[Chapter 10] 서비스 정책서와 요구사항 정의서 (PRD)

1️⃣ 문화, 역사, 인프라가 서비스 기획에 영향을 끼치는 이유

• 통신 인프라가 열악한 지역에서 와이파이 키를 알려주는 서비스가 자리를 잡음
• 통신 인프라가 잘 자리잡힌 우리나라는 영상 스트리밍 플랫폼이 자리를 잡음
  • 이때, 트래픽을 너무 많이 잡아먹는 등의 이유로 인터넷 통신망법이 개정된다고 했을때, 기준이 국내 통 트래픽에 1%가 적용대상이라면 1%에 아슬아슬하게 걸친 서비스의 서비스기획자는 사용자 경험을 해치지 않고 최대한 1% 넘지 않을 수 있는 방법을 생각해야함.
• 중국은 카드 이용률이 낮아 카드 포스기가 많이 없고, 독점적인 카드사의 수수료를 우회와 언어의 다양성때문에 QR코드 시장이 발달
• 아자르는 영상기반 데이팅시스템을 서비스 함.
  • 중동지역에서 실내에서 히잡 없이 편안하게 영상통화는 할 수 있어 입소문을 타서 인기를 얻음
• 밸런스히어로는 선불제 휴대폰 유저를 위한 모바일 소액 충전 시스템을 서비스함.
  • 인도를 타겟으로 서비스 개발
  • 인도인 대부분은 신용도 때문이지 선불제 휴대폰을 사용하고, 주급을 받다보니 조금씩 충전하는 것을 선호 함.
  • 인도인 중 아이폰 유저가 적어 안드로이드만 서비스 함.
• 블라블라카는 장거리 여행공유에 특화 된 차량공유를 서비스.
  • 유럽의 여행문화가 많이 발전되어있는 나라를 넘는 장거리 여행이 많음
• 11번가는 현지의 배송인프라와 주소체계를 이해하지 못하고 동남아를 진출하여 실패함.
• 구글 인앱결제 방지법으로 인앱에서의 결제를 강제할 수 없게 되었고, 서비스 기획자들을 구글이나 애플의 수수료를 피할 수 있는 웹에서의 결제를 유도함
• 우리나라는 결제 인프라
  • 오프라인은 수수료를 주고 van사를 통해 승인을 받고 카드사와 쇼핑몰이 연결
  • 온라인은 PG를 통해 결제하여 van사를 통해 승인 요청을 함
    • 서비스 기획자는 서비스에 PG 모델을 붙일때, 어떤 것을 붙여야 좋을지 특성과 가격을 보고 고민해야 함

 

---

2️⃣ 서비스 정책서 작성을 위해 고려해야할 법률

• 불가항력적 요소(관련 법령, 외부환경(생태계, 경쟁사), 내부 환경 및 리소스)를 고려하며 정책을 결정하고 문서로 작성
• 작성된 정책으 문서를 공유하며 합의를 이룰 때까지 수정 및 피드백을 반복

법령 및 직업 윤리 교육의 필요성 

• 서비스 기획자는 현행법을 준수하며 정책을 만들고 가치판단을 해야함
• 하나만 아니라 여러개가 엮여있거나 시행령을 계속 봐야하는 경우도 종종 있음

🔷 커머스 서비스를 기획하기 위한 기본, 전자상거래법

서비스가 규정할 것에 맞게 소비자 보호를 위에 지켜야하는 법률

최근에는 중개업자에게도 적용

 

🔷 데이터 3법으로 바뀌는 미래와 서비스 기획

🔸 개인정보 보호법

개인정보를 받고 시간이 지나면 파기하는 등 의무를 지님

유출 시 브랜드 평판 저하 및 고소 위험성이 높아질 수 있음

 

🔸 데이터 3법 주요 내용

개인정보 보호법 + 신용저보법 + 정보통신망법의 중복규제를 없애고

개인정보와 개인정보가 아닌 정보를 구분해서 가명정보를 활용하여 데이터를 활용

가명 정보는 개인 정보라고 볼 수 없음으로 주체 동의없이 통계 분석에 활용 가능

 

특징

1. 특정 개인을 알아볼 수 없는 '가명정보' 개념 도입
2. 개인 정보 유출등을 감독기구를 개인정보보호위원해로 일원화하여 체계적으로 효율화 함
3. 특정 개인을 알 수 있는 정보 활용 시 필수 안전 조치를 명확히 하여 개인정보처리자의 책임 강화
4. 개인 정보의 범위를 명확히 함

마이데이터 산업을 통해 정부 주체가 동의를 하면 기업이 상황에 맞게 개별적, 개인화 된 서비스를 제공할 수 있음

 

---

3️⃣ 큰 IT회사에서는 꼭 거쳐야 하는 관문, ISMS(Information Security Management System)

정보 안전관리 시스템

정보 보호 정책을 짜고 위험에 대응하는 여러 보안대책을 통합적으로 관리하는 것이 목적

 

🔷 ISMS 인증 의무 대상자

 

🔷 ISMS 도입 시 서비스기획자

 

 

• 2021년부터 코인거래소에 ISMS인증을 받은 후 금융정보 분석원에 신고를 해야하는데 못받으면 특금법에 걸림
  • 특금법(특정 금융 정보법) : 외국환걸래 등 금융 거래를 이용한 자금세탁 행위와 공중 협박 자금 조달행위를 규제하는 데 필요한  특정 금융거래정보 보고 및 이용 등에 관한 사항을 규제함으로써 범죄행위를 예방하고, 투명한 금융거래 질서를 확립하는데 이바지하는 것을 목적으로 하는 법률
    
    • 금융기간에만 강제하던 자픔 세탁방지 AML과 테러자금 조달 방지  CFT의 의무를 암호화펴 거래소 등 가산 사업자에게도 부여
    • 투명한 거래소를 위한 법률적 노력 포함
    • 장기적으로 암호화폐에 신뢰도 상승에 기여

특금법 이후 해이비트

• 원이 아닌 유에스테더를 유치만해도 연이자 7% 제공하며
  • 예치 서비스 유도 이러한 전환으로 어느정도 성공
• 글로벌 서비스로 전환
  • 국내고객도 활용할 수 있지만, 영어를 기반으로 외국인 고객을 타겟

이 같은 방식으로 법률에 맞춰 서비스의 최적에 정책을 계속 찾아 서비스 발전을 해야함.

 

---

4️⃣ 해외 인증 사례 PCI-DSS, DPR

🔷 PCI-DSS(payment Card Industry-Data Security Standard) 

• 해외 지불 카드 산업 데이터 보안 표준
• 카드 소유자의 데이터를 저장, 처리, 전송하는 모든 이해 관라자가 지켜야하는 표준
• 카드 소유자 데이터 보호를 위해 만든 위원회에서 만든 평가 기준 중 데이터 부분
• 카드 소유자 데이터 + 민감 인증 데이터
• 한국에서만 서비스를 한다면 필요없지만, 해외까지 서비스를 한다면 꼭 필요 

🔷 GDPR(General Data Protection Regulation)

• 유럽 연합 일반 개인정보 보호법
• EU 회원국과에 개인정보의 자유로운 이용을 보장, 정보주체의 개인정보 권리 강화
• 기존엔 회원들과에 법이 달라 통일하여 관리
• 원칙에 의해 법적 근거를 가지고 처리
  • 적법성,
  • 공정성,
  • 투명성,
  • 목적 제한,
  • 개인정보 처리의 최소화,
  • 정확성,
  • 보관기간 제한의 원칙,
  • 무결성 및 기말성의 원칙,
  • 책임성의 원칙
• EU에 있는 정보 주체에게 서비스를 한다면 규정을 지켜야 함.
• 우리나라 데이터 3법을 활용에 포커즈하고 있지만, GDPR은 보안에 초점을 맞추고 있어 둘을 잘 조율하여 서비스를 기획한다면 이후 글로벌 시장으로 나갈때 조율을 최소화 할 수 있다.

기업은 이런 내용을 확인하여 요구 수준으로 정보 주체의 권리를 보장할 수 있도록 해야한다

 

---

5️⃣ 규제와 서비스 기획자

자기가 사업하는 분야의 세부적인 법을 잘 알아야 한다.

타다의 택시 업종와의 마찰과 여객자동차운수법에 시행으로 타다 금지법에 맞춰서 플랫폼 운송사업을 하는 업체가 나옴

 

규제를 피한 사례

플랫폼	이슈	결말
로톡	변호사법 위반 - 변호사에게 당사자 등을 소개 안선 또는 유인하는 행위 금지 - 변호사가 아니면 할 수 없는 업무를 통해 이익 분배 받는 행위 금지	기존 검색 플렛폼처럼 수수료를 받고 위에 띄움으로써 광고플랫폼일 뿐 중계하고 중계 수수료를 챙기는 중개 플랫폼이 아니므로 위법이 아니다.
강남언니	위료법 위반 가격 기재는 불법 의료광고로 소비자의 혼란을 가져옴 치료 전후 사진은 사용 광고 금지 일반일 후기도 불법광고	의료 광고 내 비급여 진료 가격, 환자 치료 전 후 사진이 합법
직방	비대면으로 부동상 정보 조회, 매매, 계약, 수리 등을 처리하는 부동산 전문가인 온텍트 파트너스는 위법
닥터나우	비대면 진료 서비스 업체로 처방전을 받으면 약사에게 보내면 약사가 집으로 보내주는 서비스는 약사법 위반	코로나로 인해 해결되어 서비스 성장했지만, 아직도 약사회와 갈등 중
삼쩜삼	세무사의 소개 알선을 금지하는 조항이 포괄적으로 적용될 여지가 있음 세무통, 찾아줘 세무사는 직접적으로 위반될 가능성이 높음
아마존	리나 칸이 주장한 플랫폼 규제 - 기업이 시장일 독점했을 때 가격을 올리지 않았다면 미국의 반독점 규제에 걸리지 않았음 - 빅테크에서는 수많은 이해관계자들의 엮에있어 단가를 말도 안되게 낮추는 등 소비자 가격만 올리지 않을 뿐 여러 회피방안이 있기 때문에 적용하면 안된다고 주장	플랫폼 독점 종식 법안 빅테크 기업들이 자기의 플랫폼을 사용하는 경쟁사에 불이익을 줄 가능성이 있는 이해관계 상충이 발생하면 미국의 법무부나 연방거래 위원회가 직접 빅테크 기업을 쪼개거나 사업부를 강제 매각 ex) 아마존에서 아마존에서 PB브랜드 우대로 타 사업체의 상품 홀대

 

---

6️⃣ 규제 샌드박스의 이해

신기술과 신서비스의 원활한 시장 진출을 지원하기 위해 혁신성과 안정성을 바탕으로 시장진출의 기회를 주거나 시간과 장소 규모의 제한을 두고 실증 테스트를 허용하는 혁신의 실험장

• 국민의 생명 안전에 위해가 되지 않는 한 새로운 시로를 도전할 수 있는 기회 부여 
• 신사업 신기술에 대해서 선허용 우 규제를 적용하요 규제체제 전환을 위해 만듦

종류로는 ICT, 금융, 산업융합이 있음.

 

🔷 사례

• 모비일 전자 고지서
• 모바일 운전 면허증
• 금융 규제 샌드박스 

샌드박스가 허가가 나지 않을 여러 상황에 대비하여 준비하는것이 기획자로서 역할

 

---

7️⃣ 서비스 약관 과 정책서

모두과 관련 도메인 및 법령 전문가가 아니어서

법무팀이 있다면 정책에대한 가이드 확인, 경쟁사의 약관, 방침, 정책 법령 확인

없다면 관련 법이 개정되었다는 뉴스와 기사를 찾아 본 후 변호사 등과 상담(상담 시간을 줄임).

법적인 근거도 다 확인을 해봐야함

 

🔷 약관 도입 시 참고

1. 표준 약관 양식
2. 경쟁사 약관 확인
3. 재휴사가 늘거나 법이 바뀌면 업데이트 필요
   1. 수신동의는 24개월 마다 받아야함
   2. 개인정보 업데이트
      1. 고지 : 개인정보 처리에대한 동의를 받은경우 해당 내용에 대해서 동의서 등에 명시하거나 구두로 알려주는 행위
         
         1. 서비스 공지
         2. 팝업
      2. 통지 : 개인정보 보호법이 정하는 일정 사항을 정보 주체 개개인에게 도달되도록 알리는 행위 
         1. 푸시로 동의를 받거나
         2. 읽었다는 표시를 받아야함

 

🔷 정책서 작성 사례

📌 정책서

서비스 정책 용어와 기본 운영정책을 정의한 프로젝트 산출물로 해당 정책서를 통해서 서비스의 용어를 통일하고,
비스니스에 대한 방향성을 이해

- 서비스의 비즈니스 구조와 운영 프로세스가 먼저 확정 되어야 함.
- 해당 관련 담당자들과 어떤 프로세스로 운영할지 협의하여 서비스 전략을 포함해야함.

법률, 시스템, 인프라에 대한 이해와 시스템 비전과 현재 상태에대한 깊은 이해가 있어야지 상황에 맞는 정책서를 작성할 수 있음

사례

 

---

8️⃣ 요구사항 정의서(PRD: Product Requirement Document)

신규 서비스/기능 업데이트 및 기존 서비스의 변경 등, 서비스의 변화를 가져오기 위해서 변경 요구사항을 정의하는 것

 

요구사항

• 내부 요구사항 : 개발팀 내부에서 정의한 이야기
• 외부 요구사항 : 운영팀, 사업개발팀, 영업팀에서 문의한 내용

 

1. 요구사항의 업무 우선순위에따라 정리
2. 요구사항 정의
   • 뭐가 문제이며, 일을하여 무엇이 개선되길 원하는지
   • 타겟 고객이 어떠한 효과를 얻길 원하는지
   • 기대되는 효과 예상
   • 현재 사용자 경험보다 어떻게 왜 좋은지를 한 눈에 볼 수있게 정의
   • 각 기능에 대한 정의

 

요구사항을 정의할 때 메뉴틀이나 화면을 그리면 안됨 보통 표 형태로 작성

요구사항을 정의 후 초안을 빠르게 작성하여 법무, 재무, 개발, 디자인등 연관 팀과 협의하여 초안 수정 후 개발 조율

 

❓ 정책서와 요구 사항 정의서가 부딪힌다면?

정책을 지키지 못했을 때 리스크와 해당 요구사항을 통한 기능 추가로 얻게 되는 사업적 이득을 위에 올려보내어 의사결정을 받은 후 전달해야 함.