개인정보처리방침 (초안)
초안 상태: 본 문서는 서비스 런칭 전 법무 검토를 거칠 초안입니다.
[... TODO]마커는 사용자가 최종 확정 전 채워야 할 항목입니다.
본 「개인정보처리방침」은 TFT Report(이하 "서비스")가 「개인정보 보호법」 제30조에 근거하여 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같이 처리방침을 수립·공개합니다.
- 서비스명: TFT Report
- 서비스 주소: https://tft.report
- 운영자(개인정보처리자): 김성민 (Kim Seong-min)
- 시행일: [시행일 TODO]
제1조 (개인정보의 처리 목적 및 수집 항목)
서비스는 다음의 목적을 위해 최소한의 개인정보만을 처리하며, 처리 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.
| 수집 항목 | 수집 방법 | 처리 목적 |
|---|---|---|
| Riot ID (게임 닉네임 + 태그) | 정보주체 직접 입력 | 매치 이력 조회·리포트 생성·재조회 식별 키 |
| puuid (Riot API 내부 식별자) | Riot Games API 조회 결과 | 매치 조회 및 중복 조회 방지 |
| last_match_id (최근 매치 ID) | Riot Games API 조회 결과 | 재조회 쿨다운 판정(신규 매치 10판 미만 시 캐시 반환) |
| 접속 IP 해시 (SHA-256 상위 32자) | 자동 생성 | 운영 이상 탐지·남용 방지 |
| User-Agent 해시 (SHA-256 상위 32자) | 자동 생성 | 운영 이상 탐지·남용 방지 |
| 쿠키 / 광고 식별자 (광고 도입 시 활성화) | 자동 수집 | 광고 게재 및 빈도 제한(Google AdSense 등) |
- 원본 IP 주소 및 User-Agent 문자열 원문은 저장하지 않으며, SHA-256 해시 상위 32자만 보관합니다.
- IP 해시 및 User-Agent 해시는 단독으로는 개인을 식별하기 어려우나, puuid 등 다른 식별자와 결합될 경우 개인정보에 해당할 수 있으므로, 본 처리방침의 보호 조치 전부를 동일하게 적용합니다.
- 서비스는 이름·전화번호·이메일·주소·주민등록번호 등 일반적인 신원정보를 수집·저장하지 않습니다.
제2조 (처리 및 보유 기간)
서비스는 수집한 개인정보를 다음 기간 내에서만 처리·보유합니다. 보유 기간이 경과하거나 처리 목적이 달성된 경우 지체 없이 파기합니다.
| 항목 | 보유 기간 | 근거 |
|---|---|---|
| 원본 Match JSON (Riot API 응답) | 24시간 이내 폐기 | Riot Games API 이용약관 준수 |
| 파생 집계 통계 (baseline·상위 랭크 통계) | 해당 시즌 종료 시까지 | 개인 식별 불가한 집계값 |
| 유저 리포트 payload | 1일 (24시간) | 원본 Match JSON 폐기 창과 정렬 (defense-in-depth) |
| Riot ID + puuid | 마지막 조회 시점부터 24시간 | 재조회 쿨다운 판정용 (원본 폐기 창과 정렬) |
| 접속 로그 (IP 해시·UA 해시) | 30일 | 운영 보안 최소 필요 기간 |
- 파생 집계 통계는 개별 정보주체를 식별할 수 없는 형태(상위권 집단 평균·분포 등)로 가공된 값이며, 원본 매치 데이터와 분리·보관됩니다.
제3조 (개인정보의 제3자 제공)
서비스는 정보주체의 개인정보를 제3자에게 제공하지 않습니다.
다만, 서비스 제공의 본질적 특성상 Riot Games, Inc.(Riot Games API)에 대한 조회 요청이 필수적으로 발생합니다. 이는 제3자 제공(「개인정보 보호법」 제17조)이 아닌, 정보주체가 직접 입력한 Riot ID를 기반으로 하는 게임 데이터 조회에 해당합니다.
- 조회 대상: Riot Games Match-V1·Summoner-V1 등 공식 API
- 전송 항목: Riot ID, puuid
- 근거: 「개인정보 보호법」 제15조 제1항 제1호 (정보주체의 동의 — 서비스 이용 전 개인정보처리방침 동의 체크박스). 부수적으로 동법 제15조 제1항 제4호(정보주체와의 계약 이행)에도 해당할 수 있습니다.
제4조 (개인정보 처리의 위탁)
현재 서비스는 다음의 인프라·처리 위탁 관계를 운영합니다.
| 수탁자 | 위탁 업무 | 소재지 |
|---|---|---|
| Vercel Inc. | 웹 호스팅 및 서버리스 API 실행 | 미국 |
| Neon Inc. (PostgreSQL) | 데이터베이스 호스팅 | 미국/EU |
| Upstash, Inc. (Redis) | 캐시 운영 | 미국/EU |
| Google LLC (AdSense) (광고 도입 시) | 광고 게재 | 미국 |
- 위탁 계약 시 「개인정보 보호법」 제26조에 따라 개인정보 보호 관련 의무를 명시하고 수탁자를 관리·감독합니다.
- 수탁자·위탁 업무가 변경되는 경우 본 방침을 통해 지체 없이 공개합니다.
제5조 (개인정보의 국외 이전)
본 서비스의 인프라(Vercel·Neon·Upstash 등)는 미국 및 EU 지역의 데이터센터를 사용하므로 개인정보가 국외로 이전되어 처리될 수 있습니다. 제4조의 수탁 중 국외 소재 수탁자(Vercel·Neon·Upstash)에 해당하는 업무는 개인정보 보호법 제26조(위탁)와 함께 동법 제28조의8(국외 이전)에 따른 고지 의무도 함께 이행합니다. 즉, 단일한 위탁 행위에 대해 위탁 고지와 국외 이전 고지를 병행하여 투명하게 공개하는 취지입니다.
- 이전되는 항목: 제1조의 수집 항목 일체
- 이전 국가: 미국, EU 회원국
- 이전 일시 및 방법: 서비스 이용 시점의 정보통신망을 통한 전송
- 이전 받는 자: 제4조의 수탁자
- 이전 받는 자의 개인정보 이용 목적 및 보유·이용 기간: 제1조·제2조와 동일
정보주체는 「개인정보 보호법」 제28조의8에 따라 국외 이전에 관하여 거부할 권리가 있으나, 거부 시 서비스의 본질적 기능(리포트 생성)을 이용할 수 없습니다.
제6조 (정보주체의 권리·의무 및 행사 방법)
정보주체는 언제든지 다음의 권리를 행사할 수 있습니다 (「개인정보 보호법」 제35조~제37조).
- 열람 요구 (법 제35조)
- 정정·삭제 요구 (법 제36조)
- 처리정지 요구 (법 제37조)
- 동의 철회 요구
행사 방법
- 서비스 내 「내 데이터 삭제」 페이지에서 Riot ID(닉네임 + 태그)를 재입력하면 즉시 삭제 요청이 처리됩니다.
- 대리인(법정대리인·위임장 제출자)을 통한 행사도 가능합니다.
- 기타 문의는 제8조의 개인정보 보호책임자 연락처로 접수해 주십시오.
정보주체의 권리 행사는 정보주체 본인 또는 정당한 대리인을 통해 요구할 수 있으며, 서비스는 본인 여부를 확인하기 위해 동일한 Riot ID 입력을 요구할 수 있습니다.
제7조 (개인정보의 파기)
서비스는 보유 기간이 경과하거나 처리 목적이 달성된 개인정보를 지체 없이 파기합니다.
7.1 파기 사유별 시점
- 보유기간 경과 시: 제2조의 보유 기간이 경과한 즉시 자동 파기 (배치 작업 일 1회 이상 수행).
- 처리 목적 달성 시: 처리 목적이 달성된 개인정보에 대해 최대 5영업일 내 파기합니다.
- 정보주체의 요청 시: 「내 데이터 삭제」 기능 또는 제8조의 연락처를 통한 요청 접수 즉시 파기합니다.
7.2 파기 절차 및 방법
- 파기 절차: 파기 사유 발생 개인정보를 선정하고, 개인정보 보호책임자의 승인 하에 파기합니다.
- 파기 방법:
- 전자적 파일: 복구·재생이 불가능한 방법으로 영구 삭제
- 종이 문서: 해당 없음 (서비스는 종이 문서 형태로 개인정보를 보관하지 않음)
제8조 (개인정보 보호책임자 및 연락처)
서비스는 정보주체의 개인정보를 보호하고 개인정보와 관련한 불만을 처리하기 위하여 다음과 같이 개인정보 보호책임자를 지정하고 있습니다.
- 성명: 김성민 (Kim Seong-min)
- 직책/부서: 운영자
- 이메일: u1217482@gmail.com
정보주체는 서비스 이용 중 발생한 모든 개인정보 보호 관련 문의·불만·피해구제 등에 관한 사항을 위 연락처로 문의하실 수 있습니다.
기타 권익 침해 구제 기관
- 개인정보 침해신고센터 (privacy.kisa.or.kr / 국번 없이 118)
- 개인정보보호위원회 (pipc.go.kr / 02-2100-3394)
- 대검찰청 사이버수사과 (spo.go.kr / 국번 없이 1301)
- 경찰청 사이버수사국 (ecrm.police.go.kr / 국번 없이 182)
제9조 (개인정보 자동 수집 장치의 설치·운영 및 거부)
9.1 쿠키 사용
서비스는 다음과 같은 쿠키를 사용합니다.
| 쿠키명 | 목적 | 보관기간 |
|---|---|---|
session_consent | 개인정보처리방침 동의 상태 저장 (필수 쿠키) | 세션 종료 시 |
| (광고 도입 후 적용) Google AdSense 쿠키 | 광고 게재·빈도 제한·성과 측정 | 최대 2년 |
9.2 광고 쿠키 고지
현재 상태 (시행일 [시행일 TODO]): 광고를 게재하지 않으므로 본 섹션은 적용되지 않습니다.
광고 도입 시 본 처리방침을 개정하며, 개정일로부터 아래 내용이 적용됩니다.
서비스는 Google LLC의 AdSense를 통해 광고를 게재하며, Google은 방문자에게 관심 기반 광고를 제공하기 위해 쿠키 및 광고 식별자를 사용합니다.
- Google 광고 설정: https://adssettings.google.com
- Google 개인정보처리방침: https://policies.google.com/privacy
9.3 쿠키 설치 거부 방법
정보주체는 웹 브라우저 설정을 통해 쿠키 저장을 거부할 수 있습니다. 다만 필수 쿠키를 거부하는 경우 서비스의 일부 기능 이용이 제한될 수 있습니다.
- Chrome: 설정 → 개인정보 및 보안 → 쿠키 및 기타 사이트 데이터
- Edge: 설정 → 쿠키 및 사이트 권한
- Safari: 환경설정 → 개인정보 보호
- Firefox: 설정 → 개인정보 및 보안
제10조 (개인정보의 안전성 확보 조치)
서비스는 「개인정보 보호법」 제29조 및 「개인정보의 안전성 확보조치 기준」 고시에 따라 다음과 같은 안전성 확보 조치를 이행합니다.
- 관리적 조치: 내부관리계획 수립·시행, 개인정보 취급 최소화, 내부 접근 통제 정책 운영
- 기술적 조치: 전송 구간 TLS 암호화, IP·UA 등 민감 가능 식별자의 해시 저장, 접근 권한 관리, 접속기록의 보관 및 위변조 방지
- 물리적 조치: 클라우드 서비스 제공자(Vercel·Neon·Upstash)의 물리적 보안 준수
본 서비스는 「개인정보의 안전성 확보조치 기준」 고시에 따른 유형별 조치를 이행하며, 소규모 서비스 기준을 충족하는 범위 내에서 운영합니다.
제11조 (개인정보 유출 시 조치)
개인정보 유출이 확인된 경우 서비스는 「개인정보 보호법」 제34조 및 관련 고시에 따라 정보주체에게 지체 없이 통지하고, 필요한 경우 관계 기관에 신고합니다. 통지 내용에는 유출된 항목, 유출 시점과 경위, 피해 최소화를 위해 정보주체가 취할 수 있는 조치, 서비스의 대응 조치 및 피해 구제 절차 등을 포함합니다.
제12조 (Riot Games 관련 고지)
본 서비스는 Riot Games, Inc.와 무관하며 Riot Games의 공식 서비스가 아닙니다. 서비스는 Riot Games Developer API를 통해 공식적으로 제공되는 데이터만을 활용합니다.
Legal Jibber Jabber (Riot Games 요구 원문)
TFT Report isn't endorsed by Riot Games and doesn't reflect the views or opinions of Riot Games or anyone officially involved in producing or managing Riot Games properties. Riot Games, and all associated properties are trademarks or registered trademarks of Riot Games, Inc.
TFT Report was created under Riot Games' "Legal Jibber Jabber" policy using assets owned by Riot Games. Riot Games does not endorse or sponsor this project.
제13조 (서비스의 제한 사항 및 데이터 이용 정책)
서비스는 Riot Games API 정책 및 「개인정보 보호법」을 준수하기 위해 다음 사항을 구조적으로 제한합니다.
- 실시간 상대방 추적·로딩 화면 중 상대 정보 노출 없음
- 게임 중 실시간 어드바이스 없음 (사후 분석만 제공)
- 처방형 코칭·실력 향상 보장·승률 개선 약속 일체 없음 (데이터 비교·관찰만 제공)
- 전설(Legend) 및 전설 기반 증강의 승률 노출 없음
- 증강체(Augment) 심층 분석 미지원 (Riot 정책 및 데이터 제공 방식에 따라)
- 외부 사이트 스크래핑 없음 (Riot 공식 API 데이터만 사용)
제14조 (개인정보처리방침의 변경)
본 개인정보처리방침은 법령·정책·서비스의 변경에 따라 내용이 변경될 수 있으며, 변경 시 서비스 내 공지사항을 통해 변경 효력 발생 최소 7일 전(중요한 변경의 경우 30일 전)에 고지합니다.
- 시행일: [시행일 TODO]
- 변경 이력: [변경 이력 TODO]
본 방침은 「개인정보 보호법」 제30조에 따른 개인정보처리방침으로서, 동법 제15조(수집·이용), 제17조(제공), 제21조(파기), 제35조~제37조(정보주체의 권리), 제28조의8(국외 이전) 등의 요구 사항을 반영하였습니다.