SaaS 서비스 PIPA
컴플라이언스 가이드
B2B SaaS, 구독 소프트웨어 서비스가 반드시 준수해야 할 개인정보보호법(PIPA) 5대 핵심 의무를 정리했습니다. 고객사 데이터 처리부터 국외 이전까지.
SaaS PIPA 5대 의무
1. 수탁사 지위 명확화 및 DPA 체결
B2B SaaS는 고객사(위탁자)가 처리하는 개인정보를 대신 처리하는 수탁자의 지위를 가집니다. 고객사와 개인정보 처리 위수탁 계약(DPA)을 체결하고 처리 목적, 범위, 보안 조치, 파기 절차를 명시해야 합니다. 계약서에 재위탁 제한 조항도 반드시 포함해야 합니다.
2. 해외 서버·클라우드 인프라 국외 이전 고지
AWS, GCP, Azure 등 해외 클라우드를 사용하는 경우 고객사 정보 주체의 개인정보 국외 이전이 발생합니다. 개인정보처리방침에 이전 국가, 이전 업체, 이전 목적을 명시해야 합니다. 이전 대상국이 개인정보보호 수준 인증을 받지 않은 경우 정보 주체의 동의가 필요할 수 있습니다.
3. 고객사 데이터 격리 및 접근 통제
멀티 테넌트 환경에서 고객사(테넌트) 간 데이터 격리를 보장해야 합니다. 내부 엔지니어의 고객사 데이터 접근은 업무 목적으로 제한하고 접근 로그를 보관해야 합니다. 고객사 요청 없이 운영 목적으로 고객 데이터를 조회하는 행위는 위탁 목적 외 사용에 해당할 수 있습니다.
4. 계약 해지 후 고객 데이터 반환 및 파기
SaaS 계약 해지 시 고객사가 요청하는 경우 모든 데이터를 내보낼 수 있는 수단(데이터 익스포트)을 제공해야 합니다. 해지 후 일정 기간(통상 30~90일) 이내에 데이터를 완전히 파기해야 합니다. 파기 완료 확인서 발행을 요청하는 고객사도 있으므로 파기 증적을 남기는 것이 권고됩니다.
5. 보안 취약점 관리 및 침해사고 대응
SaaS 플랫폼은 정기적인 보안 취약점 점검(웹 취약점, 코드 리뷰)을 수행해야 합니다. 침해사고 발생 시 고객사에 즉시 통보하고 72시간 내 개인정보보호위원회에 신고해야 합니다. 고객사와 사고 대응 절차, 통지 의무를 DPA에 명시하는 것이 권고됩니다.
관련 블로그 포스트
SaaS·스타트업 개인정보보호법 가이드: 서비스 기획부터 데이터 처리까지
SaaS 서비스와 스타트업을 위한 개인정보보호법 핵심 의무를 정리합니다. 회원 가입 동의 설계, 로그 데이터 처리, 클라우드 국외 이전, 서비스 종료 시 데이터 파기, 개인정보 영향평가까지 실무 가이드.
읽어보기B2B SaaS 개인정보 처리 위탁 계약서 작성 가이드: DPA 필수 조항
SaaS 공급사가 고객사의 개인정보를 처리할 때 체결해야 하는 개인정보 처리 위탁 계약(DPA) 필수 기재 사항, 재위탁 조항, 파기 의무, 보안 수준 기재 방법을 실무 예시와 함께 정리합니다.
읽어보기SaaS 계약 해지 후 고객 데이터 처리: 반환·파기 의무 완전 가이드
B2B SaaS 계약이 종료되면 고객사 데이터를 어떻게 해야 할까요? 개인정보보호법상 수탁사(SaaS 제공사)의 데이터 반환·파기 의무와 계약서 작성 방법을 실무 중심으로 정리합니다.
읽어보기우리 SaaS, PIPA 준수 상태는?
5분 무료 진단으로 현재 컴플라이언스 점수와 개선 항목을 바로 확인하세요.
PIPA 컴플라이언스 무료 진단