50. 사내 개인정보 교육을 기획하면서 느낀 ‘말투’와 ‘사례’의 중요성

개인정보 영향평가 업무를 하다 보면
결국 마지막에는 “사람” 문제로 돌아오는 것 같다.

설계와 시스템은 나름 잘 되어 있어도
현업에서 어떻게 이해하고 쓰는지에 따라
리스크가 크게 달라지기 때문이다.

그래서 자연스럽게
사내 개인정보 교육, 인식 제고 활동에 관심이 생겼고
여러 자료와 교육안을 보면서
“나중에 내가 교육을 맡게 된다면 이렇게 해보고 싶다”는 생각을
조금씩 정리해 보고 있다.

법 조항을 읽히기보다, “이런 상황에서 문제가 된다”로 시작하기

개인정보 교육 자료를 보다 보면
초반부터 조문과 용어가 쏟아지는 경우가 많다.

하지만 실제로 현업과 이야기를 해보면
법 문장을 그대로 보여줄 때보다

• 실제로 있었던 사고
• 비슷한 상황에서 회사가 곤란해질 수 있는 지점
• 이용자가 체감할 수 있는 불편

을 먼저 얘기했을 때
집중도가 확실히 달라진다.

그래서 교육을 기획한다면
가능하면 이런 흐름을 생각하게 된다.

• 사례 또는 상황 소개
• 그 상황에서 문제가 되는 포인트
• 그 뒤에 있는 법·가이드라인 내용 소개

이 순서로 가야
“법이 이래서 이런 요구를 하는구나”라는 맥락이
조금은 더 잘 전달되는 것 같다.

“이건 절대 하지 마세요”보다 “이 정도는 꼭 지켜주세요”

개인정보 교육은 자칫하면
금지사항 나열이 되어 버리기 쉽다.

• 이건 하지 마라
• 저건 절대 안 된다

이렇게만 들으면
현업 입장에서는
“그럼 대체 뭘 할 수 있다는 거지?”라는 생각이 들 수밖에 없다.

그래서 표현을 고를 때도

• 이건 꼭 피해야 하는 행동
• 이 정도는 반드시 지켜야 하는 최소선
• 그 밖의 애매한 영역은
  담당 부서와 먼저 상의해 달라는 메시지

이 세 가지를 나눠서 전달하는 것이
현실적으로 더 잘 먹힌다고 느꼈다.

“무조건 하지 말라”가 아니라
“여기까지는 가능하지만, 이 선은 넘지 말자”라고 말해주면
업무를 설계할 때도 기준 잡기가 조금 수월해진다.

직무별로 “진짜 마주칠 법한 상황” 위주로 구성하기

개인정보 원칙 자체는 공통이지만
직무별로 마주치는 상황은 많이 다르다.

• 개발·운영 쪽에서는
  로그, 테스트 데이터, 디버깅 과정에서의 개인정보
• 마케팅·상품 쪽에서는
  캠페인 대상자 추출, 프로파일링, 제3자 제공
• CS·영업 쪽에서는
  화면 조회, 본인확인, 메신저·이메일 응대

이렇게 관점이 다르다.

그래서 교육을 계획할 때는
가능하면 공통 파트를 짧게 하고,
직무별로 나뉘는 케이스를
조금 더 비중 있게 가져가는 게 좋겠다는 생각을 하고 있다.

“내 얘기 같다”는 느낌이 들어야
교육이 기억에 남는 것 같기 때문이다.

교육은 이벤트가 아니라, 반복되는 메시지에 가깝다고 보기

연 1회, 분기 1회 교육은
필요한 절차이긴 하지만,
개인정보 보호 인식은
결국 자주 들려야 남는다는 느낌을 받는다.

그래서 개인적으로는

• 새 기능이나 시스템이 나올 때
  간단한 개인정보·보안 포인트를 같이 공유하고
• 사고·이슈 사례가 나오면
  “우리에게 적용하면 어떤 의미인지”를 짧게 정리해서 알리고
• 업무 절차가 바뀔 때
  관련 개인정보 처리 방식도 함께 안내하는 구조

를 이상적인 그림으로 보고 있다.

큰 교육을 자주 하지 못하더라도,
작은 메시지를 자주 보내는 방식이
현실적으로는 더 효과적일 수 있다고 생각한다.

마무리

개인적으로 그리고 있는
사내 개인정보 교육의 모습은

• 조문보다는 실제 상황에서 출발하고
• 금지사항 나열이 아니라 최소선을 분명히 하고
• 직무별로 진짜 마주칠 상황을 다루고
• 큰 교육보다 작은 메시지를 자주 반복하는 구조

에 가깝다.

아직 실제로 전사 교육을 설계해 본 것은 아니지만,
영향평가와 현업 소통을 경험하면서
이런 방향의 교육이 있다면
조직 전체의 인식 수준을 올리는 데
조금 더 도움이 되지 않을까 기대하고 있다.