Privacy Desk

요즘 하고 있는 일의 큰 축은개인정보 영향평가다.새로운 서비스를 기획하거나,시스템을 개선할 때개인정보 처리 흐름과 보호조치를 점검하고보고서를 작성하는 일이다.법령이나 가이드라인을 맞추는 것도 물론 중요하지만,몇 년 정도 하다 보니“기술 난이도”보다 “조율 난이도”가 더 크다는 생각이 들 때가 많았다.개인정보 영향평가 실무를 하면서개인적으로 느꼈던 부분들을가볍게 정리해본다.기획, 개발, 인프라, 법무 사이에서 말을 바꿔가며 설명해야 하는 일 같았다하나의 서비스만 봐도관여하는 팀이 많다.서비스를 기획하는 팀화면과 기능을 만드는 개발팀서버와 네트워크를 관리하는 인프라팀약관·동의서와 법령을 보는 법무/컴플라이언스팀개인정보 영향평가는이 사이를 왔다 갔다 하면서각각의 언어로 같은 내용을 설명하는 일에 가깝게 느껴졌..

개인정보 영향평가라고 하면보통은 법령, 동의서, 약관 같은 “문서 일”을 떠올리는 경우가 많은데,실제로 해보면 인프라·보안 아키텍처를 보는 시간이 꽤 길다.특히 시스템 규모가 큰 조직에서는한 서비스 안에서도 온프레미스, 클라우드, 제3자 시스템이섞여 있는 경우가 많아서네트워크 구조를 이해하는 게 먼저일 때가 많았다.제가 평가 업무를 하면서개인적으로 자주 들여다보게 된 인프라 쪽 포인트들을간단히 정리해 본다.인터넷 구간과 내부망 구간이 어떻게 나뉘는지가장 먼저 보는 건“어디까지가 인터넷에서 바로 닿는 구간인지”였다.외부에서 직접 접근 가능한 웹·앱 서버그 뒤에 붙어 있는 WAS, API 서버내부 전용 시스템, 백오피스, DB, 로그 서버이 레이어들이 어떻게 나뉘어 있는지에 따라적용해야 할 보안 수준이 달라..

개인정보 보호는 이제 웬만한 서비스라면 다 얽혀 있는 주제인데,막상 실무에서 일을 하다 보면“무엇부터 확인해야 할지”가 애매할 때가 많았다.저도 처음부터 체계적으로 배웠다기보다는개인정보 영향평가를 하면서,그리고 현업이랑 상담하다 보니자연스럽게 “이건 먼저 보고 넘어가야겠다” 싶은 지점들이 조금씩 생겼다.정답이라기보다는,개인적으로 업무할 때 기본으로 체크하려고 하는 것들을한 번 정리해 보려고 한다.수집 항목과 목적이 서로 맞는지개인정보 보호 얘기할 때 제일 많이 나오는 말이“최소 수집, 목적 제한”인 것 같다.평가를 하거나 검토를 할 때저는 보통 이 순서로 본다.이 서비스가 하려는 일은 정확히 무엇인지그 일을 하기 위해 꼭 필요한 정보가 무엇인지실제 화면/약관/DB에 정의된 수집 항목이그 “꼭 필요” 수준..