중소기업 ERP·그룹웨어 개인정보보호법 가이드: 사내 시스템 PIPA

ERP(전사적 자원관리)와 그룹웨어는 직원 정보, 고객 정보, 거래처 정보를 한 곳에 집약합니다. 시스템 자체가 개인정보의 거대한 저장소가 되므로 체계적인 접근 권한 관리와 처리방침 기재가 필요합니다.

ERP·그룹웨어가 처리하는 개인정보

직원 정보 (인사 모듈):
  - 이름, 주민등록번호, 주소
  - 급여, 퇴직금, 세금 내역
  - 병가·연차 기록
  - 인사 평가 점수
  - 징계 이력

고객 정보 (CRM/영업 모듈):
  - 이름, 연락처, 주소
  - 거래 내역, 계약서
  - 담당자 이메일

거래처 담당자 정보 (구매·회계 모듈):
  - 거래처 담당자 이름, 연락처, 이메일
  - 세금계산서 수신 정보

클라우드 ERP — 국외이전 체크

클라우드 기반 ERP·그룹웨어를 사용하는 경우:

| 서비스 | 서버 위치 | 국외이전 해당 | |--------|---------|------------| | 더존 iCUBE (클라우드) | 한국 | ❌ 해당 없음 | | SAP S/4HANA Cloud | 독일/글로벌 | ✅ 국외이전 | | Oracle NetSuite | 미국 | ✅ 국외이전 | | Microsoft 365 (한국 리전) | 한국 | ❌ 해당 없음 | | 네이버웍스 | 한국 | ❌ 해당 없음 | | 구글 워크스페이스 (한국 리전 미제공) | 미국 | ✅ 국외이전 |

국외이전 시: 처리방침에 해당 서비스·국가 기재 + DPA 계약 체결.

SaaS ERP 도입 시 수탁 계약

외부 SaaS ERP 사용은 개인정보 처리 위탁에 해당합니다.

수탁 계약(DPA) 포함 내용:
- 목적 외 처리 금지
- 보안 조치 의무
- 재위탁 제한
- 계약 종료 후 데이터 삭제 또는 반환

확인 방법:
- Salesforce: salesforce.com/company/privacy/dpa
- SAP: sap.com/data-processing-addendum
- HubSpot: legal.hubspot.com/dpa

접근 권한 관리 — ERP 핵심 보안

최소 권한 원칙

잘못된 설정:
- 모든 직원이 고객 DB 전체 조회 가능
- 일반 직원이 급여 정보 열람 가능

올바른 설정:
- 영업팀: 담당 고객 정보만 조회
- 인사팀: 급여·인사 정보
- 회계팀: 거래 내역
- 관리자: 전체 + 접근 로그 모니터링

접근 로그 보관

ERP 시스템의 접근 로그:

누가 언제 어떤 데이터를 조회·수정했는지 기록
보관 기간: 6개월 이상 (개보위 안전조치 고시 기준)
로그 위변조 방지 조치

퇴직자 계정 관리

퇴직 직원의 ERP·그룹웨어 계정:

퇴직 당일 처리:
□ 계정 비활성화 (삭제 X → 데이터 보존 필요)
□ 이메일 자동 응답 설정 및 인계
□ 접근 권한 즉시 차단 (모든 모듈)
□ 퇴직자 개인 기기의 ERP 앱 원격 삭제 (MDM)

퇴직 후 계정 보관:
- 비활성화 상태로 데이터 보존 (급여명세 등 법정 보관 의무)
- 3~5년 후 계정 및 개인정보 파기 (소멸시효 고려)

고객 정보 ERP 입력 시 주의

영업사원이 고객 명함 정보를 ERP에 입력하는 경우:

명함에서 수집한 정보 → 명함 제공 목적(업무 연락)으로만 사용
CRM에 입력 시 → 처리방침에 "영업 CRM 활용" 명시 필요
고객 동의 없이 마케팅 DB로 전환 → 목적 외 이용

ERP 도입 전 개인정보 영향평가 검토

대규모 ERP 전환 시:

5만 명 이상 개인정보 파일 생성 → 개인정보 영향평가 실시 권고 (공공기관 의무, 민간 권고)
새로운 ERP가 기존보다 많은 정보를 수집하는 경우 → 처리방침 변경 고지

처리방침 기재 사항

사내 시스템 개인정보 처리 (ERP·그룹웨어)

직원 정보: 인사 관리, 급여 처리 목적 — 재직 중 + 퇴직 후 5년
고객 정보: 영업·계약 관리 목적 — 거래 종료 후 5년
거래처 담당자: 거래 목적 — 거래 종료 후 3년
사용 시스템: [ERP명] — 처리 위탁 / [국가 및 DPA 체결]
접근 로그: 6개월 보관
퇴직자 계정: 퇴직 즉시 비활성화, [기간] 후 삭제

최소 준수 체크리스트

[ ] ERP 벤더와 DPA 계약 체결 (클라우드 ERP)
[ ] 해외 서버 ERP 처리방침 국외이전 기재
[ ] 모듈별 접근 권한 최소화 설정
[ ] 접근 로그 6개월 이상 보관 설정
[ ] 퇴직자 계정 비활성화 D-day 절차
[ ] 고객 명함 CRM 입력 시 처리방침 포함 여부 확인

PIPAGuard로 ERP·그룹웨어 처리방침 점검하기

처리방침 사내 시스템 수탁 기재, 국외이전 현황, 직원·고객 정보 보관 기간을 자동으로 점검합니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

ERP·그룹웨어가 처리하는 개인정보

직원 정보 (인사 모듈):
  - 이름, 주민등록번호, 주소
  - 급여, 퇴직금, 세금 내역
  - 병가·연차 기록
  - 인사 평가 점수
  - 징계 이력

고객 정보 (CRM/영업 모듈):
  - 이름, 연락처, 주소
  - 거래 내역, 계약서
  - 담당자 이메일

거래처 담당자 정보 (구매·회계 모듈):
  - 거래처 담당자 이름, 연락처, 이메일
  - 세금계산서 수신 정보

클라우드 ERP — 국외이전 체크

클라우드 기반 ERP·그룹웨어를 사용하는 경우:

국외이전 시: 처리방침에 해당 서비스·국가 기재 + DPA 계약 체결.

SaaS ERP 도입 시 수탁 계약

외부 SaaS ERP 사용은 개인정보 처리 위탁에 해당합니다.

수탁 계약(DPA) 포함 내용:
- 목적 외 처리 금지
- 보안 조치 의무
- 재위탁 제한
- 계약 종료 후 데이터 삭제 또는 반환

확인 방법:
- Salesforce: salesforce.com/company/privacy/dpa
- SAP: sap.com/data-processing-addendum
- HubSpot: legal.hubspot.com/dpa

접근 권한 관리 — ERP 핵심 보안

최소 권한 원칙

잘못된 설정:
- 모든 직원이 고객 DB 전체 조회 가능
- 일반 직원이 급여 정보 열람 가능

올바른 설정:
- 영업팀: 담당 고객 정보만 조회
- 인사팀: 급여·인사 정보
- 회계팀: 거래 내역
- 관리자: 전체 + 접근 로그 모니터링

접근 로그 보관

ERP 시스템의 접근 로그:

누가 언제 어떤 데이터를 조회·수정했는지 기록
보관 기간: 6개월 이상 (개보위 안전조치 고시 기준)
로그 위변조 방지 조치

퇴직자 계정 관리

퇴직 직원의 ERP·그룹웨어 계정:

퇴직 당일 처리:
□ 계정 비활성화 (삭제 X → 데이터 보존 필요)
□ 이메일 자동 응답 설정 및 인계
□ 접근 권한 즉시 차단 (모든 모듈)
□ 퇴직자 개인 기기의 ERP 앱 원격 삭제 (MDM)

퇴직 후 계정 보관:
- 비활성화 상태로 데이터 보존 (급여명세 등 법정 보관 의무)
- 3~5년 후 계정 및 개인정보 파기 (소멸시효 고려)

고객 정보 ERP 입력 시 주의

영업사원이 고객 명함 정보를 ERP에 입력하는 경우:

명함에서 수집한 정보 → 명함 제공 목적(업무 연락)으로만 사용
CRM에 입력 시 → 처리방침에 "영업 CRM 활용" 명시 필요
고객 동의 없이 마케팅 DB로 전환 → 목적 외 이용

ERP 도입 전 개인정보 영향평가 검토

대규모 ERP 전환 시:

5만 명 이상 개인정보 파일 생성 → 개인정보 영향평가 실시 권고 (공공기관 의무, 민간 권고)
새로운 ERP가 기존보다 많은 정보를 수집하는 경우 → 처리방침 변경 고지

처리방침 기재 사항

사내 시스템 개인정보 처리 (ERP·그룹웨어)

직원 정보: 인사 관리, 급여 처리 목적 — 재직 중 + 퇴직 후 5년
고객 정보: 영업·계약 관리 목적 — 거래 종료 후 5년
거래처 담당자: 거래 목적 — 거래 종료 후 3년
사용 시스템: [ERP명] — 처리 위탁 / [국가 및 DPA 체결]
접근 로그: 6개월 보관
퇴직자 계정: 퇴직 즉시 비활성화, [기간] 후 삭제

최소 준수 체크리스트

[ ] ERP 벤더와 DPA 계약 체결 (클라우드 ERP)
[ ] 해외 서버 ERP 처리방침 국외이전 기재
[ ] 모듈별 접근 권한 최소화 설정
[ ] 접근 로그 6개월 이상 보관 설정
[ ] 퇴직자 계정 비활성화 D-day 절차
[ ] 고객 명함 CRM 입력 시 처리방침 포함 여부 확인

PIPAGuard로 ERP·그룹웨어 처리방침 점검하기

처리방침 사내 시스템 수탁 기재, 국외이전 현황, 직원·고객 정보 보관 기간을 자동으로 점검합니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

중소기업 ERP·그룹웨어 개인정보보호법 가이드: 사내 시스템 PIPA

ERP·그룹웨어가 처리하는 개인정보

클라우드 ERP — 국외이전 체크

SaaS ERP 도입 시 수탁 계약

접근 권한 관리 — ERP 핵심 보안

최소 권한 원칙

접근 로그 보관

퇴직자 계정 관리

고객 정보 ERP 입력 시 주의

ERP 도입 전 개인정보 영향평가 검토

처리방침 기재 사항

최소 준수 체크리스트

PIPAGuard로 ERP·그룹웨어 처리방침 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

중소기업 ERP·그룹웨어 개인정보보호법 가이드: 사내 시스템 PIPA

ERP·그룹웨어가 처리하는 개인정보

클라우드 ERP — 국외이전 체크

SaaS ERP 도입 시 수탁 계약

접근 권한 관리 — ERP 핵심 보안

최소 권한 원칙

접근 로그 보관

퇴직자 계정 관리

고객 정보 ERP 입력 시 주의

ERP 도입 전 개인정보 영향평가 검토

처리방침 기재 사항

최소 준수 체크리스트

PIPAGuard로 ERP·그룹웨어 처리방침 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글