디지로그 개인정보처리방침
디지로그는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」,
그 밖의 관련 법령에 따라 이용자의 개인정보를 안전하게 보호하고 투명하게 처리하기 위하여
다음과 같이 개인정보처리방침을 수립·공개합니다.

■ 이 개인정보처리방침은 2025년 7월 22일부터 적용됩니다.
■ 최종 개정일 : 2025년 7월 22일
■ 시행일 : 2025년 7월 22일

1. 개인정보의 수집 항목 및 방법
디지로그는 서비스 제공 및 분석, 문의 대응을 위하여 다음과 같은 개인정보를 수집합니다.

■ 필수 정보:
○ 수집 항목: 이름, 성별, 출생년도, 생년월일
○ 수집 방법:
- 한국건강관리협회등 측정기관을 통한 API연동
- API 연동 불가능 시 담당자(직원)가 앱에 직접 입력
○ 수집·이용 목적: 서비스 이용, 피부상태 분석

■ 선택 정보:
○ 수집 항목: 연락처
○ 수집 방법:
- 고객 요청 시
- API연동 불가 시
○ 수집·이용 목적: 고객문의 처리 및 피부측정보고서 전송

■ 분석정보(민감):
○ 수집 항목: 얼굴사진, 피부측정수치
○ 수집 방법: 장비/분석시스템 자동수집
○ 수집·이용 목적: 피부상태 분석, 통계처리, AI 추천/학습

2. 개인정보의 수집·이용 목적
수집된 개인정보는 다음 목적에 한해 이용합니다.

■ 피부상태 분석 및 결과 리포트 제공
■ 통계분석, 품질/서비스 개선 (가명처리 후)
■ 시스템 및 AI 추천 알고리즘 학습·개발

※ AI 학습, 통계, 연구 목적의 경우 가명정보만 활용하며, 재식별 금지 등 보호조치 준수

3. 개인정보의 보유 및 이용 기간

■ 개인정보는 수집일 또는 마지막 이용일로부터 최대 3년간 보관 후,
본인 요청 또는 목적 달성 시 즉시 파기합니다.
■ 정보주체(본인) 또는 대리인 요청 시 지체 없이 삭제합니다.
■ 관련 법령상 보존이 필요한 경우, 해당 법령에서 정한 기간 동안 보관 후 파기합니다.

4. 개인정보의 처리 및 저장 위치

■ 모든 개인정보 및 분석 결과는 국내 Amazon Web Services(AWS) 서울 리전에 위치한 서버에 저장·처리됩니다.
AWS 서울 리전은 국제 보안표준(ISO 27001 등)에 따라 물리적·논리적으로 안전하게 운영됩니다.

■ 온프레미스(문서, 사내 PC 등) 저장 자료의 경우 다음과 같이 관리 및 보호조치를 실시합니다.
○ 문서(출력물 등)는 출입통제구역 내 별도 보관, 잠금장치 사용 및 지정된 담당자만 접근할 수 있도록 제한합니다.
○ 사내 PC 등 전자자료는 회사 관리솔루션인 엑소스피어(Exosphere)를 통해 중앙에서 통합적으로 관리합니다.
∙ 접근권한 제어
∙ 악성코드 탐지/차단
∙ 개인정보파일 검출·암호화
∙ USB/출력물 제어
∙ 실시간 보안 정책 모니터링 및 취약점 점검 을 수행합니다.
○ 전 직원 PC는 ‘엑소스피어’를 통해 주기적으로 보안 점검하며, 온프레미스 저장 내역 및 현황은 매월 1회 자체 점검 후 기록·관리합니다.

■ 모든 전자자료(서버·PC)는 저장 및 전송 시 암호화되어 보관되며, 1년 이상 접속기록을 저장·정기 점검합니다.

■ 개인정보 침해사고가 발생하거나 의심되는 경우, 즉시 전담 담당자 및 보호책임자에게 보고·조치하고, 정보주체와 관계기관에 신속하게 안내합니다.

■ 제공받는 자

○ 강남메디컬투어센터:
∙ 제공 목적: 현장 피부측정 및 결과 제공
∙ 제공 항목: 이름, 성별, 나이, 연락처 (선택)
∙ 제공 시점: 현장 서비스 신청 시 고객 동의 후 제공
∙ 보유 및 이용기간: 수집일로부터 1년 또는 제공 목적 달성 시까지 보유 후 파기

○ 학교, 종합사회복지관등 외부기관:
∙ 제공 목적: 기관 연계 피부측정 및 결과 제공
∙ 제공 항목: 이름, 성별, 나이, 연락처 (선택)
∙ 제공 시점: 현장 서비스 신청 시 고객 동의 후 제공
∙ 보유 및 이용기간: 수집일로부터 1년 또는 제공 목적 달성 시까지 보유 후 파기

5. 개인정보의 제3자 제공

디지로그는 다음과 같이 정보주체의 동의를 받아 개인정보를 제3자에게 제공하고 있습니다.
※ 위 기관은 디지로그와의 협약을 통해 피부측정 서비스를 공동으로 운영하며, 정보주체가 현장에서 직접 제공 동의를 거친 경우에만 개인정보가 제공됩니다.

6. 개인정보의 위탁 처리

디지로그는 원활한 서비스 제공 및 고객 응대를 위해 개인정보 처리 업무의 일부를 다음과 같이 외부 업체에 위탁하고 있습니다.

○ 한국건강관리협회
∙ 위탁업무 내용: API 연동 기반 피부측정 결과 제공
∙ 제공 항목: 이름, 성별, 나이, 측정일, 결과값
∙ 보유 및 이용기간: 위탁계약 종료 시 또는 관계 법령에 따른 보존기간까지

○ 차병원
∙ 위탁업무 내용: API 연동 기반 피부측정 결과 제공
∙ 제공 항목: 이름, 성별, 나이, 측정일, 결과값
∙ 보유 및 이용기간: 위탁계약 종료 시 또는 관계 법령에 따른 보존기간까지

○ 아톡비즈
∙ 위탁업무 내용: 고객상담 CRM 운영 및 결과 안내 메시지 발송
∙ 제공 항목: 이름, 연락처
∙ 보유 및 이용기간: 위탁계약 종료 시까지

○ 엑소스피어
∙ 위탁업무 내용: 업무용 보안 PC 운영 및 관리 (고객정보 처리 없음)
∙ 제공 항목: 해당 없음
∙ 보유 및 이용기간: 해당 없음

※ 디지로그는 위탁계약 체결 시 개인정보 보호 관련 법령을 준수하며, 수탁사에 대해 관리·감독을 실시하고 있습니다.

7. 민감정보 및 AI(자동화된 결정) 관련 안내

■ 피부 분석과 관련한 민감정보(얼굴 이미지, 피부 촬영 사진 등)는 『개인정보 보호법』 제23조에 따라 별도 동의 후 수집됩니다.

■ 가명정보(측정값, 피부유형 등 비식별 정보)는 통계작성, 과학적 연구, 서비스 개선, AI 추천 알고리즘 학습 등에만 활용되며, 재식별 방지 조치 등 관련 법령상 보호조치를 철저히 준수합니다.

[AI·자동화된 결정 안내]
■ 당사 서비스에는 AI 기반 자동화된 분석·의사결정 기술(예: 피부 진단, 제품 추천 등)이 적용될 수 있습니다.
■ 정보주체는 설명을 요구하거나, 자동화된 결정에 대한 거부 또는 중단을 요청할 수 있습니다.

[설명·거부권 행사방법]
■ 개인정보보호책임자 또는 고객센터(이메일·전화)를 통해 요청하시면, 관련 처리 절차 및 지침을 신속히 안내드립니다.

8. 맞춤형 광고·온라인 행태정보 안내

■ 디지로그는 웹사이트 및 앱 운영 과정에서 쿠키(Cookie), 웹비콘, 광고 식별자 등 일체의 온라인 행태정보를 수집하거나 이용하지 않습니다.
■ 현재는 맞춤형 광고/타겟 마케팅 등 행태정보 광고를 실시하지 않고 있습니다.
■ 디지로그는 향후 온라인 맞춤형 광고, 프로파일링(예: 쿠키, 광고 ID, 웹분석 등)이 도입될 경우 수집항목, 목적, 거부권(동의 또는 철회 방법)을 별도 안내 및 동의 후 시행합니다.

9. 기술적·관리적·물리적 보호 및 안전성 확보조치

디지로그는 개인정보 보호법 및 개인정보보호위원회 '개인정보의 안전성 확보조치 기준'에 따라 고객 개인정보의 안전성과 무결성 보장을 위하여 다음과 같은 기술적·관리적·물리적 보호조치를 시행합니다.

1) 내부관리계획 및 임직원 관리
∙ 개인정보 내부관리계획을 수립·시행하고, 임직원(취급자) 최소화 및 권한자 지정/관리
∙ 정기 보안 교육 및 보안 서약 실시
∙ 인사이동, 퇴직 등 발생시 즉시 권한 회수

2) 접근권한 관리 및 통제
∙ 관리자 및 개인정보처리시스템 권한 최소화/설정 및 정기 점검
∙ 메이투 API, AWS 등 시스템 접근은 인증(ID/PW/2단계 인증) 및 IP 제한 등 이중 통제
∙ 엑소스피어 등 관리솔루션을 통한 접근/이상행위 모니터링 및 권한자 로그 관리

3) 암호화 및 안전한 저장
∙ 개인정보 전송(HTTPS/SSL), 저장(AES-256 등) 시 강력한 암호화 적용
∙ 비밀번호 등 중요정보는 일방향 암호화 및 솔트 적용
∙ 서버·PC 저장파일은 엑소스피어로 암호화/워터마크 구현

4) 접속기록 보관 및 점검
∙ 개인정보 시스템 접속기록을 최소 1년(민감정보 2년) 이상 안전하게 보관
∙ 이상행위 또는 무단접근 시 실시간 탐지 및 월 1회 정기 점검

5) 악성코드 방지·보안프로그램 적용
∙ 엑소스피어 등 사내 관리솔루션을 통한 PC·서버 백신, DLP 등 악성코드 차단·실행 통제
∙ 최신 보안패치, 백신패턴, 정책 업데이트 수시 적용

6) 물리적 보호조치
∙ 개인정보 보관문서 및 서버는 출입통제구역 내 별도 보관, 잠금장치 비치 및 지정담당자 외 접근 금지
∙ 출력/복사 시 관리자 기록대장 운영 및 불필요 출력 즉시 파기

7) 백업 및 장애·재해 대비
∙ AWS 서버 및 핵심 시스템은 정기 백업 및 장애 복구 절차 운영
∙ 심각한 장애·재해 발생 시 신속한 데이터 복구체계 구축

8) 개인정보 파기 및 폐기
∙ 수집 목적 달성 또는 보유기간 경과 시 즉시 폐기(복구 불가 방식)
∙ 삭제, 파기 내역은 파기대장에 기록·보관

9) 개인정보 침해 대응 절차
∙ 침해(의심) 발견 시 즉시 전담부서 및 책임자에 보고, 신속한 사후 조치
∙ 정보주체·관계기관 등에 법정 절차 따라 지체 없이 통지

디지로그는 개인정보의 안전성 확보를 위한 위와 같은 기술적·관리적·물리적 보호조치에 최신 법령 및 지침 개정 내용을 반영하여 정기적으로 점검·개선합니다.

10. 개인정보의 파기

■ 개인정보는 수집일 또는 마지막 이용일로부터 3년 후 자동 파기되며, 별도 요청 시 즉시 삭제합니다.
■ 수동 파기는 관리담당자가 책임하에 파기사유, 일자, 결과를 파기대장에 기록 후, 개인정보보호책임자가 적정성 여부를 재확인합니다.
■ 파기대장: 파기사유, 방식, 담당자, 일시 등 기록/관리

[파기 방법]
■ 전자적 파일 형태의 개인정보는 복구 및 재생이 불가능한 기술적 방법(예: 영구 삭제, 덮어쓰기 등)으로 안전하게 삭제
■ 종이(출력) 문서는 분쇄기 등을 이용하여 파쇄하거나 소각 등의 방식으로 완전히 폐기

11. 정보주체의 권리 및 행사방법

■ 본인 및 위임장을 소지한 대리인(법정대리인, 가족 등)은 열람, 정정, 삭제, 처리정지, 자동화 결정 설명/거부 등을 요청할 수 있습니다.

■ 요청은 이메일, 고객센터 연락을 통해 언제든지 접수 가능하며, 접수 후 7일 이내 처리 후 결과를 통지합니다.
만약 회사의 개인정보 처리에 대해 불만이 있거나 권리 침해가 발생했다고 판단될 경우,
정보주체는 아래 기관에 분쟁 해결이나 권리 구제를 요청할 수 있습니다.

■ 개인정보 분쟁조정위원회 (https://kopico.go.kr)
■ 개인정보침해신고센터 (국번 없이 118)
■ 대검찰청 사이버범죄수사단 (https://www.spo.go.kr)
■ 경찰청 사이버안전국 (국번 없이 182)

12. 아동(만 14세 미만) 개인정보 처리

■ 만 14세 미만 아동의 개인정보는 법정대리인(부모 등) 동의 후에만 수집·이용 가능하며, 동의 이력 및 본인확인 로그를 별도 보관합니다.

■ 아동 민감정보는 접근권한 제한 등 별도의 보호조치를 적용합니다.

13. 개인정보 보호책임자 및 담당부서

■ 디지로그는 개인정보보호 총괄책임자를 지정/운영하고 있습니다.

■ 개인정보보호책임자
○ 성명: 전해나겸 과장
○ 이메일: hannah@digilog.ai
○ 전화번호: 1551-1883
○ 담당부서: 정보보안팀

14. 개인정보처리방침 변경 고지

■ 본 방침은 관련 법령 및 서비스 변경사항 반영 시 최소 7일 전(주요사항은 30일 전) 홈페이지를 통해 공지 후 적용됩니다.