세화두리 개인정보 처리방침
세화두리(이하 “본 서비스”)는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같이 개인정보 처리방침을 수립·공개합니다.
본 서비스는 학교 구성원 인증, AI 대화 및 학습 기능 제공, 안전한 운영, 서비스 개선과 교육 연구를 위하여 필요한 최소 범위의 개인정보만 처리합니다. 또한 서비스 개선 및 교육 연구 목적으로 이용자의 프롬프트, AI 응답, 업로드 자료, 사용 시점 등 서비스 이용 데이터를 검토·분석·통계화할 수 있으며, 이 경우 연구 목적 달성에 필요한 범위로 한정하고 직접 식별정보 노출을 줄이는 방식으로 처리하기 위해 노력합니다.
제1조 (개인정보의 처리 목적 및 최소 수집 원칙)
본 서비스는 다음 목적을 위하여 필요한 최소 범위의 개인정보만 처리합니다. 처리 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 필요한 조치를 이행합니다.
- 학교 구성원 인증 및 권한 관리: Microsoft 365 계정을 통한 본인 확인, 본교 소속 여부 확인, 학생/교사/관리자 권한 구분, 부정 사용 방지
- 서비스 제공: AI 대화, 학습콘텐츠 진행 관리, 개인 일정 및 D-Day, 공유 링크, 교사용/관리자용 기능 등 이용자가 요청한 기능 제공
- 안전한 운영 및 학교 내부 대응: 접속 제한, 비정상 이용 탐지, 교사/관리자 접근 감사, 고위험 신호 모니터링과 내부 알림
- 서비스 개선 및 교육 연구: 이용 기록 분석, 사용성 검토, 품질 향상, 기능 설계 검증, 학교 현장 적용성 연구
제2조 (처리하는 개인정보의 항목)
본 서비스는 서비스 제공에 필요한 최소한의 정보만 처리합니다. 회원가입 단계에서 주민등록번호, 집 주소, 별도 휴대전화번호, 결제정보는 요구하지 않습니다.
1. 로그인 및 계정 연동 정보
- 학교 Microsoft 365 계정 이메일
- 사용자 이름
- Microsoft 테넌트 내 사용자 식별자(Object ID)
- 사용자 유형(학생/교사), 권한 그룹, 학번 또는 입학연도(학생), 담당 과목 정보(교사)
2. 이용자가 직접 입력하거나 업로드하는 정보
- AI 채팅 및 튜터 대화 내용: 이용자의 프롬프트(요청)와 AI의 응답
- 업로드한 문서·이미지·텍스트 파일과 그 내용
- 관심사, 학습 정보, 응답 스타일 등 개인화 설정
- 개인 일정 및 D-Day 제목, 날짜, 메모
- 교사용 기능에서 작성하거나 업로드한 문서, 예시 문안, 요청 내용
3. 서비스 이용 과정에서 생성·저장되는 정보
- 대화 제목, 메시지 수, 생성·수정 시각, 최근 접속 시각
- 첨부파일 및 생성 산출물 메타데이터: 파일명, 파일 크기, 파일 유형, 저장 경로, 만료 시각
- 학습콘텐츠 진행 상태, 콘텐츠별 튜터 대화 기록
- 공유 링크 해시, 공유 시각, 조회 수 등 공유 기능 메타데이터
- 이용량 통계, 채팅 요청 제한 상태, 최근 7일 이내 요청 시각 목록
- 교사·관리자 접근 로그, 학생 안전 모니터링 신호, 검토 이력, 관리자 알림 발송에 필요한 최소 정보
제3조 (개인정보의 처리 및 보유 기간)
- 학생 계정과 이에 연결된 대화, 학습 기록, 개인화 정보, 개인 일정은 원칙적으로 재학 기간 동안 보유합니다. 본교 소속이 아니게 된 사실이 확인되면 운영 절차에 따라 지체 없이 삭제 또는 익명화 대상으로 전환하며, 별도 정리가 없는 경우에도 늦어도 졸업하는 해의 3월 31일까지 정리하는 것을 원칙으로 합니다.
- 교직원 계정과 교사용 기능 입력 자료는 재직 기간 또는 운영상 필요한 기간 동안 보유할 수 있습니다. 퇴직 또는 소속 변경이 확인되면 운영·감사 목적의 최소 기록을 제외하고 삭제 또는 익명화합니다.
- 공유 링크는 이용자가 해제하거나 원본 대화가 삭제될 때까지 유지될 수 있습니다. 다만 공유 링크를 통해 보이는 생성 이미지·차트 등 일부 산출물 파일은 별도 저장소에 단기 보관되며, 현재 기본 보관기간은 7일입니다.
- 요청 제한 상태(`rate_limits`) 등 일부 운영 데이터는 최근 이용 기준으로 단기 보관되며, 현재 비활성 상태가 90일을 넘기면 자동 삭제됩니다.
- 법령상 보존 의무가 있거나 분쟁 대응·감사에 필요한 경우에는 해당 기간 동안 별도로 보관할 수 있습니다.
제4조 (개인정보의 제3자 제공 및 공개)
본 서비스는 원칙적으로 정보주체의 개인정보를 외부 제3자에게 제공하지 않습니다. 다만 다음의 경우에는 예외가 있을 수 있습니다.
- 법령에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 필요한 경우
- 정보주체의 별도 동의가 있는 경우
- 정보주체 또는 제3자의 급박한 생명·신체·재산상 이익을 위하여 명백히 필요한 경우
- 이용자가 대화의 공유 링크 기능을 직접 활성화한 경우. 이때 해당 대화 제목, 대화 내용, 공유 시점의 작성자 이름, 보존 기간 안의 생성 이미지·차트가 링크를 아는 사람에게 공개될 수 있으며, 이용자는 언제든지 공유를 해제할 수 있습니다.
제5조 (개인정보 처리 업무의 위탁 및 국외 이전)
본 서비스는 안정적인 서비스 운영을 위하여 다음과 같이 개인정보 처리 업무를 위탁하거나 국외 클라우드·AI 사업자를 이용합니다.
| 수탁자 / 이전받는 자 | 업무 및 목적 | 이전 국가 | 이전 항목 | 보유 기간 |
|---|---|---|---|---|
| MongoDB | 클라우드 데이터베이스(MongoDB Atlas) 운영·관리 | 미국 | 계정 정보, 대화·학습·일정·운영 기록 등 저장 데이터 | 본 방침의 보유 기간과 동일 |
| OpenAI | AI 모델을 통한 채팅 응답 생성 및 일부 도구 처리 | 미국 | 프롬프트, 대화 맥락, 업로드 파일, 처리 메타데이터 | 처리 완료 시점 또는 사업자 정책·계약에 따름 |
| AI 모델을 통한 일부 파일 분석 및 이미지 생성 처리 | 미국 | 프롬프트, 업로드 파일, 처리 메타데이터 | 처리 완료 시점 또는 사업자 정책·계약에 따름 | |
| Google Analytics | 운영 환경의 집계형 이용 통계 분석 | 미국 등 | 허용된 비민감 화면의 page view 및 최소한의 기능 이용 이벤트 메타데이터 | Google 정책 또는 운영 설정에 따른 보관 기간 |
| Anthropic | AI 모델을 통한 일부 문서 생성 처리 | 미국 | 프롬프트, 대화 맥락, 처리 메타데이터 | 처리 완료 시점 또는 사업자 정책·계약에 따름 |
| Cloudflare | 오브젝트 저장소(R2)를 통한 생성 산출물 파일 보관 | 미국 | 생성 이미지·차트 파일, 파일 메타데이터 | 산출물 보관 기간 또는 운영 정책에 따름 |
| Vercel | 웹 애플리케이션 호스팅, 배포, 서버 실행 | 미국 | 서비스 요청 시 전송되는 대화·업로드 파일·접속 메타데이터 | 처리 완료 시점 또는 운영 기간 중 로그 보관 범위 |
| Microsoft | 사용자 인증 및 학교 내부 알림 메일 발송 | 미국 등 | 계정 식별자, 사용자 이름, 인증 처리 정보, 고위험 알림 발송에 필요한 최소 정보 | 처리 완료 시점 또는 Microsoft 정책에 따름 |
- 이전 시기 및 방법: 서비스 이용 시점에 네트워크(HTTPS)를 통해 필요한 정보만 암호화 전송합니다.
- 이전 거부 방법 및 불이익: 국외 이전을 원하지 않는 경우 서비스 이용을 중단할 수 있습니다. 다만 로그인, AI 응답 생성, 파일 처리, 산출물 보관 등 핵심 기능 이용이 제한됩니다.
제6조 (개인정보 자동 수집 장치의 설치·운영 및 거부에 관한 사항)
본 서비스는 로그인 유지, 보안, 사용자 환경 편의를 위하여 쿠키 및 브라우저 저장소를 사용할 수 있습니다.
- 인증/세션 쿠키: 로그인 상태 유지, 보안 검증, 요청 위변조 방지
- 사이드바 상태 쿠키: 사이드바 열림/닫힘 상태를 최대 7일간 기억
- 브라우저 저장소(Local Storage): 라이트/다크/시스템 테마 선택 상태 저장
- 본 서비스는 현재 운영 환경에서 Google Analytics 4를 이용해 홈, 일반 학습 화면, 상상공방 등 허용된 비민감 surface의 집계형 이용 통계를 수집할 수 있습니다. 두리담소, 다이어리, 학습콘텐츠 내부 토론(`debate-lab`), 교사 전용 기능, 관리자 전용 기능은 수집 대상에서 제외하며, 프롬프트·일기·토론 본문 같은 자유서술 내용은 전송하지 않습니다. Microsoft Clarity는 도입하지 않습니다.
이용자는 브라우저 설정을 통해 쿠키 저장을 거부할 수 있으나, 이 경우 로그인 기반 기능이나 일부 사용자 환경 저장 기능이 정상 동작하지 않을 수 있습니다.
제7조 (개인정보의 파기 절차 및 방법)
개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.
- 파기 절차: 파기 사유가 발생한 정보를 선정하고, 운영 절차에 따라 삭제 또는 익명화합니다.
- 파기 방법: 클라우드 데이터베이스에서 해당 데이터를 영구 삭제하고, 생성 산출물 파일은 오브젝트 저장소(R2)에서 삭제합니다. 전자적 파일은 복구가 어렵도록 처리합니다.
- 운영 감사 또는 서비스 이력 유지를 위해 꼭 필요한 일부 기록은 직접 식별정보를 삭제하거나 익명화한 뒤 보관할 수 있습니다.
제8조 (정보주체와 법정대리인의 권리·의무 및 행사 방법)
- 이용자 및 법정대리인은 언제든지 개인정보 열람·정정·삭제·처리정지 요구 등의 권리를 행사할 수 있습니다.
- 일부 정보는 서비스 화면에서 직접 수정·삭제하거나 공유를 해제할 수 있으며, 그 외 권리 행사는 학교 또는 서비스 운영 담당을 통한 요청 절차에 따라 처리됩니다.
- 다만 법령상 보존 의무가 있거나 서비스 보안, 부정이용 방지, 감사 대응에 필요한 최소 기록은 요청만으로 즉시 삭제되지 않을 수 있습니다.
제9조 (개인정보의 안전성 확보 조치)
본 서비스는 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.
- 관리적 조치: 내부관리계획 수립 및 시행, 최소 권한 원칙, 승인된 사용자만의 접근 통제, 교사·관리자 접근 감사 로그 기록
- 기술적 조치: HTTPS를 통한 데이터 암호화 전송, 데이터베이스 접근 권한 관리, 사용자 권한 기반 기능 분리, 비공개 오브젝트 저장소와 서명 URL 기반 접근 제어
- 물리적 조치: 데이터 보관 시설(클라우드 서버)의 접근 통제
제10조 (개인정보 보호책임자 및 열람청구 접수 부서)
- 담당 부서/책임자: 세화고등학교 서비스 운영 담당
- 연락처: privacy@sehwa.hs.kr
※ 개인정보 보호 관련 문의 및 열람 청구는 위 연락처를 통해 가능하며, 지체 없이 답변 및 처리해 드리겠습니다.
제11조 (권익침해 구제방법)
이용자는 개인정보 침해로 인한 구제를 받기 위하여 다음 기관에 분쟁 해결이나 상담 등을 신청할 수 있습니다.
- 개인정보침해신고센터: 118 (privacy.kisa.or.kr)
- 개인정보분쟁조정위원회: 1833-6972 (www.kopico.go.kr)
- 대검찰청 사이버수사과: 1301 (www.spo.go.kr)
- 경찰청 사이버수사국: 182 (ecrm.cyber.go.kr)
제12조 (개인정보 처리방침 변경)
- 이 개인정보 처리방침은 2026년 3월 18일부터 적용됩니다.
- 직전 개인정보 처리방침의 시행일은2026년 3월 15일입니다.