Social AI

개인정보처리방침

Social AI 는 「개인정보 보호법」 및 관련 법령을 준수하며, 아동 민감정보 보호를 위해 비식별화 처리를 기본으로 운영합니다.

최종 개정일: 2026-05-14

베타 테스트 운영본 서비스는 Social AI 가 운영하는 베타 테스트 단계입니다. 정식 사업화 시 본 문서는 새로운 운영 주체에 맞춰 재계약·갱신됩니다.
검토 필요이 문서는 초안입니다. 정식 시행 전 운영자 검토 및 법무 자문이 필요합니다.

1. 총칙

Social AI (이하 “운영자”) 는 지역아동센터의 관찰일지·상담일지·심리검사 분석 업무를 지원하는 베타 서비스 Social AI (이하 “서비스”, social-ai.co.kr) 를 운영합니다. 본 방침은 서비스 운영 과정에서 처리되는 개인정보의 항목·목적·보유기간· 제공 및 위탁 현황과 정보주체가 행사할 수 있는 권리를 설명합니다.

본 서비스는 베타 테스트 단계로, 사업화 (법인 설립 등) 가 진행되면 처리자 (controller) 가 변경될 수 있으며 그 경우 본 방침을 사전 공지 후 갱신합니다.

2. 비식별화 원칙 (서비스의 핵심 정책)

Social AI 는 아동 및 보호자의 민감정보를 외부 AI 모델에 그대로 전송하지 않습니다. 모든 AI 처리 흐름에는 사전 비식별화 단계가 강제되며, 다음 항목이 항상 적용됩니다.

  • 직접 식별자 치환— 아동·보호자의 실명, 전화번호, 주소, 생년월일 등 직접 식별자는 AI 호출 전에 매핑 테이블을 통해 비식별 토큰 (예: “아동A”) 으로 치환됩니다.
  • 매핑 테이블 격리 — 비식별 토큰과 실제 식별자를 잇는 매핑 테이블은 외부 AI 사업자 (Anthropic 등) 에 절대 전송되지 않습니다.
  • AI 출력 재식별 검증 — AI 가 반환한 결과에서 실명·전화번호 등 직접 식별자가 누설되지 않았는지 자동 검증 후 화면에 표시합니다.
  • 로그·에러·URL 노출 금지 — 실명·전화번호·주소 등은 서버 로그, 오류 메시지, URL 파라미터 어디에도 출력되지 않습니다.
왜 중요한가요? 아동의 관찰·상담 기록은 본인이나 보호자가 아닌 제3의 정보주체 (아동) 에 관한 민감정보입니다. 외부 AI 사업자에게 원본 식별자를 넘기지 않는 것이 아동 권익 보호의 최우선 원칙이라 판단하여, 본 서비스는 비식별화를 우회 불가능한 강제 절차로 두고 있습니다.

3. 처리하는 개인정보 항목

3.1 회원 (기관 소속 교사·관리자)

  • 필수: 이름, 이메일 또는 로그인 아이디, 비밀번호 (해시), 소속 기관, 직책
  • 필수: 2단계 인증(MFA) 시크릿, 인증 시도 로그
  • 자동수집: 접속 IP, 브라우저/기기 정보, 접속 일시, 서비스 이용 기록

3.2 아동 및 보호자 (이용 기관이 등록·관리)

  • 기관 직원이 입력하는 정보: 아동의 이름, 생년월일, 학년, 가족 구성, 관찰 기록, 상담 기록, 검사 응답
  • 보호자 설문 응답: 1회용 토큰으로 외부 설문에 응답한 결과 (이름 등 개인 식별자 없이 응답 데이터만 보존)

위 정보는 §2 비식별화 원칙에 따라 AI 처리 단계에서 직접 식별자가 제거된 형태로만 외부 AI 사업자에 전송됩니다.

4. 개인정보의 처리 목적

  1. 회원 가입 및 본인 확인, 계정 관리, MFA 인증
  2. 관찰일지·상담일지·심리검사 기록의 작성·저장·조회
  3. 비식별화된 데이터를 통한 AI 기반 분석 (관찰 패턴, 심리검사 해석, 성장 리포트 생성)
  4. 다중 정보원 불일치 분석 및 보고서 작성 지원
  5. 서비스 품질 개선, 오류 모니터링, 보안 사고 대응
  6. 법령상 의무 이행 (예: 개인정보 침해 대응, 감독기관 협조)

5. 개인정보의 보유 및 이용 기간

  • 회원 정보: 회원 탈퇴 또는 이용 기관의 베타 종료 시까지. 단, 관련 법령에 따라 보존이 필요한 경우 해당 기간까지 보관 후 파기.
  • 아동·보호자 기록: 이용 기관의 보관 정책에 따르며, 기본값은 서비스 이용 종료 후 3 년 (지역아동센터 운영 기준에 따라 조정 가능).
  • 접속 로그·보안 로그: 「통신비밀보호법」에 따라 3 개월 보관 후 파기.

보유기간이 만료되거나 처리 목적이 달성된 개인정보는 지체 없이 복구·재생이 불가능한 방법으로 파기합니다.

6. 개인정보의 제3자 제공

운영자는 정보주체의 동의, 법령의 특별한 규정 등 「개인정보 보호법」 제17조에서 정한 경우를 제외하고 개인정보를 외부에 제공하지 않습니다.

7. 개인정보 처리의 위탁

서비스 제공을 위해 다음과 같은 업무를 외부에 위탁하고 있으며, 위탁 시 「개인정보 보호법」 제26조에 따라 필요한 사항을 계약 또는 표준 약관에 명시합니다.

수탁자위탁 업무위탁되는 정보
Amazon Web Services, Inc.클라우드 인프라 (서버·스토리지·데이터베이스) 운영 — AWS Lightsail서비스에서 처리되는 모든 데이터 (암호화 저장, 한국 리전)
Anthropic, PBCAI 기반 자연어 처리 (관찰일지 정리, 검사 해석, 불일치 분석 등)비식별화된 텍스트 데이터만 — 실명·전화번호·주소·생년월일 등 직접 식별자는 §2 에 따라 사전 치환됨

8. 정보주체의 권리·의무 및 행사 방법

정보주체는 운영자에 대해 다음과 같은 권리를 행사할 수 있습니다.

  • 개인정보 열람 요구
  • 오류가 있을 경우 정정 요구
  • 삭제 요구 (법령상 보존 의무가 없는 경우)
  • 처리 정지 요구

권리 행사는 admin@social-ai.co.kr 로 이메일을 보내시거나 문의하기 페이지를 통해 하실 수 있으며, 운영자는 지체 없이 조치합니다.

아동의 개인정보에 대한 권리는 1차적으로 해당 아동이 소속된 이용 기관 (지역아동센터 등) 을 통해 행사하시기 바랍니다.

9. 개인정보의 안전성 확보 조치

  • 비식별화 강제 절차 — §2 참조. 우회 불가능한 코드 경로로 구현되어 있습니다.
  • 접근 권한 관리 — 초대 기반 가입과 역할 기반 권한 (RBAC) 으로 최소 권한 원칙을 적용합니다. 관리자 계정은 2단계 인증 (MFA) 이 필수입니다.
  • 암호화 — 비밀번호는 단방향 해시(bcrypt) 로 저장하며, 통신 구간은 TLS 로 암호화됩니다. AWS 측 데이터베이스는 저장 시 암호화되어 있습니다.
  • 접속 기록 보관 — 개인정보 처리 시스템의 접속 기록을 보관하고 위·변조를 방지합니다.
  • 물리적 안전조치 — AWS Lightsail 데이터센터 보안 정책에 의존합니다.

10. 쿠키 및 자동수집장치

서비스는 로그인 세션 유지를 위해 필수 쿠키를 사용합니다. 분석·광고 목적의 쿠키는 사용하지 않습니다. 이용자는 브라우저 설정을 통해 쿠키 저장을 거부할 수 있으나, 이 경우 서비스 이용에 제한이 있을 수 있습니다.

11. 개인정보 보호책임자

베타 단계 동안 개인정보 보호 업무는 운영자가 직접 담당합니다.

12. 권익침해 구제 방법

아래 기관에 개인정보 침해에 대한 피해 구제, 상담 등을 문의하실 수 있습니다.

  • 개인정보분쟁조정위원회: 1833-6972 (www.kopico.go.kr)
  • 개인정보침해신고센터: 118 (privacy.kisa.or.kr)
  • 대검찰청 사이버수사과: 1301 (www.spo.go.kr)
  • 경찰청 사이버수사국: 182 (cyberbureau.police.go.kr)

13. 방침의 변경

본 방침은 시행일로부터 적용되며, 법령·정책 또는 보안 기술의 변경에 따라 내용의 추가·삭제 및 정정이 있는 경우 변경사항 시행 7일 전부터 서비스 내 공지사항으로 고지합니다. 사업화로 운영 주체가 변경되는 경우 30일 전 사전 고지합니다.