개인정보 보호를 서비스 기획·설계·개발 단계부터 기본값으로 반영하는 개인정보보호 중심 설계(PbD) 원칙이 제도화된다. 그간 IP카메라, 로봇청소기 등 일부 제품군에 한정됐던 PbD 인증제를 개인정보보호법 개정과 함께 확산하고, 기획·설계 단계에서 참고할 수 있는 안내서와 우수사례를 마련·보급한다. ISMS-P 등 기존 평가·인증 기준에도 PbD 원칙을 반영한다. Korea
PbD는 새로운 개념이 아니다. 1990년대 캐나다 온타리오 정보·프라이버시 위원장인 앤 카부키언이 제시한 원칙으로, EU GDPR에도 'Privacy by Design and by Default'로 명문화되어 있다. 그런데 국내에서는 그동안 일부 제품군의 자율적 인증 수준에 머물렀다. 이걸 법적 기반 위에 올리겠다는 게 이번 방향의 핵심이다.
PbD의 7대 원칙이 실무에서 의미하는 것
PbD는 사후 대응이 아닌 사전 예방, 기본값이 프라이버시 보호, 전체 수명주기 관리, 가시성과 투명성, 정보주체 프라이버시 존중을 핵심으로 한다.
실무 언어로 풀면 이렇다. 서비스를 기획할 때 개인정보 처리 필요성을 먼저 따지고, 수집 항목을 최소화한 상태를 기본값으로 잡고, 사용자가 추가로 동의해야 더 많은 정보를 제공하는 구조를 설계하는 것이다.
지금 많은 서비스의 기본값은 반대다. 모든 항목에 동의된 상태로 시작하고, 이용자가 직접 꺼야 한다. 이 구조가 다크패턴으로 지적받는 이유이기도 하다.
ISMS-P 기준에 PbD가 반영되면 달라지는 것
ISMS-P 인증을 취득하거나 갱신하는 조직은 이 변화를 주시해야 한다. 기존 평가·인증 기준에도 PbD 원칙을 반영한다는 방향이 확정됐다. 즉 인증 심사 항목에 "설계 단계에서 개인정보 보호를 어떻게 고려했는가"가 포함될 수 있다. Korea
지금까지는 운영 단계의 통제가 심사의 중심이었다. PbD가 반영되면 개발 기획 단계의 의사결정 흔적까지 심사 범위에 들어올 수 있다.
지금 할 수 있는 준비
신규 서비스나 기능을 기획할 때 개인정보 영향 검토를 개발 착수 전에 진행하는 것, 수집 항목 최소화 여부를 요구사항 단계에서 명시하는 것, 기본값 설정의 근거를 문서화해두는 것이 현실적인 준비다.
PbD는 보안 담당자만의 과제가 아니다. 기획·개발·운영 전 단계가 함께 움직여야 하는 구조 변화다.