고객정보
보안관리 약정서

2026. 06. 04
가맹점(이하 '위탁자'라 한다)과 주식회사 스타펙스(이하 '수탁자'라 한다)는 상호 업무상 제공·활용하는 고객의 개인(신용)정보에 대한 보안관리 약정(이하 '본 약정'이라 한다)을 위탁자와 수탁자 간 체결하는 "고객정보 보안관리 약정서"(이하 '기본계약'이라 한다)에 추가하여 다음과 같이 체결한다.

제1조 (목적)

본 약정은 관계법령이 허용하는 범위 내에서 '위탁자'가 '수탁자'에게 개인(신용)정보 처리 업무를 위탁함에 따라 '수탁자'(위탁받은 업무를 다시 위탁받은 제3자를 포함한다)에게 상호 업무상 제공·활용하는 고객정보에 대한 보안관리 대책과 책임사항을 명확히 규정함으로써 고객정보주체를 보호하고 상호신뢰를 확보하는 데에 그 목적이 있다.

제2조 (용어의 정의)

  1. '개인(신용)정보'란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함)를 말한다.
  2. '처리'란 개인(신용)정보의 수집(조사를 포함한다), 생성, 연계, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 결합, 제공, 공개, 파기 그 밖에 이와 유사한 행위를 말한다.
  3. 본 약정에서 별도로 정의되지 아니한 용어는 그 문맥에 반하지 않는 한 「개인정보 보호법」, 「신용정보의 이용 및 보호에 관한 법률」 등 관련 법령 및 시행령·시행규칙 등에서 정의된 바에 따른다.

제3조 (위탁하는 고객정보의 범위 및 이용목적)

'위탁자'가 '수탁자'에게 위탁하는 고객의 개인(신용)정보(이하 '고객정보'라 한다)는 다음 각 호와 같다.

  1. 개인(신용)정보 위탁항목
    • 가. 청구서 발송 및 관리, 수납정보, 고객상담: 받는사람 이름, 휴대전화번호, 청구사유, 청구금액, 결제정보(결제일시, 승인번호, 결제금액, 결제수단, 카드번호(마스킹), 할부개월, 카드사/계좌, 현금영수증 고객식별번호(마스킹))
    • 나. 학생 관리: 학생 정보(고객식별아이디, 이름, 휴대전화번호, 생년월일, 학원입학일), 보호자 정보(대표보호자 휴대전화번호, 보호자 휴대전화번호)
    • 다. 출결 관리 및 출결 메시지 발송: 학생 정보(고객식별아이디, 이름, 출결연락처, 등하원일시), 보호자 정보(보호자 휴대전화번호)
    • 라. 현금영수증발급: 고객 정보(이름), 발급 정보(품목, 금액, 현금영수증발급수단 번호(휴대전화번호 또는 사업자등록번호))
    • 마. AI 챗봇 상담 서비스: 상담 입력 내용(이름, 사업자등록번호, 연락처, 문의 내용). 단, Zero Data Retention(ZDR) 정책에 따라 입력 데이터는 학습 미사용 및 제한적 보관 정책이 적용된다.
  2. 개인(신용)정보의 위탁이용목적: 청구서 관리 및 발송, 학생 관리, 출결 관리 및 출결 메시지 발송, 현금영수증 발급, AI 챗봇 상담 서비스 제공

제4조 (업무목적 외 사용 금지 및 제3자 제공 금지)

  1. '수탁자'는 위탁받은 고객정보를 이용목적에 해당하는 업무 외에 다른 용도로 이용할 수 없으며, 제3자에게 임의로 제공 또는 누설하여서는 안 된다.
  2. '수탁자'는 '위탁자'로부터 제공받은 고객정보를 '위탁자'의 사전동의 없이 업무 목적 외로 열람(또는 검색)하거나 다른 매체로 저장·출력·복사·가공하여서는 아니 된다.
  3. '수탁자'는 '위탁자'로부터 제공받은 고객정보를 인공지능(AI) 모델의 학습(training), 파인튜닝(fine-tuning), 벤치마킹(benchmarking), 평가(evaluation), 테스트(test) 등의 목적으로 활용하여서는 아니 된다.
  4. '수탁자'는 서비스 제공을 위해 외부 AI 서비스를 활용하는 경우, 해당 AI 서비스 제공사와 Zero Data Retention(ZDR)이 포함된 정책 문서를 통해 고객정보가 학습에 활용되지 않도록 하여야 한다.

제5조 (고객정보의 보안관리 의무)

  1. '수탁자'는 고객정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 관계 법령에서 정한 기술적·관리적·물리적 보호조치를 취하여야 한다.
  2. '수탁자'는 고객정보에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 제한하고, 접근기록을 보관·관리하여야 한다.
  3. '수탁자'는 고객정보를 처리하는 임직원에 대하여 비밀유지의무를 부과하고 정기적으로 교육을 실시하여야 한다.

제6조 (재위탁의 제한)

'수탁자'는 '위탁자'의 사전 서면 동의 없이 위탁받은 업무를 제3자에게 재위탁할 수 없다. 다만, 사전 동의를 받아 재위탁하는 경우 '수탁자'는 재위탁받는 자가 본 약정상의 의무를 동일하게 준수하도록 하여야 한다.

제7조 (사고의 통지 및 조치)

'수탁자'는 고객정보의 분실·도난·유출 등 보안사고가 발생하거나 발생할 우려가 있는 경우 지체 없이 '위탁자'에게 통지하고, 피해의 확산 방지 및 복구를 위하여 필요한 모든 조치를 취하여야 한다.

제8조 (손해배상)

'수탁자'가 본 약정을 위반하여 '위탁자' 또는 고객정보주체에게 손해를 입힌 경우, '수탁자'는 그 손해를 배상할 책임을 진다.

제9조 (약정의 효력 및 기간)

  1. 본 약정은 기본계약의 체결일로부터 효력이 발생하며, 기본계약이 유효하게 존속하는 기간 동안 함께 효력을 가진다.
  2. 본 약정에서 정하지 아니한 사항은 기본계약 및 관계 법령에 따른다.

시행일: 2026. 06. 04

수탁자: 주식회사 스타펙스(Stapex inc.) · 경기도 시흥시 승지로 54 · 사업자등록번호 840-86-02564