개인정보처리방침

버전 1.0.0 · sha256:208f7722c28d

개인정보처리방침 (Privacy Policy)

버전: 1.0.0

시행일: 2026-04-11

언어: 한국어 (정본)

개인정보보호책임자: 강인욱 / privacy@concourse.to / [PLACEHOLDER: CPO 전화번호]

⚠️ 본 문서는 초안(draft)이며, 정식 서비스 개시 전 의료법·개인정보 전문 변호사의 최종 검토를 거칩니다. 본 초안의 구조(처리 항목, 보유기간, 국외이전, 정보주체 권리)는 PIPA §30 및 GDPR Art. 13의 요구사항에 따라 작성되었습니다.

1. 처리하는 개인정보 항목

[PLACEHOLDER: 주식회사 컨코스](이하 "회사" 또는 "Concourse")는 다음의 개인정보를 처리합니다.

1.1 필수 수집 항목

•계정정보: 성명, 이메일주소, 전화번호, 국적, 비밀번호(해시 저장)

•결제정보: 청구지, PortOne 결제 토큰 (카드번호는 저장하지 않음)

•서비스 이용기록: 접속 로그, 디바이스 정보, IP 주소, 쿠키

1.2 민감정보 (PIPA §23)

회사는 해외 치과 진료 견적 산출 및 매칭을 위해 다음의 민감정보(건강정보)를 수집합니다. 해당 정보의 수집에는 별도의 동의가 필요합니다.

•치아 상태 및 주관적 증상 기술

•치과 치료 이력

•X-ray, CBCT, 파노라마 이미지

•구강 사진

•병력, 복용 중인 약물, 알레르기

1.3 14세 미만 아동의 개인정보

14세 미만 이용자의 개인정보는 법정대리인의 동의를 받은 후에만 수집·이용합니다.

2. 개인정보의 수집·이용 목적

1.해외 환자 유치 중개 서비스 제공 — 한국 내 치과의원과의 매칭, 견적 전달, 예약 중개

2.서비스 요금 결제·정산 및 환불 처리

3.컨시어지 서비스 — 공항 픽업, 숙박 안내, 방문 일정 조율

4.환자–의원 간 커뮤니케이션 제공 (인앱 채팅)

5.서비스 운영 및 안전성 확보 — 부정사용 방지, 분쟁 대응, 법적 의무 이행

3. 개인정보의 보유·이용기간

항목	보유기간	근거
회원 계정 정보	탈퇴 시까지	이용자 동의
진료 이미지 (X-ray, 구강 사진)	10년	의료법 §22, §23 (진료기록 보존의무)
진료기록 및 치료계획	10년	의료법 §22
결제·거래 기록	5년	전자상거래법 §6
소비자 불만/분쟁 처리 기록	3년	전자상거래법 §6
접속 로그·감사 로그	3년	PIPA 시행령 §48-2
표시·광고에 관한 기록	6개월	전자상거래법 §6

보관 기간이 경과한 정보는 자동으로 파기(암호화 키 파기 + 소프트 딜리트 후 물리적 삭제)되며, 파기 사실은 감사 로그에 기록됩니다.

4. 개인정보의 제3자 제공

회사는 원칙적으로 이용자의 개인정보를 제3자에게 제공하지 않습니다. 다만 다음의 경우는 예외로 합니다.

•이용자가 매칭을 선택한 한국 치과의원: 상담·견적·치료 진행을 위해 필요한 범위 내의 민감정보

•법령에 따른 의무 이행 (수사기관의 영장, 법원의 명령 등)

•이용자의 명시적 사전동의

5. 국외 이전

회사는 서비스 제공을 위해 개인정보를 다음의 국외 처리자에게 이전합니다. 국외 이전에는 별도의 동의가 필요합니다 (PIPA §28-8).

수탁자	국가	이전 목적	이전 항목
Railway (PaaS)	미국 / United States	Application + database hosting	All application data (encrypted at rest)
Cloudinary	미국 / United States	Image storage + delivery	Medical images (X-rays, dental photos) — AES-256-GCM encrypted
Resend	미국 / United States	Transactional email delivery	Email address, name, transaction details
Sentry	미국 / United States	Error monitoring (PII scrubbed)	Error payloads, stack traces (no medical content after Phase 5 scrubbing)
DeepL	독일 / Germany (EU)	Chat message translation	Chat message text (ephemeral)

•이전 시점·방법: 서비스 이용 과정에서 실시간으로 암호화 채널(TLS 1.2 이상)을 통해 이전됩니다.

•수탁자의 연락처: 각 수탁자의 공식 홈페이지에서 확인하실 수 있으며, 요청 시 회사가 직접 제공합니다.

•거부권 행사: 이용자는 국외 이전에 동의하지 않을 권리가 있습니다. 다만 미국 기반 결제·이메일·번역 등 핵심 서비스를 이용하실 수 없어 계정 생성이 제한됩니다. 이미 가입한 이용자는 "내 데이터 관리 > 동의 철회"에서 국외 이전 동의를 철회할 수 있으며, 이 경우 일부 서비스(이메일 알림, 국제 결제, 자동 번역)가 중단됩니다.

6. 정보주체의 권리와 행사 방법

이용자는 언제든지 다음의 권리를 행사할 수 있습니다 (PIPA §35-39, GDPR Art. 15-22).

1.열람권 — 보유한 개인정보의 목록 및 내용 확인

2.정정권 — 정확하지 않은 정보의 수정 요청

3.삭제권 — 개인정보의 삭제 요청 (단, 의료법상 진료기록 보존의무 기간 내에는 법적 의무 이행 후 삭제)

4.처리정지 요구권 — 특정 목적의 처리 중단 요청

5.이동권 (Data Portability) — 기계판독 가능한 형식(JSON, PDF)으로의 데이터 내보내기

권리 행사는 앱 내 "내 데이터 관리" 메뉴, 또는 개인정보보호책임자 이메일(privacy@concourse.to)로 요청하실 수 있습니다. 요청 접수 후 30일(GDPR) 또는 10일(PIPA) 이내에 조치 결과를 통지합니다.

7. 개인정보의 안전성 확보조치

회사는 개인정보 보호를 위해 다음의 기술적·관리적 조치를 시행합니다.

•암호화: 민감정보는 AES-256-GCM으로 저장, 통신은 TLS 1.2 이상 강제

•접근통제: 역할 기반(RBAC) 접근 권한, 주치의와 환자 본인만 진료 파일 접근

•감사 로그: 민감정보 조회 내역 3년간 보존 (감사 로그는 PIPA §29, 시행령 §48-2)

•주기적 취약점 점검: 분기별 내부 보안 점검

•개인정보보호책임자 지정: 강인욱

8. 개인정보 유출 시 통지 절차

개인정보 유출 사고 발생 시 회사는 다음의 절차에 따라 조치합니다.

•24시간 이내: 내부 탐지 및 CPO 보고, 영향 범위 파악

•72시간 이내: 개인정보보호위원회 및 한국인터넷진흥원(KISA) 신고 (PIPA §34)

•지체 없이: 영향받은 이용자에게 통지 (유출 항목, 시점, 대응 조치, 문의처)

•공개: 회사 홈페이지에 유출 사실 게시

9. 쿠키 및 유사 기술

회사는 이용자 경험 향상을 위해 쿠키 및 유사 저장 기술을 사용합니다. 필수 쿠키(세션 유지)는 거부할 수 없으나, 분석·성능 쿠키는 설정에서 거부할 수 있습니다.

10. 개인정보보호책임자

이용자의 개인정보 관련 문의·이의제기·피해구제는 다음의 개인정보보호책임자(CPO)를 통해 하실 수 있습니다.

•성명: 강인욱

•이메일: privacy@concourse.to

•전화: [PLACEHOLDER: CPO 전화번호]

또한 개인정보 침해가 발생한 경우 다음 기관에 신고·상담하실 수 있습니다.

•개인정보침해신고센터 (privacy.kisa.or.kr, 국번 없이 118)

•개인정보분쟁조정위원회 (kopico.go.kr, 1833-6972)

•대검찰청 사이버수사과 (spo.go.kr, 국번 없이 1301)

•경찰청 사이버수사국 (ecrm.cyber.go.kr, 국번 없이 182)

11. 방침의 변경

본 개인정보처리방침의 내용 추가·삭제·수정이 있을 경우 시행 최소 7일 전에 앱 내 공지 및 이메일로 통지합니다. 변경 후에도 서비스를 계속 이용하시는 것은 변경된 방침에 동의하는 것으로 간주됩니다.

시행일: 2026-04-11