VC 투자 실사(Due Diligence) PIPA 점검 가이드: Series A 전 준비해야 할 것

시리즈 A 이상의 투자 유치를 진행하는 스타트업이라면 VC의 법무 실사(Legal Due Diligence) 과정에서 개인정보 컴플라이언스 관련 질의를 받게 됩니다. 준비가 안 된 상태에서 실사가 시작되면 투자 일정이 지연되거나 밸류에이션 조정의 근거가 될 수 있습니다.

VC 실사에서 자주 요청되는 개인정보 관련 서류

| 요청 항목 | 필요 이유 | |-----------|----------| | 최신 개인정보처리방침 | 법적 고지 의무 이행 여부 | | 개인정보 처리 위탁 계약서 목록 | 수탁자 관리 현황 | | 최근 3년 데이터 유출 이력 | 법적 리스크 파악 | | 개인정보 보호책임자(CPO) 지정 여부 | 내부 거버넌스 | | 정보주체 권리 요청 처리 기록 | 컴플라이언스 성숙도 | | 해외 개인정보 이전 계약 | 국외 서버 사용 시 | | PIPA 관련 행정처분·과태료 이력 | 법적 리스크 | | 데이터 보안 인증 (ISMS, ISO 27001) | 보안 수준 증빙 |

실사 준비 — 투자 유치 6개월 전부터

1. 처리방침 최신화 (최우선)

처리방침이 실제 데이터 처리 현황과 일치하는지 확인합니다.

체크 항목:

현재 사용 중인 모든 수탁자(AWS, Mixpanel, Sendgrid, Intercom 등)가 기재되어 있는가?
수집 항목이 실제와 일치하는가?
보유 기간이 합리적으로 설정되어 있는가?
정보주체 권리 행사 방법이 기재되어 있는가?

2. 수탁자 계약 정비

사용 중인 SaaS 서비스마다 DPA(데이터 처리 계약)가 체결되어 있는지 확인합니다.

주요 SaaS DPA 체결 방법:

AWS: 서비스 약관에 DPA 포함 또는 별도 체결 가능
Google Workspace: 관리 콘솔에서 DPA 수락
Stripe, Twilio 등: 대시보드 또는 이메일로 DPA 요청

VC 실사에서 "어떤 SaaS를 쓰고 있으며, 각각 DPA가 체결되어 있는가?"를 물어봅니다.

3. 유출 이력 문서화

과거 데이터 유출이 있었다면 다음을 준비합니다.

유출 일시, 원인, 규모
취한 조치 (시스템 패치, 고객 통지, 개보위 신고 여부)
재발 방지 대책

숨기면 안 됩니다. 실사 이후 발견되면 계약 취소 사유가 될 수 있습니다.

해외 VC의 GDPR 질의 대응

미국·유럽 VC는 한국 스타트업에 GDPR 컴플라이언스를 함께 묻는 경우가 많습니다.

한국 스타트업이 GDPR 적용을 받는 경우

EU/EEA 거주자에게 서비스를 제공하는 경우
EU 거주자의 행동 데이터(광고 타겟팅 등)를 처리하는 경우

PIPA와 GDPR 주요 차이 정리:

| 항목 | PIPA | GDPR | |------|------|------| | 처리 근거 | 동의 중심 | 6가지 법적 근거 (정당한 이익 등) | | DPO 의무 | CPO(규모 조건) | 일정 기준 이상 DPO 필수 | | 데이터 이동권 | 제35조의2 | Article 20 | | 유출 신고 | 72시간 (1천 명 이상) | 72시간 (모든 유출) | | 국외 이전 | 고지·동의 또는 표준 계약 | SCCs, Adequacy Decision |

PIPA 기반으로 컴플라이언스를 갖추면 GDPR 대응의 70~80%는 자동으로 커버됩니다.

투자 실사 질의서(Data Room) 준비 목록

[개인정보 컴플라이언스 데이터 룸 항목]

1. 처리방침
   □ 최신 버전 (한국어 + 영어)
   □ 이전 버전 이력 (변경 내역 포함)

2. 수탁자 관리
   □ 현재 수탁자 목록
   □ 주요 수탁자 DPA 계약서 사본

3. 내부 거버넌스
   □ CPO(개인정보 보호책임자) 지정 문서
   □ 개인정보 내부관리계획
   □ 직원 교육 기록

4. 법적 이력
   □ 개보위·방통위 처분 이력 (없으면 "없음" 명시)
   □ 관련 민사 소송 이력

5. 유출 이력
   □ 최근 3년 유출 사고 목록 (없으면 "없음" 명시)
   □ 유출 시 취한 조치 요약

6. 보안 인증
   □ ISMS/ISMS-P, ISO 27001, SOC 2 인증서 (있는 경우)

CPO(개인정보 보호책임자) 지정

5만 명 이상의 정보주체 정보를 처리하거나, 민감정보·고유식별정보를 처리하는 기업은 CPO를 임원급으로 지정해야 합니다.

스타트업은 초기에는 CTO 또는 대표가 CPO를 겸직하는 경우가 많습니다. 이 경우에도 공식적으로 CPO 임명 문서를 작성해 두는 것이 실사에 유리합니다.

인수합병(M&A) 시 개인정보 실사

M&A 과정에서는 추가적인 이슈가 발생합니다.

고객 DB 이전: 인수 후 고객 데이터를 인수자가 처리하려면 처리방침 변경 고지 또는 신규 동의 필요
직원 정보 이전: 인수 기업으로의 고용 이전 시 직원 개인정보도 이전됨 → 직원 고지 필요
기존 위반 승계: 피인수 기업의 PIPA 위반 이력은 인수 후에도 책임 문제 가능 → 실사에서 반드시 확인

PIPAGuard로 투자 실사 전 사전 점검하기

처리방침 현황, 수탁자 기재, 정보주체 권리 채널을 자동으로 점검하여 실사 준비를 앞당길 수 있습니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

VC 실사에서 자주 요청되는 개인정보 관련 서류

실사 준비 — 투자 유치 6개월 전부터

1. 처리방침 최신화 (최우선)

처리방침이 실제 데이터 처리 현황과 일치하는지 확인합니다.

체크 항목:

현재 사용 중인 모든 수탁자(AWS, Mixpanel, Sendgrid, Intercom 등)가 기재되어 있는가?
수집 항목이 실제와 일치하는가?
보유 기간이 합리적으로 설정되어 있는가?
정보주체 권리 행사 방법이 기재되어 있는가?

2. 수탁자 계약 정비

사용 중인 SaaS 서비스마다 DPA(데이터 처리 계약)가 체결되어 있는지 확인합니다.

주요 SaaS DPA 체결 방법:

AWS: 서비스 약관에 DPA 포함 또는 별도 체결 가능
Google Workspace: 관리 콘솔에서 DPA 수락
Stripe, Twilio 등: 대시보드 또는 이메일로 DPA 요청

VC 실사에서 "어떤 SaaS를 쓰고 있으며, 각각 DPA가 체결되어 있는가?"를 물어봅니다.

3. 유출 이력 문서화

과거 데이터 유출이 있었다면 다음을 준비합니다.

유출 일시, 원인, 규모
취한 조치 (시스템 패치, 고객 통지, 개보위 신고 여부)
재발 방지 대책

숨기면 안 됩니다. 실사 이후 발견되면 계약 취소 사유가 될 수 있습니다.

해외 VC의 GDPR 질의 대응

미국·유럽 VC는 한국 스타트업에 GDPR 컴플라이언스를 함께 묻는 경우가 많습니다.

한국 스타트업이 GDPR 적용을 받는 경우

EU/EEA 거주자에게 서비스를 제공하는 경우
EU 거주자의 행동 데이터(광고 타겟팅 등)를 처리하는 경우

PIPA와 GDPR 주요 차이 정리:

PIPA 기반으로 컴플라이언스를 갖추면 GDPR 대응의 70~80%는 자동으로 커버됩니다.

투자 실사 질의서(Data Room) 준비 목록

[개인정보 컴플라이언스 데이터 룸 항목]

1. 처리방침
   □ 최신 버전 (한국어 + 영어)
   □ 이전 버전 이력 (변경 내역 포함)

2. 수탁자 관리
   □ 현재 수탁자 목록
   □ 주요 수탁자 DPA 계약서 사본

3. 내부 거버넌스
   □ CPO(개인정보 보호책임자) 지정 문서
   □ 개인정보 내부관리계획
   □ 직원 교육 기록

4. 법적 이력
   □ 개보위·방통위 처분 이력 (없으면 "없음" 명시)
   □ 관련 민사 소송 이력

5. 유출 이력
   □ 최근 3년 유출 사고 목록 (없으면 "없음" 명시)
   □ 유출 시 취한 조치 요약

6. 보안 인증
   □ ISMS/ISMS-P, ISO 27001, SOC 2 인증서 (있는 경우)

CPO(개인정보 보호책임자) 지정

5만 명 이상의 정보주체 정보를 처리하거나, 민감정보·고유식별정보를 처리하는 기업은 CPO를 임원급으로 지정해야 합니다.

스타트업은 초기에는 CTO 또는 대표가 CPO를 겸직하는 경우가 많습니다. 이 경우에도 공식적으로 CPO 임명 문서를 작성해 두는 것이 실사에 유리합니다.

인수합병(M&A) 시 개인정보 실사

M&A 과정에서는 추가적인 이슈가 발생합니다.

고객 DB 이전: 인수 후 고객 데이터를 인수자가 처리하려면 처리방침 변경 고지 또는 신규 동의 필요
직원 정보 이전: 인수 기업으로의 고용 이전 시 직원 개인정보도 이전됨 → 직원 고지 필요
기존 위반 승계: 피인수 기업의 PIPA 위반 이력은 인수 후에도 책임 문제 가능 → 실사에서 반드시 확인

PIPAGuard로 투자 실사 전 사전 점검하기

처리방침 현황, 수탁자 기재, 정보주체 권리 채널을 자동으로 점검하여 실사 준비를 앞당길 수 있습니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

VC 투자 실사(Due Diligence) PIPA 점검 가이드: Series A 전 준비해야 할 것

VC 실사에서 자주 요청되는 개인정보 관련 서류

실사 준비 — 투자 유치 6개월 전부터

1. 처리방침 최신화 (최우선)

2. 수탁자 계약 정비

3. 유출 이력 문서화

해외 VC의 GDPR 질의 대응

한국 스타트업이 GDPR 적용을 받는 경우

투자 실사 질의서(Data Room) 준비 목록

CPO(개인정보 보호책임자) 지정

인수합병(M&A) 시 개인정보 실사

PIPAGuard로 투자 실사 전 사전 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

VC 투자 실사(Due Diligence) PIPA 점검 가이드: Series A 전 준비해야 할 것

VC 실사에서 자주 요청되는 개인정보 관련 서류

실사 준비 — 투자 유치 6개월 전부터

1. 처리방침 최신화 (최우선)

2. 수탁자 계약 정비

3. 유출 이력 문서화

해외 VC의 GDPR 질의 대응

한국 스타트업이 GDPR 적용을 받는 경우

투자 실사 질의서(Data Room) 준비 목록

CPO(개인정보 보호책임자) 지정

인수합병(M&A) 시 개인정보 실사

PIPAGuard로 투자 실사 전 사전 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글