소상공인 개인정보보호법 자가점검 체크리스트: 5분으로 확인하는 필수 항목

"직원이 몇 명 없는 작은 가게도 개인정보보호법을 지켜야 하나요?"
네, 규모와 관계없이 모든 사업자에게 적용됩니다.

이 가이드는 법률 전문가 없이도 소상공인이 스스로 점검할 수 있는 10가지 핵심 체크리스트입니다.

빠른 자가점검 — 해당하는 항목에 체크하세요

✅ 체크리스트 1: 개인정보처리방침 게시

해당 업종: 홈페이지, 앱, 예약 시스템을 운영하는 모든 사업자

[ ] 홈페이지 하단 또는 예약 페이지에 처리방침 링크가 있나요?
[ ] 처리방침에 수집 항목, 목적, 보유 기간이 기재되어 있나요?
[ ] 개인정보 보호책임자(사업자 본인 포함) 연락처가 있나요?

없다면: 처리방침 없이 온라인으로 고객 정보를 수집하는 것은 법 위반입니다.

✅ 체크리스트 2: 고객 동의 취득

해당 업종: 회원 가입, 예약, 상담 신청을 받는 모든 업종

[ ] 고객 정보 수집 시 동의를 받고 있나요?
[ ] 동의서에 수집 항목, 목적, 보유 기간이 명시되어 있나요?
[ ] 마케팅 문자 동의가 필수 항목과 분리되어 있나요?

흔한 실수: "서비스 이용 약관 동의"를 받았더라도 마케팅 수신 동의가 별도로 없으면 광고 문자 발송은 위반입니다.

✅ 체크리스트 3: CCTV 안내판

해당 업종: CCTV를 설치한 모든 사업장

[ ] CCTV 설치 안내판이 촬영 구역 입구에 있나요?
[ ] 안내판에 목적, 촬영 시간, 보관 기간, 책임자 연락처가 기재되어 있나요?
[ ] 화장실, 탈의실에 CCTV가 없나요? (설치 자체가 불법)

안내판 없으면: 과태료 최대 1천만 원이 부과될 수 있습니다.

최소 안내판 내용:

[CCTV 설치 안내]
목적: 시설 안전 관리
보관: 30일
책임자: [이름] / [연락처]

✅ 체크리스트 4: 마케팅 문자 동의 확인

해당 업종: 고객에게 이벤트·할인 문자를 보내는 모든 업종

[ ] 마케팅 문자를 보내는 고객 전원에게 사전 동의를 받았나요?
[ ] 동의 기록(날짜, 방법)을 보관하고 있나요?
[ ] 수신 거부 처리 방법을 안내하고 있나요?

흔한 실수: 예약 시 연락처를 남긴 것 = 마케팅 동의가 아닙니다. 별도로 마케팅 수신에 체크해야 합니다.

✅ 체크리스트 5: 고객 정보 파기

해당 업종: 모든 업종

[ ] 탈퇴하거나 거래가 끝난 고객 정보를 파기하고 있나요?
[ ] 전자 파일: 복구 불가능한 방식으로 삭제 (휴지통 비우기 만으로는 불충분)
[ ] 종이 서류: 파쇄기 사용 또는 전문 폐기 업체 이용

보관 기간 기준: | 정보 | 최대 보관 | |------|---------| | 일반 고객 정보 | 탈퇴 후 즉시 (단, 분쟁 대비 최대 3년) | | 결제·거래 기록 | 5년 (전자상거래법) | | CCTV 영상 | 30일 |

✅ 체크리스트 6: 직원 정보 관리

해당 업종: 직원이 있는 모든 사업장

[ ] 근로계약서를 안전하게 보관하고 있나요? (퇴직 후 3년)
[ ] 직원 급여 정보를 다른 직원에게 공개하지 않고 있나요?
[ ] 퇴직 직원의 시스템 접근 권한을 즉시 차단하고 있나요?

✅ 체크리스트 7: 제3자 제공 현황

해당 업종: 배달 앱, 예약 플랫폼, 마케팅 툴을 이용하는 업종

[ ] 고객 정보를 전달하는 외부 서비스 목록을 파악하고 있나요?
[ ] 처리방침에 해당 서비스를 수탁자로 기재했나요?
[ ] 마케팅 업체에 고객 DB를 넘긴 적이 있다면 동의를 받았나요?

흔한 실수: 네이버 예약, 카카오 예약, 배달의민족을 쓰는 경우 이들은 수탁자입니다. 처리방침에 기재해야 합니다.

✅ 체크리스트 8: 개인정보 보호책임자 지정

해당 업종: 모든 업종

[ ] 개인정보 보호책임자를 지정했나요? (소규모 사업장은 사업주 본인도 가능)
[ ] 처리방침에 책임자 이름과 연락처가 기재되어 있나요?
[ ] 고객이 열람·삭제를 요청할 수 있는 연락 채널이 있나요?

✅ 체크리스트 9: 직원 개인정보 교육

해당 업종: 직원이 있는 모든 사업장

[ ] 직원에게 개인정보 취급 주의사항을 안내했나요?
[ ] 연 1회 이상 기본 교육을 실시하고 있나요?

최소 교육 내용:

고객 정보를 외부로 유출하면 안 된다
고객 정보는 업무 목적으로만 사용한다
문의 사항은 책임자에게 보고한다

✅ 체크리스트 10: 개인정보 유출 대응 계획

해당 업종: 모든 업종

[ ] 고객 정보가 유출되면 어떻게 해야 하는지 알고 있나요?
[ ] 1천 명 이상 유출 시 개인정보보호위원회에 72시간 이내 신고해야 합니다.

기본 대응 순서:

유출 경로 즉시 차단
피해 규모 파악
1천 명 이상이면 개보위 신고 (privacy.go.kr)
피해 고객 개별 통지 (이메일, 문자)

업종별 추가 주의사항

| 업종 | 추가 체크 항목 | |------|--------------| | 카페·음식점 | 멤버십 앱 처리방침, 마케팅 동의 | | 미용실·네일샵 | 시술 사진 SNS 게시 동의 | | 학원·교습소 | 만 14세 미만 보호자 동의 | | 부동산 중개 | 계약 정보 5년 보관 | | 의원·한의원 | 건강 정보 민감정보 처리 | | 이삿짐센터 | 주소 정보 파기, 블랙박스 미열람 |

지금 당장 시작하는 방법

10가지 항목 중 1개라도 "아니오"라면 지금 바로 조치가 필요합니다.

가장 먼저 해야 할 일:

홈페이지·앱에 처리방침 추가
CCTV가 있다면 안내판 부착
마케팅 문자 대상 고객의 동의 기록 확인

PIPAGuard로 지금 바로 자동 점검하기

홈페이지 URL 하나로 처리방침 게시 여부, CCTV 안내판 기재, 마케팅 동의 설계를 자동으로 스캔해 드립니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

"직원이 몇 명 없는 작은 가게도 개인정보보호법을 지켜야 하나요?"
네, 규모와 관계없이 모든 사업자에게 적용됩니다.

이 가이드는 법률 전문가 없이도 소상공인이 스스로 점검할 수 있는 10가지 핵심 체크리스트입니다.

빠른 자가점검 — 해당하는 항목에 체크하세요

✅ 체크리스트 1: 개인정보처리방침 게시

해당 업종: 홈페이지, 앱, 예약 시스템을 운영하는 모든 사업자

[ ] 홈페이지 하단 또는 예약 페이지에 처리방침 링크가 있나요?
[ ] 처리방침에 수집 항목, 목적, 보유 기간이 기재되어 있나요?
[ ] 개인정보 보호책임자(사업자 본인 포함) 연락처가 있나요?

없다면: 처리방침 없이 온라인으로 고객 정보를 수집하는 것은 법 위반입니다.

✅ 체크리스트 2: 고객 동의 취득

해당 업종: 회원 가입, 예약, 상담 신청을 받는 모든 업종

[ ] 고객 정보 수집 시 동의를 받고 있나요?
[ ] 동의서에 수집 항목, 목적, 보유 기간이 명시되어 있나요?
[ ] 마케팅 문자 동의가 필수 항목과 분리되어 있나요?

흔한 실수: "서비스 이용 약관 동의"를 받았더라도 마케팅 수신 동의가 별도로 없으면 광고 문자 발송은 위반입니다.

✅ 체크리스트 3: CCTV 안내판

해당 업종: CCTV를 설치한 모든 사업장

[ ] CCTV 설치 안내판이 촬영 구역 입구에 있나요?
[ ] 안내판에 목적, 촬영 시간, 보관 기간, 책임자 연락처가 기재되어 있나요?
[ ] 화장실, 탈의실에 CCTV가 없나요? (설치 자체가 불법)

안내판 없으면: 과태료 최대 1천만 원이 부과될 수 있습니다.

최소 안내판 내용:

[CCTV 설치 안내]
목적: 시설 안전 관리
보관: 30일
책임자: [이름] / [연락처]

✅ 체크리스트 4: 마케팅 문자 동의 확인

해당 업종: 고객에게 이벤트·할인 문자를 보내는 모든 업종

[ ] 마케팅 문자를 보내는 고객 전원에게 사전 동의를 받았나요?
[ ] 동의 기록(날짜, 방법)을 보관하고 있나요?
[ ] 수신 거부 처리 방법을 안내하고 있나요?

흔한 실수: 예약 시 연락처를 남긴 것 = 마케팅 동의가 아닙니다. 별도로 마케팅 수신에 체크해야 합니다.

✅ 체크리스트 5: 고객 정보 파기

해당 업종: 모든 업종

[ ] 탈퇴하거나 거래가 끝난 고객 정보를 파기하고 있나요?
[ ] 전자 파일: 복구 불가능한 방식으로 삭제 (휴지통 비우기 만으로는 불충분)
[ ] 종이 서류: 파쇄기 사용 또는 전문 폐기 업체 이용

✅ 체크리스트 6: 직원 정보 관리

해당 업종: 직원이 있는 모든 사업장

[ ] 근로계약서를 안전하게 보관하고 있나요? (퇴직 후 3년)
[ ] 직원 급여 정보를 다른 직원에게 공개하지 않고 있나요?
[ ] 퇴직 직원의 시스템 접근 권한을 즉시 차단하고 있나요?

✅ 체크리스트 7: 제3자 제공 현황

해당 업종: 배달 앱, 예약 플랫폼, 마케팅 툴을 이용하는 업종

[ ] 고객 정보를 전달하는 외부 서비스 목록을 파악하고 있나요?
[ ] 처리방침에 해당 서비스를 수탁자로 기재했나요?
[ ] 마케팅 업체에 고객 DB를 넘긴 적이 있다면 동의를 받았나요?

흔한 실수: 네이버 예약, 카카오 예약, 배달의민족을 쓰는 경우 이들은 수탁자입니다. 처리방침에 기재해야 합니다.

✅ 체크리스트 8: 개인정보 보호책임자 지정

해당 업종: 모든 업종

[ ] 개인정보 보호책임자를 지정했나요? (소규모 사업장은 사업주 본인도 가능)
[ ] 처리방침에 책임자 이름과 연락처가 기재되어 있나요?
[ ] 고객이 열람·삭제를 요청할 수 있는 연락 채널이 있나요?

✅ 체크리스트 9: 직원 개인정보 교육

해당 업종: 직원이 있는 모든 사업장

[ ] 직원에게 개인정보 취급 주의사항을 안내했나요?
[ ] 연 1회 이상 기본 교육을 실시하고 있나요?

최소 교육 내용:

고객 정보를 외부로 유출하면 안 된다
고객 정보는 업무 목적으로만 사용한다
문의 사항은 책임자에게 보고한다

✅ 체크리스트 10: 개인정보 유출 대응 계획

해당 업종: 모든 업종

[ ] 고객 정보가 유출되면 어떻게 해야 하는지 알고 있나요?
[ ] 1천 명 이상 유출 시 개인정보보호위원회에 72시간 이내 신고해야 합니다.

기본 대응 순서:

유출 경로 즉시 차단
피해 규모 파악
1천 명 이상이면 개보위 신고 (privacy.go.kr)
피해 고객 개별 통지 (이메일, 문자)

업종별 추가 주의사항

지금 당장 시작하는 방법

10가지 항목 중 1개라도 "아니오"라면 지금 바로 조치가 필요합니다.

가장 먼저 해야 할 일:

홈페이지·앱에 처리방침 추가
CCTV가 있다면 안내판 부착
마케팅 문자 대상 고객의 동의 기록 확인

PIPAGuard로 지금 바로 자동 점검하기

홈페이지 URL 하나로 처리방침 게시 여부, CCTV 안내판 기재, 마케팅 동의 설계를 자동으로 스캔해 드립니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

소상공인 개인정보보호법 자가점검 체크리스트: 5분으로 확인하는 필수 항목

빠른 자가점검 — 해당하는 항목에 체크하세요

✅ 체크리스트 1: 개인정보처리방침 게시

✅ 체크리스트 2: 고객 동의 취득

✅ 체크리스트 3: CCTV 안내판

✅ 체크리스트 4: 마케팅 문자 동의 확인

✅ 체크리스트 5: 고객 정보 파기

✅ 체크리스트 6: 직원 정보 관리

✅ 체크리스트 7: 제3자 제공 현황

✅ 체크리스트 8: 개인정보 보호책임자 지정

✅ 체크리스트 9: 직원 개인정보 교육

✅ 체크리스트 10: 개인정보 유출 대응 계획

업종별 추가 주의사항

지금 당장 시작하는 방법

PIPAGuard로 지금 바로 자동 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

소상공인 개인정보보호법 자가점검 체크리스트: 5분으로 확인하는 필수 항목

빠른 자가점검 — 해당하는 항목에 체크하세요

✅ 체크리스트 1: 개인정보처리방침 게시

✅ 체크리스트 2: 고객 동의 취득

✅ 체크리스트 3: CCTV 안내판

✅ 체크리스트 4: 마케팅 문자 동의 확인

✅ 체크리스트 5: 고객 정보 파기

✅ 체크리스트 6: 직원 정보 관리

✅ 체크리스트 7: 제3자 제공 현황

✅ 체크리스트 8: 개인정보 보호책임자 지정

✅ 체크리스트 9: 직원 개인정보 교육

✅ 체크리스트 10: 개인정보 유출 대응 계획

업종별 추가 주의사항

지금 당장 시작하는 방법

PIPAGuard로 지금 바로 자동 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글