46. 개인정보 보호 요구사항을 현업에 설명할 때 스스로 지키려는 태도들

개인정보 영향평가 업무를 하다 보면
가장 어려운 부분 중 하나가
“현업을 설득하는 일”인 것 같다.

법·가이드라인을 근거로 이야기를 하더라도,
실제 서비스를 운영하는 입장에서는
추가 개발, 일정, 사용성 등
여러 현실적인 부담을 같이 안고 있기 때문이다.

저 역시 아직 설득을 잘한다고 말할 수준은 아니지만,
여러 번 부딪히면서
그래도 지키려고 하는 태도 몇 가지는 생겼다.

“왜 안 되는지”보다 “왜 필요한지”를 먼저 이야기하기

처음에는
“법에 이렇게 되어 있어서 안 됩니다”라는 식으로
설명할 때가 많았다.

그런데 시간이 지나면서
이 방식은
현업 입장에서는 거의 항상 방어적으로 받아들여진다는 걸 느꼈다.

그래서 요즘은 가능하면

• 어떤 사고/사례 때문에
  이런 요구가 생겨났는지
• 이용자 입장에서
  이 보호조치를 했을 때 무엇이 달라지는지
• 나중에 문제가 생겼을 때
  지금의 결정이 어떤 의미를 갖는지

를 먼저 설명하려고 한다.

“안 된다”는 말보다
“이 방향이 필요한 이유”를 충분히 공유하면,
현업에서도 대안을 함께 고민해주는 경우가 늘어나는 것 같다.

부담을 인정하고, 대신 ‘우선순위’를 같이 정하려고 하기

개인정보 보호 요구사항은
대부분 개발·운영 팀 입장에서는
추가 업무로 느껴질 수밖에 없다.

그래서 “이건 별로 어렵지 않다”는 식으로 말하기보다는,
부담이 될 수 있음을 먼저 인정하는 편이
오히려 대화가 잘 되는 것 같다.

대신 그다음에는

• 지금 당장 꼭 해야 하는 것
• 정기 점검이나 차기 개선 때 반영해도 되는 것
• 추가 협의가 필요한 것

으로 나눠서
우선순위를 같이 정해보려고 한다.

이렇게 나누다 보면
모든 걸 한 번에 다 하지는 못하더라도,
최소한의 안전선은 확보하면서
현업의 리소스도 어느 정도 고려하는
중간 지점을 찾을 수 있는 것 같다.

“한 번 정해진 기준”을 계속 유지·관리하려고 하기

같은 이슈가 프로젝트마다 반복되면
현업에서도 피로도가 높아질 수 있다.

그래서 비슷한 논의를 여러 번 겪다 보니,
가능하면

• 자주 나오는 질문과 답변을
  간단한 가이드나 FAQ 형태로 정리해 두고
• 새 프로젝트가 시작될 때
  그 기준을 먼저 공유한 뒤
  세부 조정을 논의하는 방식

으로 가는 게 훨씬 효율적이라는 생각이 든다.

이렇게 “기준선”이 한 번 정리되면,
개별 프로젝트에서는
그 기준에서 얼마나 벗어나는지,
왜 다른 결정을 해야 하는지에 집중할 수 있어서
대화가 조금 더 구체적으로 흘러간다.

나도 완벽히 알지 못하는 부분은 솔직하게 인정하기

개인정보·보안 관련 질문을 받다 보면
바로 답하기 어려운 내용도 많다.

예전에는
바로 답을 줘야 한다는 압박 때문에
애매하게 말했던 적도 있는데,
돌이켜 보면 가장 피해야 할 방식이었던 것 같다.

지금은

• 바로 답이 떠오르지 않으면
  관련 근거를 다시 찾아보고
  내부/외부 가이드를 확인한 뒤
• “이 부분은 추가로 확인해서 정리해 드리겠습니다”라고
  분명하게 말하려고 한다.

이렇게 해도
현업 입장에서는
“적어도 대충 말하지는 않는구나”라는 신뢰를
조금은 줄 수 있다고 생각한다.

마무리

개인정보 보호 요구사항을 현업에 설명하는 일은
지금도 여전히 가장 어렵고,
가끔은 에너지가 많이 드는 부분이다.

그래도 정리해 보면,

• “왜 안 되는지”보다 “왜 필요한지”를 먼저 설명하고
• 부담을 인정하면서 우선순위를 같이 정하고
• 자주 반복되는 논의는 기준으로 정리해 두고
• 모르는 부분은 솔직하게 인정한 뒤
  근거를 찾아서 다시 답하려고 하는 것

이 네 가지 태도는
앞으로도 계속 유지하고 싶은 기준이다.

아직 많이 부족하지만,
이 과정을 반복하다 보면
조금씩은 “함께 일하기 편한 개인정보 담당자”에
가까워질 수 있지 않을까 조심스럽게 생각하고 있다.