privacy

DimiCheck 개인정보 처리방침

디미체크 운영팀(이하 “운영팀”)은 「개인정보 보호법」, 「정보통신망법」, 「청소년 보호법」 등 대한민국 관련 법령을 준수하며 학급 출결·채팅·개발자 API 등 모든 기능에서 취급되는 개인정보를 안전하게 처리합니다. 본 방침은 웹앱 https://chec.kro.kr 및 연결된 API·보드·교사용 도구 전체에 적용됩니다.

시행일: 2025.11.26 버전: v1.1 문의: hjun1052@dimigo.hs.kr

처리 목적 디미고 학급 출결·보드·채팅·일정 운영, 교사용 현황판, OAuth 및 개발자 API 제공

주요 항목 이름, 학교 이메일, 학년·반·번호, 세션·Remember 토큰, 채팅·보드·투표·루틴·캘린더 기록, API 키·OAuth 로그

보유 기간 세션 30일(교사용 세션 12h/최대 30일), OAuth Refresh 90일, 채팅은 학사연도 내, 기타 학급 데이터는 학급 운영 종료·담당자 요청 시 삭제

권리 행사 계정 페이지(연 1회 정정), 직접 삭제 가능한 채팅/이모티콘, 이메일을 통한 삭제·정정·동의철회·법정대리인 요청

1. 총칙 및 적용 범위

운영팀은 「개인정보 보호법」 제30조에 따라 이용자에게 다음 사항을 고지하며, 본 방침을 디미체크 로그인 페이지와 /privacy 경로에 상시 공개합니다. 방침은 학생·교사·개발자 계정을 포함한 모든 이용자에게 동일하게 적용됩니다.

적용 서비스: 디미체크 웹앱, 실시간 보드, 교사용 대시보드, 채팅·투표·캘린더, Presence/Public API, OAuth 서비스
법적 근거: 개인정보 보호법 제15조(처리 목적), 제17조(제3자 제공), 제26조(위탁), 제39조의6(청소년 보호) 등
위치 정보, 생체 정보 등 민감정보는 처리하지 않으며, 학급 운영에 필요한 최소한의 식별·기록 정보만을 수집합니다.

2. 수집 항목 및 수집 방법

구분	수집 항목	수집 방법·처리 목적	보유 기간
회원 식별 및 로그인	이름, 학교 이메일(@dimigo.hs.kr), 학년·반·번호, 사용자 유형(학생/교사), OAuth 식별자, 계정 생성·수정 시각(last_profile_update)	Google OAuth 또는 auth.dimigo SSO 연동 후 회원가입/로그인, 계정 페이지에서 연 1회 정정	서비스 이용 종료 또는 탈퇴 요청 시까지
세션·인증 보조	세션 ID, CSRF 토큰, Remember me 토큰(랜덤값 + device info(User-Agent)), 교사용/보드용 세션 상태, GA4 client id(UUID), OAuth 인증 코드/Refresh Token	로그인 유지, CSRF 방지, 교사용 PIN/보드 접근 검증, OAuth 클라이언트 권한 부여	세션 최대 30일, 교사용 세션 12시간(기억하기 시 최대 30일), Remember me 30일, OAuth Refresh Token 90일, 인증 코드는 5분
서비스 이용 데이터	학급 보드 상태(ClassState: 좌석 위치/반응/생각, 타임스탬프), 채팅 메시지/이미지 URL/답글/닉네임/삭제 여부, 아바타(색상·이모지 JSON), 커스텀 이모티콘 이름·URL·작성자, 투표 질문·보기·응답(학생 번호), 급식 투표(날짜·찬반·학생 번호), 일정 제목·설명·날짜·작성자, 루틴·창동 참가 번호, API 키 라벨·키 값·활성화 여부·사용량(분/일 카운트, 연속 사용 일수), OAuth 클라이언트(이름, redirect URI, scope, 시크릿 회전 시각)	학급 운영(보드/채팅/투표/일정/루틴), 교사 확인, 남용·중복 투표 방지, 삭제/신고 시 감사 추적, 개발자 API 발급·사용량 제한, OAuth 클라이언트 관리	채팅 메시지는 학사연도 시작점 이전 데이터 자동 정리, 이용자가 삭제 시 즉시 표시 제거 학급 상태/루틴/투표/캘린더/아바타·이모티콘/투표 기록·API 키는 학급 운영·키 사용 기간 동안 보관 후 새 학년도 초기화·담당자 요청 시 삭제
자동/필수 수집	요청 ID(UUID), 요청 경로·메서드·응답 코드, 로그인 여부·user_id(선택), Socket.IO 네임스페이스, Prometheus 지표, Google Analytics 4 이벤트(경로/메서드/응답/로그인 여부)	무단 접근 차단, 성능 모니터링, 지표 집계, 장애 대응, API 남용 방지	GA4는 Google 계정 보관 기간에 따름(기본 14개월), 애플리케이션 DB에는 IP를 저장하지 않음
외부 연동	Google OAuth 제공 이름·이메일, auth.dimigo.net이 전송하는 학번, Google Sheets에서 불러오는 학급 설정(학년·반·마지막 번호·건너뛰기·PIN), NEIS 급식/시간표 조회 시 학년·반, KLIPY GIF 검색(검색어는 클라이언트→제공사), img.codz.me 업로드 URL, Google Analytics 4	간편 로그인, 학급 설정 불러오기, 급식·시간표 표시, GIF 검색·이미지 첨부(파일은 외부 서버에 저장), 이용 통계 측정	외부 사업자 정책에 따름. 운영팀 DB에는 URL·메타데이터만 저장하며, 원본 파일은 제3자 서버/캐시에만 보관

수집 방법: 홈페이지/모바일 UI 입력, 교사용 PIN 인증, 자동수집 스크립트, API 키 발급, 문의·신청 메일, 운영팀이 학사관리 목적상 직접 입력하는 경우.

3. 개인정보 이용 목적 및 보유 기간

본인 확인 및 접근 제어: Google/Auth.dimigo SSO, 세션·Remember 토큰, 교사용 PIN 검증, OAuth 클라이언트 승인.
학급 운영: 보드 상태/반응, 채팅·이미지 URL, 닉네임·아바타, 일정·루틴, 투표·급식 투표, 커스텀 이모티콘 관리.
개발자·통합 기능: API 키 발급·사용량 제한(APIRateLimit, streak), OAuth 클라이언트 등록·시크릿 회전.
분석·보안: 요청 ID 기반 로그, Prometheus 지표, GA4 이벤트 전송, CSRF/Rate limit으로 남용 방지.

채팅은 학사연도 기준으로 자동 정리되며, 세션·Remember 토큰·OAuth 토큰은 만료 시 삭제됩니다. 기타 학급 데이터와 API 키·클라이언트 정보는 서비스 제공 기간 동안 보관 후 새 학년도 초기화 또는 담당 교사/이용자 요청 시 삭제합니다.

4. 제3자 제공·처리 위탁·국외 이전

4-1. 제3자 제공

담임/교사에게 학급 출결·보드 현황을 교내 계정으로 제공 (교사 권한 확인 후 제한된 범위만 열람).
Public API는 클래스별 통계·루틴 등 익명화된 정보만 응답하며, 이름·이메일 등 직접 식별 정보는 포함하지 않습니다.
법령에 따른 요청(수사기관·학교 행정요청 등)이 있을 때에는 최소 범위 내에서 제출합니다.
그 외 상업적·마케팅 목적으로 제3자에게 판매·공유하지 않습니다.

4-2. 처리 위탁 및 국외 이전

수탁자 / 이전국가	위탁 업무 및 이전 항목	이전 시점·방법 / 보호조치
Google LLC (미국/EU)	OAuth 2.0 인증(이름·이메일), Google Sheets 서비스 계정으로 학급 설정 불러오기(학년·반·마지막 번호·skip_numbers·PIN), Google Analytics 4 사용 통계	로그인/시트 조회/측정 시 TLS 암호화 전송, 서비스 계정 키 비공개 보관, GA4는 Google 보존 정책 및 콘솔 설정에 따름
img.codz.me (당사) 및 Cloudflare (미국/EU)	채팅 이미지 업로드(파일은 별도 서버·캐시에 저장, 본 서비스 DB에는 URL만 저장)	사용자가 업로드 시 TLS 전송, 요청 시 URL 삭제 가능
KLIPY / GIF 제공사	클라이언트에서 GIF 검색 시 검색어·선택한 GIF가 제공사로 전송	API 키는 서버가 전달, 검색 트래픽은 클라이언트→제공사 TLS 전송
NEIS 급식·시간표 API	급식·시간표 조회 시 학년·반 정보 전송(학생 개별 식별자는 포함하지 않음)	API 호출 시 TLS 전송, 응답은 당일 캐시 후 삭제

위탁 업체나 국외 이전 대상이 추가·변경될 경우 사전 공지와 동의를 받습니다.

5. 이용자 및 법정대리인의 권리

열람/사본: 계정 페이지 또는 이메일 요청 시 본인 정보를 열람·내려받을 수 있습니다.
정정/삭제: /account에서 연 1회 학번·이름을 수정 가능, 채팅·커스텀 이모티콘은 본인이 직접 삭제 가능, 기타 항목은 이메일로 요청 시 10영업일 이내 처리
처리 정지·동의 철회: 서비스 이용 제한에 대한 안내 후 처리 중단/탈퇴를 요청할 수 있습니다.
법정대리인: 재학생의 법정대리인은 학생 본인 또는 담임 교사 경로로 본인 확인 후 권리를 행사할 수 있습니다.
권리행사 절차: 이메일 접수 → 본인/대리인 확인 → 처리 결과 회신(전자우편). 거절 시 사유와 구제수단을 안내합니다.

6. 개인정보 파기 절차 및 방법

만료·요청·새 학년도 개시 시 파기 대상 선정 (세션/토큰 만료, 채팅 학사연도 경과, API 키 삭제 등).
DB 데이터는 삭제 플래그 또는 직접 삭제(SQL)로 처리하며, 외부 저장소(URL)도 요청 시 삭제를 전달합니다.
백업은 인프라 기본 로테이션 정책에 따르며, 물리 매체가 있을 경우 파쇄·디가우징합니다.

법령상 보존 의무가 있는 항목이 발생할 경우 별도 분리 보관 후 목적 달성 즉시 파기합니다.

7. 안전성 확보 조치

세션 쿠키 Secure/HttpOnly/SameSite=Lax 설정, Remember me 토큰은 난수화 후 서버 DB에 보관.
교사용 PIN은 환경 변수로만 검증하며, DB에 저장하지 않습니다.
접근권한 최소화: 운영 계정만 DB 접근, API 키 발급 시 사용자별 rate-limit/스코프 제어.
전송 구간 TLS 암호화, CSRF 토큰 발급, 요청별 UUID 로깅으로 위·변조 탐지.
Prometheus 지표·로그·GA4를 통한 트래픽 감시, Rate limit로 남용 차단.
Google Service Account 키는 서버 비공개 영역에 보관하며, 노출 시 즉시 회전합니다.

8. 쿠키 및 유사 기술

세션 쿠키: 로그인 상태 유지 (브라우저 종료 시 만료).
dimicheck_remember: 사용자가 “로그인 유지”를 선택한 경우 30일간 저장, 취소 시 즉시 삭제.
교사용 세션: 최대 12시간(기억하기 선택 시 30일) 동안 브라우저별 세션에 보존.
Google Analytics 4 (gtag.js)로 서비스 이용 이벤트가 전송될 수 있으며, Google이 제공하는 분석 쿠키가 설정됩니다.

대부분의 브라우저 설정에서 쿠키 저장을 거부하거나 삭제할 수 있으나, 세션 쿠키를 차단하면 로그인 기능이 제한됩니다.

9. 공개 범위 및 학생 커뮤니티 안내

학급 보드·채팅·투표는 동일 학급 학생 및 권한이 부여된 교사만 열람·작성 가능합니다.
Public API 응답은 학급 상태·루틴·캘린더 요약을 익명·집계 형태로 제공하며, 이름·이메일 등 직접 식별 정보는 포함하지 않습니다.
사용자가 자발적으로 게시물에 민감 정보를 넣지 않도록 주의가 필요하며, 교사 신고 또는 운영팀 검토 시 즉시 삭제합니다.
미성년자 보호: 14세 이상의 재학생을 대상으로 하나, 사용 중 비속어·개인정보 노출이 감지되면 이용제한 등 청소년 보호조치를 시행합니다.

10. 개인정보 처리방침 변경

법령·서비스 변경에 따라 본 방침을 개정하는 경우, 시행 최소 7일 전에 로그인 페이지 공지 및 본 문서 최상단에 개정 사실과 시행일을 명시합니다. 이용자 권리에 중대한 변경이 있을 때에는 최소 30일 전에 별도 동의 절차를 진행합니다.

연혁

2025.11.26 v1.1 - 실제 수집 항목(세션/GA4/보드·채팅/개발자 API) 및 제3자 연동 내용 반영
2025.11.25 v1.0 - DimiCheck 개인정보 처리방침 최초 게시

11. 개인정보 보호책임자 및 문의

개인정보 보호책임자
한준혁 (DimiCheck 운영팀)
이메일: hjun1052@dimigo.hs.kr

개인정보 민원 접수
메일 제목에 [개인정보 요청] 표기 → 사실 확인 → 10영업일 이내 회신
학교 행정실 또는 담임 교사를 통한 오프라인 민원도 가능합니다.

외부 구제방법
개인정보침해신고센터 (118), 개인정보분쟁조정위원회 (1833-6972), 대검찰청 사이버수사과 (1301) 등