게임사 N사 개인정보 처리방침 평가

1-1. 개인정보 처리방침 작성 지침 내 해당 시 필수 사항을 포함하여, 권장 사항까지 모두 알리고 있는가? (총 10점)

이곳의 개인정보 처리방침에는 총 14가지 항목이 존재한다.

 

1. 개인정보처리방침의 정의
2. 개인정보의 처리 목적
3. 처리하는 개인정보의 항목
4. 만 14세 미만 아동의 개인정보 처리에 관한 사항
5. 개인정보의 처리 및 보유기간
6. 개인정보의 파기 절차 및 방법에 관한 사항
7. 개인정보의 제3자 제공에 관한 사항
8. 개인정보 처리업무의 위탁에 관한 사항
9. 개인정보의 안전성 확보조치에 관한 사항
10. 자동 수집 장치의 설치·운영 및 거부에 관한 사항
11. 이용자와 법정대리인의 권리·의무 및 행사방법에 관한 사항
12. 개인정보보호 책임자, 개인정보 업무 담당부서 및 고충사항을 처리하는 부서
13. 이용자의 권익침해에 대한 구제방법
14. 개인정보보호를 위한 N사의 노력

 

필수사항이 모두 포함되어 있으며, 권자사항인 권익침해 구제방법, 자율적으로 개인정보 처리방침에 포함하여 정한 사항 등도 포함되어 있으므로 필수적인 것을 넘어 더욱 정보주체를 위한 정보전달을 하고 있음을 알 수 있다.

 

결과: 10점

 

1-2. 개인정보 처리방침 상 기재된 내용이 실제 서비스 이용 시 고지된 개인정보 처리 사항과 동일한가? (총 10점)

이 서비스를 이용하기 위해 실제 가입을 시도하였을 때, 아이디, 대표닉네임, 비밀번호, 휴대폰 번호, 이메일 주소, 회원정보 유효기간(4지선다)을 입력 및 선택해야 했다.

 

그리고 처리방침에서는 이름, 생년월일, 성별, 내·외국인 정보, 이동통신사 정보, CI, DI도 수집하는 것이 기재되어 있다. 이는 동일하다고 볼 수 없으며, 설령 동의없이 계약의 이행에 따라 처리한다고 하더라도, 정보주체가 이를 알 수 있게 해야 할 것이다.

 

결과: 5점

 

1-3. 개인정보 처리방침에 개인정보의 필수 및 선택 수집 항목에 대한 수집 사유를 밝히고 있는가? (총 5점)

필수 수집 항목과 선택 수집 항목에 대한 구분이 없다. 그렇게 되면 정보주체 입장에서는 해당 정보가 모두 반드시 필요한 것으로 오해할 수 있다. 예를 들어, 이메일 인증을 위한 개인정보 처리 항목은 이메일 주소, 비밀번호, 연령대가 있는데, 여기서 '연령대'는 결코 필수일 수가 없다. 그럼에도 정보주체는 이메일 인증에 있어 연령대를 필수 정보로 오해할 수 있는 문제가 발생한다.

 

N사는 선택 항목에 대해서도 그 내용을 구분하여 수집 목적을 밝힐 필요가 있으나 실제로는 그렇지 아니하고 있으며, 이로 인해 정보주체 입장에서는 명확한 정보를 얻을 수 없다.

 

결과: 1점

 

1-4. 정보주체의 권리보장의 내용을 충실하게 알리고 있는가? (총 5점)

열람, 정정, 삭제, 처리정지, 동의 철회할 수 있도록 정보주체의 권리 보장 절차에 대해 그 방식을 상세히 설명하고 있으며, pc환경과 모바일 환경의 구분을 통해 명확성을 보장하고 있다. 

 

특히 N사의 특징 상, 14세 미만의 아동에 관한 개인정보가 다량 있기에, 법정 대리인을 통한 정보주체 권리보장에 대해 알리고 있는 것은 좋은 사항이다.

 

결과: 5점

 

1-5. 개인정보의 보유·이용 기간을 명확하게 알리고 있는가? (총 7점)

개인정보의 보유·이용 기간을 명확하게 알리려고 노력하고 있으며, 실제로 관계 법령에 따른 보유·이용기간 내에 처리·보유하는 개인정보에 대해 별도로 표기하고 있다.

 

N사는 「전자상거래 등에서의 소비자 보호에 관한 법률」에 따라 계약 또는 청약철회, 대금결제, 재화 등의 공급기록에 대한 개인정보를 5년 보유하며, 소비자 불만 또는 분쟁처리에 관한 기록을 3년 보유한다. 「통신비밀보호법」에 따라 통신사실 확인자료를 3개월 보유하며, 「소득세법」 , 「국세기본법」에 따라 원천징수 관련 정보를 5년 간 보관한다.

 

그러나 문자메시지, 이메일 발송 이력은 전송일로부터 최대 1년 보관 후 파기한다는 내용에 대해서는 정보주체 입장에서는 왜 최대 1년을 보관하는지 알 수 없다. 물론, 로그 기록 확인이나 요금 청산, 민원 처리 등을 위해 그런 것이겠지만, 문제는 설명이 없다는 점이다.

 

또한, < 이벤트 등을 위해 수집한 정보는 최대 1년간 보관하나, 이는 이벤트마다 상이할 수 있으며 개별 이벤트 페이지에 기재된 기간을 우선합니다>의 내용도 이용자 입장에서 보관 기간을 명확하게 인지하기 어렵다는 문제가 있다. 그리고 '최대 1년', '상이할 수 있다'라는 문구 자체가 마치 기업이 임의로 보관기관을 정할 수 있는 것으로 해석될 수 있다. 물론, '개벌 이벤트 페이지에 기재된 기간을 우선합니다'라고 써있긴 하지만, 그 내용이 지나치게 불명확하다.

 

이를 테면, 이벤트 기간이 6월 26일 ~ 7월 4일이라고 써있으면, 7월 4일에 바로 파기를 한다는 뜻일까? 이에 대한 내용이 명확하지 않다는 문제가 있다. <이벤트 기간이 끝나면 지체없이 파기합니다> 등의 더욱 명확한 문구로 기재할 필요가 있다.

 

결과: 1점

 

1-6. 개인정보의 파기 내용과 그 기준의 구체성에 대해 명확하게 알리고 있는가? (총 7점)

파기 방법은 다음과 같이 일반적인 사항 기재되어 있으며, 그외의 내용도 여타 개처방과 다를 바 없이 일반적인 내용이 기술되어 있다.

• N사는 전자적 파일 형태로 기록·저장된 개인정보를 기록을 재생할 수 없도록 파기하며, 종이 문서에 기록·저장된 개인정보는 분쇄기로 소각하여 파기합니다.
• 기술적 특성에 의해 위 방법에 따른 파기가 현저히 곤란한 경우에는 누군지 알아볼 수 없는 정보로 처리하여 복원이 불가능하도록 조치하고 있습니다.

그렇기에 들어갈 내용은 다 들어가 있긴 하지만, 조금 더 상세한 설명이 있다면 좋을 것이다.

 

결과: 7점

 

1-7. 개인정보 위탁·제3자 제공의 대상, 항목, 목적, 보유기간 등을 구체적으로 알리고 있는가? (총 6점)

N사는 관할 경찰청, 검찰청, 법원, 국세청에 개인정보를 제3자 제공하고 있으며, 관련 근거, 제공 목적, 제공 항목, 보유 및 이용기간을 밝히고 있다.

 

한편, N사는 총 12곳에 개인정보를 위탁하고 있으며, 위탁하는 업무의 내용, 재수탁자, 재위탁하는 업무의 내용을 알리고 있다. 그러나 위탁하는 업무의 내용을 위해 어떤 개인정보가 이동되는지에 대해서는 밝히고 있지 않다. 설령 개인정보 처리방침 내 다른 항목을 통해 해당 내용을 알 수 있다고 하더라도, 이 안에서 별개로 위탁되는 개인정보의 항목에 대해 밝힐 필요가 있으나 그렇지 아니하고 있다.

 

결과: 0점

 

2-1. 이전 개인정보 처리방침과 현행 개인정보 처리방침을 비교·대조하기 쉽게 알리고 있는가? (총 7점)

개인정보 처리방침 상단에 정책일자별 보기 기능을 통해 이전의 개인정보 처리방침을 확인할 수 있게 하고 있으나, 직접적인 비교·대조는 제공하고 있지 않다.

 

결과: 3점

 

2-2. 정보주체 입장에서 어렵거나 혼동하기 쉬운 법적 용어에 대한 설명이 있는가? (총 7점)

N사는 개인정보 처리방침 상단에 '용어사전'을 제공하고 있으며, 개인정보, CI, DI, IP, 쿠키, 채널인증, 광고식별자, 행태정보, 법정대리인, 적법처리 근거, 수집-이용-제공-보관-파기 등 IT 용어는 물론 법적 용어까지 설명하고 있으며, 이는 우수사례로 뽑을 수 있다.

 

결과: 7점

 

2-3. 이용자가 전체 방침을 읽지 않더라도 핵심 내용을 이해할 수 있도록 라벨링, 인포그래픽, 요약표 등을 제공하는가? (총 7점) 

라벨링을 통해 주요 개인정보 처리를 표시하고 있으며, 쉽게 이해할 수 있도록 '알기 쉬운 처리방침'을 제공하여 정보주체의 이해도를 높이고 있다.

 

결과: 7점

 

2-4. 개인정보 처리방침 내 어절의 잘림이 일어나지 않도록 하고 있는가? (총 7점)

어절의 잘림을 최소화하려는 노력의 흔적이 보이지 않으며, 정보주체 입장에서 가독성이 제한되고 있다.

 

결과: 0점

 

2-5. 일반적인 처리방침을 받아들이는 것에 어려움이 있는 사람을 위해 대체 가독 수단을 제공하고 있는가? (총 7점)

아동·청소년용과 고령자(시니어)용 처리방침을 간략하게 제공하고 있으며, 연령에 따른 대체 수단을 제공하고 있다고 할 수 있다. 그리고 이는 우수사례로 뽑을만 하다.

 

특히나 N사와 같이 아동 또는 고령자의 개인정보를 다량으로 보유하고 있는 곳이라면, 이렇게 연령에 따른 대체 가독 수단을 제공하는 것은 훌륭한 선택이다.

 

결과: 7점

 

3-1. 개인정보 처리방침에 접근하기 위한 정보주체의 노력을 최소화하고 있는가? (총 7점)

PC 환경의 첫 홈페이지 화면에서 개인정보 처리방침에 접근하기 위해 스크롤을 2번 내려야 하며, 다른 메뉴와 명백히 구분되지는 않는다. 단순히 볼드만 적용되어 있을 뿐이다.

 

그러나 모바일 환경도 마찬가지다. 터치 1번이면 바로 개인정보 처리방침을 확인할 수 있으나, 다른 메뉴와 명백히 구분되지 않는다. 다른 색을 입혀 개선할 필요가 있다.

 

결과: 4점

 

3-2. 표준화된 URL이 존재하여 외부에서 접근 및 공유가 용이한가? (총 5점)

표준화된 URL이 존재하여, 외부에 공유하여 접근할 수 있다. 

 

결과: 5점

 

3-3. '개인정보 처리방침'이라는 명확한 용어를 사용하고 있는가? (총 3점)

개인정보 처리방침이라는 명확한 용어를 일관성있게 사용하고 있다.

 

결과: 3점

 

 

총점: 65점/100점

 

이름 있는 민간 기업들은 대개 처리방침이 예쁜 경우가 많다. 여기도 마찬가지였다. 대체 가독 수단을 제공하고, 여러 인증 마크를 자랑하는 것도 인상적이었다. 그러나 언제나 중요한 것은 기본이다. 기본이 충족이 되었을 때 추가적으로 쌓아올린 것이 좋게 보일 수 있을 것이다. 다른 것은 몰라도, 개인정보의 생애주기에 관한 항목은 정말이지 명확하게 알릴 필요가 있다.