위탁사 등록부 (processor-register.yaml)¶
본 페이지는
registry/processor-register.yaml원본의 사이트 렌더본입니다. 편집은 YAML 원본에서 PR로 진행합니다 (편집 권한자 한정).
# ──────────────────────────────────────────────────────────────────────
# 위탁사(수탁자) 등록부 / Processor Register
# ──────────────────────────────────────────────────────────────────────
# 근거: 개인정보 보호법 §26 (위탁), §28의8 (해외이전),
# 개인정보의 안전성 확보조치 기준 §4 ① 14호.
#
# 본 등록부는 회사가 개인정보 처리업무를 위탁하거나, 위탁이 아니더라도
# 회사가 처리하는 개인정보에 접근 가능성이 있는 외부 서비스를 모두
# 단일 원장(SSoT)으로 관리한다.
#
# 점검 주기: 연 1회 (CPO 주관) + 위탁 신규/종료/변경 시 즉시 갱신
# ──────────────────────────────────────────────────────────────────────
metadata:
owner: 조준상 (CPO, CTO)
last_reviewed: 2026-05-29
review_cycle: annual
next_review_due: 2027-05-29
change_log:
- date: 2026-05-29
author: 조준상
change: 스키마 v2로 보강(공개대상/해외이전적법근거/계약·점검 트레일 분리). 코그테라·이지브리드 처리방침 §5에 공개된 §26 위탁사 정합화.
# ──────────────────────────────────────────────────────────────────────
# 스키마 (v2)
# ──────────────────────────────────────────────────────────────────────
# id: 내부 슬러그 (영문, 고유)
# legal_name: 법인 정식 명칭 (처리방침 공개용)
# display_name: 약식 표시명
# category: 위탁 분류
# - "disclosed_processor": §26 위탁 = 처리방침 공개 대상
# - "operational_saas": 사내 운영용 (개인정보 처리 미미·간접)
# products: 사용 제품 ([cogthera, easybreath, internal])
# purpose: 위탁 업무 / 사용 목적
# data_categories: [personal | sensitive | unique_id | employee_only | non_personal]
# data_items: 처리 항목 (예시 수준)
# region: 데이터 저장 리전 (예: ap-northeast-2)
# overseas_transfer: 해외이전 여부 (true/false)
# country: 이전 국가
# lawful_basis: 적법 근거 — consent | privacy_policy_disclosure | adequacy_decision | etc.
# notice_location: 고지 위치 (예: 처리방침 §X)
# contract:
# type: DPA | MSA | standard_terms
# status: signed | pending | not_required
# signed_at: YYYY-MM-DD
# link: 계약 문서 위치(사내 보관)
# certifications: 위탁사가 보유한 보안 인증 ([ISO27001, SOC2, HIPAA-BAA, ...])
# security_check:
# last_at: 마지막 점검 일자
# method: vendor_questionnaire | external_audit | docs_review
# next_due: 다음 점검 예정 일자
# risk_level: low | medium | high
# notes: 비고 (운영 규칙, 데이터 처리 정책 등)
# ──────────────────────────────────────────────────────────────────────
processors:
# ════════════════════════════════════════════════════════════════════
# A. 처리방침 공개 대상 (§26 위탁) — 개인정보를 직접 처리
# ════════════════════════════════════════════════════════════════════
- id: aws
legal_name: Amazon Web Services, Inc.
display_name: AWS
category: disclosed_processor
products: [cogthera, easybreath]
purpose: |
cogthera: 음성 인식 처리 (Amazon Transcribe Streaming), 운영 인프라.
easybreath: 개인정보를 포함한 데이터 보관, 운영 인프라.
data_categories: [personal, sensitive]
data_items: [환자 식별정보, 평가 결과, 음성·영상 데이터, 인증 토큰]
region: ap-northeast-2 (Seoul)
overseas_transfer:
enabled: false
country: null
lawful_basis: not_applicable # 국내 리전 사용 원칙
notice_location: null
contract:
type: DPA
status: TBD # TODO: AWS Customer Agreement + DPA 체결 일자 확인
signed_at: TBD
link: TBD
certifications: [ISO27001, SOC2, ISO27017, ISO27018, HIPAA-BAA-available]
security_check:
last_at: TBD
method: docs_review # AWS 공식 인증 갱신 상태 확인 기반
next_due: 2026-12-31
risk_level: high
notes: |
가장 큰 위탁사. 코그테라/이지브리드 양 제품 처리방침 §5에 공개.
Seoul 리전 우선 사용 정책 (해외이전 회피).
신규 AWS 서비스 도입 시(예: SageMaker, Bedrock 등) 등록부에 갱신.
- id: alrm-people
legal_name: ㈜알리는사람들
display_name: 알리는사람들
category: disclosed_processor
products: [easybreath]
purpose: 문자 및 카카오톡 메시지 발송 대행
data_categories: [personal]
data_items: [수신자 휴대전화번호, 발송 메시지 내용]
region: 국내
overseas_transfer:
enabled: false
country: null
lawful_basis: not_applicable
notice_location: null
contract:
type: MSA
status: TBD # TODO: 서비스 이용 계약 일자/계약서 위치 확인
signed_at: TBD
link: TBD
certifications: TBD # TODO: 보안 인증 보유 여부 확인 (ISMS-P 등)
security_check:
last_at: TBD
method: vendor_questionnaire
next_due: 2026-12-31
risk_level: medium
notes: 이지브리드 처리방침 §5에 공개.
- id: ncp
legal_name: 네이버클라우드 주식회사
display_name: NCP
category: disclosed_processor
products: [cogthera]
purpose: 인증 문자메시지 발송 대행
data_categories: [personal]
data_items: [수신자 휴대전화번호, 인증번호]
region: 국내
overseas_transfer:
enabled: false
country: null
lawful_basis: not_applicable
notice_location: null
contract:
type: standard_terms
status: TBD # TODO: NCP 이용약관 동의 + 사업자용 계약 확인
signed_at: TBD
link: TBD
certifications: [ISMS-P, ISO27001, ISO27017, ISO27018]
security_check:
last_at: TBD
method: docs_review
next_due: 2026-12-31
risk_level: medium
notes: 코그테라 처리방침 §5에 공개. SENS 서비스.
# ════════════════════════════════════════════════════════════════════
# B. 사내 운영 SaaS — 개인정보 처리 미미·간접 (처리방침 공개 대상 아님)
# ════════════════════════════════════════════════════════════════════
# ※ 환자/임상 데이터 미저장 정책 적용 대상.
# ※ 임직원 식별정보·업무 메타데이터 등은 처리될 수 있음 → §26 위탁 미해당이나
# 내부관리계획 §14 관리 대상으로 등록부 유지.
- id: sentry
legal_name: Functional Software, Inc. (Sentry)
display_name: Sentry
category: operational_saas
products: [cogthera, easybreath, internal]
purpose: 에러 추적·이슈 관리 (운영 모니터링)
data_categories: [personal] # 스택트레이스·사용자 식별자가 포함될 수 있음
data_items: [에러 컨텍스트, 사용자 식별자(가능 시 마스킹)]
region: us
overseas_transfer:
enabled: true
country: 미국
lawful_basis: TBD # TODO: 처리방침 §해외이전 항목에 게재 또는 동의
notice_location: TBD
contract:
type: DPA
status: TBD # TODO: Sentry DPA 체결 확인 (Sentry 공식 DPA 제공)
signed_at: TBD
link: TBD
certifications: [SOC2, ISO27001]
security_check:
last_at: TBD
method: docs_review
next_due: 2026-12-31
risk_level: medium
notes: |
개인정보 스크러빙(send_default_pii=False) 강제 설정 정책 필요.
이메일·환자 식별자 등 PII가 스택트레이스에 들어가지 않도록
서버 코드에서 `before_send` 훅으로 마스킹.
- id: clickup
legal_name: Mango Technologies, Inc. (ClickUp)
display_name: ClickUp
category: operational_saas
products: [internal]
purpose: 업무 관리 (티켓, 일정)
data_categories: [employee_only, non_personal]
data_items: [임직원 식별자, 업무 메타데이터]
region: us
overseas_transfer:
enabled: true
country: 미국
lawful_basis: not_applicable # 환자/이용자 개인정보 미처리
notice_location: null
contract:
type: standard_terms
status: TBD # TODO: Workspace 약관 동의 일자 확인
signed_at: TBD
link: TBD
certifications: [SOC2]
security_check:
last_at: TBD
method: docs_review
next_due: 2026-12-31
risk_level: low
notes: 환자/임상 데이터 저장 절대 금지 정책(사내 가이드).
- id: slack
legal_name: Slack Technologies, LLC (Salesforce)
display_name: Slack
category: operational_saas
products: [internal]
purpose: 사내 커뮤니케이션
data_categories: [employee_only]
data_items: [임직원 메시지, 첨부파일]
region: us
overseas_transfer:
enabled: true
country: 미국
lawful_basis: not_applicable # 환자 식별정보 공유 금지 정책
notice_location: null
contract:
type: standard_terms
status: TBD # TODO: 유료 플랜 시 EA/DPA 일자 확인
signed_at: TBD
link: TBD
certifications: [SOC2, ISO27001, ISO27017, ISO27018]
security_check:
last_at: TBD
method: docs_review
next_due: 2026-12-31
risk_level: medium
notes: |
환자 식별정보·민감정보 공유 금지 정책(사내 가이드).
외부 게스트 채널 사용 시 별도 승인.
- id: github
legal_name: GitHub, Inc. (Microsoft)
display_name: GitHub
category: operational_saas
products: [internal]
purpose: 소스코드 형상관리, CI/CD, 이슈 트래킹
data_categories: [employee_only, non_personal]
data_items: [소스코드, 임직원 식별자, 이슈/PR 메타데이터]
region: us
overseas_transfer:
enabled: true
country: 미국
lawful_basis: not_applicable
notice_location: null
contract:
type: standard_terms
status: TBD # TODO: Organization 약관 동의 일자
signed_at: TBD
link: TBD
certifications: [SOC1, SOC2, ISO27001, ISO27018]
security_check:
last_at: TBD
method: docs_review
next_due: 2026-12-31
risk_level: medium
notes: |
Secret Scanning + Push Protection 활성 필수.
Dependabot 활성 필수.
Private 저장소 원칙 (Public 저장소 사용 시 코드 검토 후 결재).
# ──────────────────────────────────────────────────────────────────────
# (예시) 추가 위탁사 / SaaS 신규 등록 시
# ──────────────────────────────────────────────────────────────────────
# - id: example-saas
# legal_name: Example, Inc.
# display_name: Example
# category: disclosed_processor # or operational_saas
# products: [internal]
# purpose: ...
# data_categories: [non_personal]
# data_items: []
# region: us
# overseas_transfer:
# enabled: true
# country: 미국
# lawful_basis: privacy_policy_disclosure
# notice_location: "코그테라 처리방침 §X"
# contract:
# type: DPA
# status: signed
# signed_at: 2026-XX-XX
# link: "사내 보관: drive/...”
# certifications: [SOC2]
# security_check:
# last_at: 2026-XX-XX
# method: vendor_questionnaire
# next_due: 2027-XX-XX
# risk_level: medium
# notes: ...
# ──────────────────────────────────────────────────────────────────────
# TODO (다음 정기 점검까지 채워야 할 항목)
# ──────────────────────────────────────────────────────────────────────
# [ ] 모든 processor의 contract.status / signed_at / link
# [ ] 모든 processor의 security_check.last_at
# [ ] Sentry — 처리방침에 해외이전 고지 정합화 또는 동의 절차
# [ ] 알리는사람들 — 보안 인증 보유 여부 확인
# [ ] 누락 SaaS 발굴 (예: Datadog, GA, Mixpanel, Notion, Figma, 1Password, etc.)