44. 개인정보 영향평가를 할 때 항상 다시 보게 되는 세 가지 질문

지금은 개인정보 영향평가를 중심으로
여러 서비스와 시스템을 검토하는 일을 하고 있다.

처음에는 체크리스트를 따라가는 느낌이 강했는데,
몇 번 반복하다 보니 자연스럽게
“어떤 질문부터 던져야 이 서비스가 보이는지”를
다시 생각하게 되는 것 같다.

완전히 정리된 방법론이라기보다는,
개인적으로 영향평가를 할 때
항상 다시 꺼내 보는 세 가지 질문을
기록 차원에서 정리해 본다.

이 서비스가 진짜로 하고 싶은 일은 무엇인가

영향평가 서류를 받으면
가장 먼저 제목과 화면 캡처, 기능 설명을 본다.

이때 스스로에게 먼저 묻는 질문은
“이 서비스가 진짜로 하고 싶은 일이 뭘까?”이다.

• 어떤 사용자에게
• 어떤 문제를 해결해 주려고
• 어떤 흐름(화면/기능)으로 구성된 서비스인지

이 그림이 안 잡힌 상태에서
수집 항목과 보호조치만 들여다보면
검토 내용이 자꾸 조각조각 끊어지는 느낌이 들었다.

서비스의 목적과 흐름이 보이면,
그 다음부터는

• 이 목적을 위해 어떤 정보가 꼭 필요한지
• 어디서부터 개인정보로 볼지
• 어느 구간에서 리스크가 커질지

같은 것들이 조금 더 자연스럽게 따라오는 것 같다.

이 서비스가 “사용자를 어떻게 기억”하고 있는가

영향평가를 하다 보면
수집 항목 표는 잘 정리되어 있어도,
사용자 관점에서 보면
“이 서비스가 나를 어떻게 기억하고 있는지”가
잘 안 보일 때가 있다.

그래서 개인적으로는
이 질문을 한 번 더 던져 본다.

• 이 서비스는 사용자를
  어떤 식별자로 구분하고 있는지
  (계정ID, 전화번호, 기기ID, 조합 등)
• 이 식별자가
  어느 시스템까지 흘러가는지
  (운영, 분석, 로그, 백업 등)
• 사용자가 탈퇴하거나 서비스를 그만 쓸 때
  이 “기억”이 어디까지 지워지는지

이 관점으로 다시 보면,
단순히 “어떤 항목을 저장한다”를 넘어
“이 서비스가 나를 얼마 동안, 얼마나 자세히 기억하고 있는지”가
조금 더 선명하게 보인다.

결국 이 지점에서
보유 기간, 파기 정책, 가명처리 여부 같은 논의가
다시 시작되는 것 같다.

사고가 났을 때 ‘무엇을 근거로’ 설명할 수 있을까

영향평가는 어디까지나 사전·정기 검토지만,
머릿속에서는 항상
“나중에 문제가 생기면 무엇을 근거로 설명할 수 있을까”를
함께 떠올리게 된다.

그래서 체크리스트를 볼 때도
조금씩 관점을 바꿔 보려고 한다.

• 암호화
  → 이 구조라면, 실제로 유출이 발생했을 때
  “평문 노출을 최소화했다”는 설명을 할 수 있을까
• 접근권한
  → 권한 부여/변경/회수 절차가
  문서에만 있는지, 실제로 운영 증적을 남길 수 있을까
• 로그
  → 누가, 언제, 어느 데이터에 접근했는지를
  어느 정도까지 추적할 수 있을까

완벽한 구조를 기대하기는 어렵지만,
“사고 시점에 최소한 이 정도는 이야기할 수 있다”는 기준으로 보면
어떤 보호조치는 꼭 챙겨야 할지
조금 더 현실적으로 보이는 것 같다.

마무리

개인정보 영향평가는
법령과 체크리스트를 맞추는 작업이기도 하지만,
결국은 “이 서비스가 사람을 어떻게 기억하고,
문제가 생겼을 때 무엇을 근거로 설명할 수 있는지”를
미리 점검해 보는 과정이라고 느껴진다.

개인적으로는

• 이 서비스가 진짜로 하고 싶은 일이 무엇인지
• 사용자를 어떻게 기억하고 있는지
• 사고가 났을 때 무엇을 근거로 설명할 수 있을지

이 세 가지 질문을 반복해서 던지려고 노력하고 있다.

아직 배우는 입장에 가깝지만,
이 질문들을 놓치지 않는 것이
향후 영향평가 실무를 더 잘 하는 데
기본이 되지 않을까 생각하고 있다.