Privacy Policy

This Privacy Policy aims to protect user rights and ensure transparent handling of personal data in accordance with the Personal Information Protection Act and other relevant laws, for the internet services provided by IAID Inc. ("Company") and the website operated by the Company (https://iaidimage.co.kr, hereinafter "Website"). This policy is effective from August 19, 2025.

Article 1 [Items of Personal Information Collected]

①      During membership registration, payment, or service usage, the Company may collect the following personal information:

1. When registering: Name, Email, Password
2. During payment: Payment method details (Card/Account, PayPal, etc.), Transaction details (Approval number, Amount, Date and Time)
3. While using services: Uploaded medical DICOM data, Log records (Usage timestamps, Error logs, etc.), IP address, Device information
4. When making inquiries or exercising rights: Request content, Contact info (Email, etc.), Documents to verify the user or agent (if necessary)

②      Sensitive Information (Health Information): Uploaded medical DICOM data may contain health-related sensitive information and will only be processed within the scope of explicit user consent.

Article 2 [Purpose and Legal Basis for Processing Personal Information]

①      The Company uses collected personal information only for the following purposes:

1. Service provision: Medical data analysis, Result generation/provision, Credit payment processing, Result downloads, etc.
2. Member management: Identity verification, Prevention of misuse/incidents, Usage history tracking, Announcements/Notifications
3. Billing: Payment/refund/overpayment handling, Payment history management
4. Service quality improvement and research: Error analysis, Statistics/analytics, New feature development (using anonymized or pseudonymized data when applicable)
5. Legal compliance and dispute resolution: Compliance with legal obligations for retention/submission, Handling complaints/disputes

②      Legal basis for processing: The Company processes personal information within the bounds permitted by relevant laws such as user consent, contract fulfillment, legal obligations, and legitimate interest. Sensitive information is processed based on the user’s explicit consent.

Article 3 [Retention and Usage Period of Personal Information]

①      In principle, the Company deletes personal information without delay once the processing purpose is achieved. However, information may be retained for the following periods as required by law or for dispute resolution:

1. Member account information: Deleted immediately upon account deletion
2. Payment information: Retained for 5 years in accordance with the Act on Consumer Protection in Electronic Commerce
3. Log records (e.g., access logs): Retained for at least 3 months under the Protection of Communications Secrets Act
4. Medical analysis results/processed files:

○        SarcInsight L3 Service: Results are not stored on the server

○        SarcInsight Auto Service: Results are stored for 3 years and automatically deleted thereafter

Article 4 [Provision of Personal Information to Third Parties]

①      The Company does not provide personal information to third parties without user consent, except in the following cases:

1.         Payment Processing

○        PortOne, KG Inicis, PayPal, and other PG providers separately announced by the Company

○        Provided data: Payment method details, Transaction amount, Approval number, and other essential info for payment

○        Purpose: Payment approval, Settlement, Refund handling

○        Retention period: As per related laws (e.g., Electronic Commerce Act)

2.         Cloud Storage Operation

○        Amazon Web Services (AWS Seoul region)

○        Provided data: Required personal data and log information for service operation

○        Purpose: Service provision and infrastructure operation

3.         Requests under applicable laws

○        When requested by law enforcement, courts, or other regulatory authorities

②      If new third-party provisions arise, the Company will notify users in advance and obtain consent (except where exempt by law).

Article 5 [Outsourcing of Personal Information Processing]

①      The Company outsources the following personal information processing for service provision:

1. PortOne / KG Inicis / PayPal / Other announced PG providers: Payment approval, Settlement, Refund processing
2. Amazon Web Services (AWS, Seoul region): Service website operation and infrastructure for data processing (including logs/metadata)

②      Original DICOM data is stored on local servers in Seoul, Korea, and is not transferred overseas.

③      The Company complies with the Personal Information Protection Act when signing outsourcing contracts, including supervision of entrusted parties.

Article 6 [Procedures and Methods for Destruction of Personal Information]

①      The Company shall, without delay, destroy the relevant personal information when the retention period has expired or the purpose of processing has been achieved.

②      Electronic files shall be permanently deleted in an irrecoverable manner, and printed materials shall be destroyed by shredding or incineration.

Article 7 [User Rights and How to Exercise Them]

①      Users may request access, correction, deletion, suspension of processing, or withdrawal of consent (i.e., account deletion) at any time.

②      Requests may be submitted via the Data Protection Officer's email, and the Company will notify the user of the result within 10 days.

③      The Company may request additional documents to verify identity or legal representative. If the request is denied due to legal grounds, the reason and appeal process will be provided.

Article 8 [Cookies and Log File Handling]

①      The Company may use cookies to enhance service convenience and quality.

②      Users can disable cookie storage via browser settings; however, some services may be limited as a result.

③      Web analytics tools may be used as needed, with separate notifications provided on the website regarding purpose, items collected, and retention periods.

Article 9 [Data Protection Officer]

①      The Company appoints a Data Protection Officer to oversee privacy responsibilities and manage complaints and damage relief related to personal information:

1. Name: Jeongjin Lee
2. Position/Title: CEO
3. Contact: leejeongjin@iaidimage.com

Article 10 [Overseas Transfer of Personal Information]

①      The Company's website servers use AWS Seoul region, and personal data is not transferred overseas.

②      Medical DICOM data is stored in local servers in Seoul, Republic of Korea.

③      When global users access from their own countries, minimal information (e.g., IP address, access logs) may pass through international networks during transmission.

Article 11 [Measures to Ensure the Security of Personal Information]

①      The Company implements the following technical, administrative, and physical safeguards to ensure the safety of personal data:

1. Access control: Firewall, Access authority management, Principle of least privilege, Account/session control
2. Encryption: Protection of transmission paths (HTTPS/TLS), Encryption of passwords and sensitive data
3. Retention and integrity of access records: Logging of key processing history, Integrity assurance measures
4. Countermeasures against malicious code and vulnerabilities: Antivirus and patch management, Regular vulnerability checks and simulated training

개인정보 처리방침

본 개인정보 처리방침은 (주)아이에이드(이하 “회사”)가 제공하는 인터넷 서비스 및 회사가 운영하는 웹사이트(https://iaidimage.co.kr, 이하 “홈페이지”)에서 「개인정보 보호법」 및 기타 관련 법령에 따라 이용자의 권리를 보호하고 개인정보를 투명하게 처리하기 위한 것입니다. 본 방침은 2025년 8월 19일부터 시행됩니다.

제1조 [수집하는 개인정보 항목]

① 회사는 회원가입, 결제, 서비스 이용 과정에서 다음의 개인정보를 수집할 수 있습니다.

1. 회원가입 시: 이름, 이메일, 비밀번호
2. 결제 시: 결제수단 정보(카드/계좌, PayPal 등), 거래내역(승인번호, 금액, 일시)
3. 서비스 이용 시: 업로드된 의료 DICOM 데이터, 로그 기록(이용 시각, 오류 로그 등), IP 주소, 기기 정보
4. 문의 또는 권리 행사 시: 요청 내용, 연락처(이메일 등), 사용자 또는 대리인 확인 서류(필요한 경우)

② 민감정보(건강정보): 업로드된 의료 DICOM 데이터에는 건강 관련 민감정보가 포함될 수 있으며, 이는 이용자의 명시적 동의 범위 내에서만 처리됩니다.

제2조 [개인정보 처리 목적 및 법적 근거]

① 회사는 수집한 개인정보를 다음의 목적에 한정하여 이용합니다.

1. 서비스 제공: 의료 데이터 분석, 결과 생성/제공, AI 분석권 결제 처리, 결과 다운로드 등
2. 회원 관리: 본인 확인, 부정 이용/사고 방지, 이용 이력 관리, 공지/알림
3. 결제 관리: 결제/환불/과오납 처리, 결제 내역 관리
4. 서비스 품질 개선 및 연구: 오류 분석, 통계/분석, 신규 기능 개발(필요 시 익명화·가명처리된 데이터 활용)
5. 법적 의무 준수 및 분쟁 해결: 법령에 따른 보관/제출, 민원/분쟁 처리

② 처리의 법적 근거: 회사는 이용자의 동의, 계약 이행, 법적 의무 준수, 정당한 이익 등 관련 법령에서 허용된 범위 내에서 개인정보를 처리합니다. 민감정보는 이용자의 명시적 동의에 따라 처리합니다.

제3조 [개인정보의 보유 및 이용 기간]

① 회사는 원칙적으로 개인정보 처리 목적이 달성되면 지체 없이 해당 정보를 파기합니다. 다만, 법령상 보존 의무 또는 분쟁 해결 등을 위해 다음과 같이 보관할 수 있습니다.

1. 회원 계정 정보: 탈퇴 시 즉시 삭제
2. 결제 정보: 전자상거래법에 따라 5년간 보관
3. 로그 기록(접속 기록 등): 통신비밀보호법에 따라 3개월 이상 보관
4. 의료 분석 결과/처리 파일:

○ SarcInsight L3 서비스: 서버에 저장되지 않음

○ SarcInsight Auto 서비스: 3년간 저장 후 자동 삭제

제4조 [개인정보의 제3자 제공]

① 회사는 이용자의 동의 없이 개인정보를 제3자에게 제공하지 않습니다. 다만, 다음의 경우는 예외로 합니다.

1. 결제 처리

○ PortOne, KG Inicis, PayPal 등 회사가 별도로 고지한 PG사

○ 제공 항목: 결제수단 정보, 거래 금액, 승인번호 등 필수 결제정보

○ 이용 목적: 결제 승인, 정산, 환불 처리

○ 보관 기간: 전자상거래법 등 관련 법령에 따름

2. 클라우드 저장소 운영

○ Amazon Web Services (AWS 서울 리전)

○ 제공 항목: 서비스 운영에 필요한 개인정보 및 로그 정보

○ 이용 목적: 서비스 제공 및 인프라 운영

3. 법령에 따른 요청

○ 수사기관, 법원, 규제기관의 요청이 있는 경우

② 새로운 제3자 제공이 발생하는 경우, 회사는 사전 공지 후 동의를 받습니다(법령에 따라 예외되는 경우 제외).

제5조 [개인정보 처리의 위탁]

① 회사는 서비스 제공을 위해 다음과 같이 개인정보 처리 업무를 위탁할 수 있습니다.

1. PortOne / KG Inicis / PayPal 등: 결제 승인, 정산, 환불 처리
2. Amazon Web Services (AWS, 서울 리전): 서비스 운영 및 데이터 처리(로그/메타데이터 포함)

② 원본 DICOM 데이터는 서울 소재 로컬 서버에 저장되며 국외로 이전되지 않습니다.

③ 회사는 개인정보 보호법에 따라 위탁계약 체결 시 수탁자에 대한 관리·감독 의무를 준수합니다.

제6조 [개인정보의 파기 절차 및 방법]

① 보유기간이 경과하거나 처리 목적이 달성된 경우 회사는 지체 없이 해당 개인정보를 파기합니다.

② 전자적 파일은 복구 불가능한 방식으로 영구 삭제하며, 종이 문서는 파쇄 또는 소각하여 파기합니다.

제7조 [이용자의 권리 및 행사 방법]

① 이용자는 언제든지 본인 확인 후 개인정보 열람, 정정, 삭제, 처리 정지, 동의 철회(계정 삭제 포함)를 요청할 수 있습니다.

② 요청은 개인정보 보호책임자 이메일을 통해 접수할 수 있으며, 회사는 10일 이내에 처리 결과를 통지합니다.

③ 회사는 본인 확인을 위해 추가 서류를 요구할 수 있으며, 법적 사유로 거절 시 사유 및 불복 절차를 안내합니다.

제8조 [쿠키 및 로그파일 처리]

① 회사는 서비스 편의성 및 품질 향상을 위해 쿠키를 사용할 수 있습니다.

② 이용자는 브라우저 설정을 통해 쿠키 저장을 거부할 수 있으나, 일부 서비스 이용이 제한될 수 있습니다.

③ 웹 분석 도구 사용 시 목적, 수집 항목, 보관 기간을 홈페이지를 통해 별도로 안내합니다.

제9조 [개인정보 보호책임자]

① 회사는 개인정보 보호책임자를 지정하여 개인정보 보호업무 및 불만 처리, 피해 구제를 총괄합니다.

1. 성명: 이정진
2. 직위/직책: 대표이사
3. 연락처: leejeongjin@iaidimage.com

제10조 [개인정보의 국외 이전]

① 회사의 웹사이트 서버는 AWS 서울 리전을 사용하며, 개인정보는 국외로 이전되지 않습니다.

② 의료 DICOM 데이터는 대한민국 서울의 로컬 서버에 저장됩니다.

③ 해외 이용자가 접속하는 경우, IP 주소, 접속 로그 등 최소한의 정보가 전송 과정에서 국제 네트워크를 경유할 수 있습니다.

제11조 [개인정보의 안전성 확보 조치]

① 회사는 개인정보의 안전성을 확보하기 위하여 다음과 같은 기술적·관리적·물리적 조치를 시행합니다.

1. 접근통제: 방화벽, 접근권한 관리, 최소권한 원칙, 계정/세션 관리
2. 암호화: 전송구간 보호(HTTPS/TLS), 비밀번호 및 민감정보 암호화
3. 접근 기록의 보관 및 무결성: 주요 처리 이력 기록 및 무결성 확보 조치
4. 악성코드/취약점 대응: 백신 및 패치 관리, 정기적인 취약점 점검 및 모의훈련