4주차) 01 - 01 - 서비스 정책서, 요구사항 정의서(PRD)

정책서란?

• 정책 - 서비스를 관리하는 원칙이나 규율
• 정책서 - 서비스를 관장하는 용어와 운영정책과 원칙을 정의한 산출물
• 서비스 정책을 위한 고려사항 - 현실 세계의 법률, 사용하는 사람들의 역사와 문화, 철학, 생활 인프라, IT 인프라, 개발, 디자인

문화, 역사, 인프라를 생각해야 되는 이유

• 인도를 예를 들어 인도에서의 아이폰 사용자는 1% 정도 된다. 대부분은 안드로이드를 이용하는데 인도 시장에 앱 서비스를 출시하게 될 때 IOS로 출시하게 되면 그 서비스는 중단될 수밖에 없기 때문이다.
• 문화, 역사, 인프라를 생각하지 않고 서비스를 출시하게 될 경우 그 서비스의 성공 확률은 낮아질 수 밖에 없다.

정책서 작성을 위해 고려해야 하는 법률

• 서비스 정책서를 작성하기 위해서는 우선적으로 하려고 하는 서비스의 지역과 특성에 맞는 법령에 대한 고려가 최우선이다.
• 법과 제도는 가장 바뀌기 어려운 부분이기 때문이다.
• 관련 법령 - 국내법은 대륙법 계통의 열거주의로 대다수 법에서 정하고 있기 때문에 서비스 기획 시 관련 법령을 먼저 찾아보는 것이 중요하다.
• 산업 생태계 - 대기업이 아니고서야 산업 생태계를 단숨에 바꾸기 어렵기 때문에 산업 생태계를 살핀다.
• 경쟁사 - 경쟁사를 살펴보며 Pain point를 분석하고 관련 법령 및 타사 정책을 살피고 경쟁력 등을 확보한다.
• 내부 환경 및 리소스 - 개발, 디자인 리소스 등
• IT 서비스 기획자에게 법령 및 직업윤리 교육이 필요하다. 법의 테두리 안에서 현행법을 준수하며 수 많은 정책을 만들고 가치 판단을 해야 하는 과정의 연속이기 때문이다.
• 인터넷 산업 진흥 촉진 관련
• 인터넷 서비스 기반 조성 관련
• 인터넷 정보보호 관련
• 인터넷 이용자 보호 관련
• 이용약관 동의 작성
• 개인정보의 보호와 관련된 여러 규정
• 전자상거래 운영과 관련된 여러 규정
• 개인정보보호 관련 손해배상책임보험 또는 공제 가입
• 상품 상세 페이지 내 상품 정보 고시
• 잡지 발행 시 등록 및 신고 관련 정보 고시

전자상거래법

• 기획자는 기본적으로 알고 있어야 한다.
• 서비스를 통해서 금융거래 또는 서비스나 물품 거래를 하게 되는 것이고 이때 영향을 받는 것이 전자상거래법이다.
• http://law.go.kr 여기에 들어가서 검색하면 전자상거래법의 원문을 읽을 수 있다.

데이터 3법으로 바뀌는 미래와 서비스 기획

• 먼저 이해해야 하는 법률은 개인정보 보호법이다.
• http://law.go.kr 여기에 들어가서 검색해 원문을 읽을 수 있다.
• 데이터 3법의 주요 내용
  • 개인정보보호법 개정안
  • 신용정보법 개정안
  • 정보통신망법 개정안
• 데이터 3법의 주요 특징
  • 가명정보 개념 도입
    • 추가 정보 없이는 특정 개안을 알아볼 수 없는 '가명정보' 개념 도입
  • 개인정보보호 거버넌스 체계 효율화
    • 개인정보의 유출 등을 감독할 감독기구는 개인정보보호위원회로 일원화
  • 개인정보처리자 책임 강화
    • 특정 개인을 식별할 가능성이 증가될 우려가 있어 데이터 활용 시 준수해야 할 필수 안전조치 사항을 명확히 한다.
  • 개인정보의 판단기준 명확화
    • 개인정보 범위를 보다 명확히 하고 요건에 해당하지 않는 익명화된 정보는 개인정보보호법을 적용하지 않음을 명확히 한다.

ISMS(Information Security Management System)

• 정보보호 관리체계, 정보보안 경영 시스템이라고 해석한다. 개인이 아닌 기업이나 특정 조직에게 적용한다.
• 인증 의무대상자(정보통신망법 제47조 2항)
• ISMS 인증 의무 대상의 기준은 전기통신사업법상 정보통신망 서비스를 제공하는 사업자, IDC를 운영하고 있는 사업자, 연간 매출액이나 세액이 1천5백억 원 이상인 사업자 가운데서 상급 종합병원이나 재학생 수가 만 명 이상인 학교, 전년도 매출액이 100억 이상, 3개월간 평균 이용자 수가 백만 명 이상인 쇼핑몰 사업자 등이 있다.
• ISMS-P
  • 정보보호는 물론이고 개인정보보호 관리체계를 인정하는 것으로써 ISMS에서 개인정보보호를 위한 몇 가지 수칙을 더 준수해야 하는데 관리체계의 수립 및 운영에 해당하는 16개 항목과 세부 항목 42개, 보호대책 요구사항에 해당하는 64개 항목과 세부항목 192개, 개인정보 처리단계별 요구사항 22개 항목과 세부 항목 91개를 모두 인증받아야 한다.

PCI-DSS, DGPR

• 해외 인증, 유럽의 개인정보 관리 체계 GDRP
• PSI-DSS는 Payment Card Industry-Data Security Standard의 줄임말이다.
• 해외에서 통용하고 있는 지불 카드 산업 데이터 보안 표준이다.
• PCI-DSS는 각 카드사에서 개별적으로 관리되던 카드 데이터의 보안을 강화시키고 국제적으로 일관된 보안 평가 기준을 적용해서 민간 카드사가 연합해서 제정한 표준이다.
• GDPR은 General Data Protection Regulation의 줄임말이다.
• EU 회원국 간의 개인정보의 자유로운 이용을 보장하는 동시에 정보 주체의 개인정보보호 권리를 강화하는 내용의 일반정보 보호법을 발표했었고 2018년 5월 25일부터 적용했다.
• GDPR의 처리 원칙은 일곱 가지이다. 적법성, 공정성, 투명성, 목적 제한, 개인정보 처리의 최소화, 정확성, 보관기간 제한의 원칙, 무결성 및 기밀성의 원칙, 책임성의 원칙