동 광고 포함).
C-3. 이차적 이용 금지
회사의 독자 목적을 위해 개인정보를 이용하지 않습니다(법이 허용하는 통계화/익명화 제외).
C-4. 보안
합리적 보안을 유지하고 침해 시 고객에게 통지·지원합니다.
C-5. 소비자 권리 협력
접근, 삭제, 정정, 옵트아웃 요구에 합리적 범위에서 협력하며, 적용 시 GPC(Global Privacy Control) 신호를 존중합니다.