Privacy Desk

정보보호 업무를 하다 보면 반복되는 질문들이 있다."이 항목 수집해도 되나요?" "동의서 양식 어떻게 써야 하죠?" "개인정보 처리방침에 이거 넣어야 하나요?"매번 법령을 찾고 해석해서 답하는 일이 쌓이다 보니, 이걸 자동화할 수 없을까 하는 생각이 생겼다. 그래서 만든 게 pia-privacy.com이다.만들게 된 배경개인정보보호법은 조문도 많고, 고시·지침·가이드라인이 따로 흩어져 있다. 실무자 입장에서는 조문 하나를 제대로 이해하려면 시행령을 같이 봐야 하고, 개인정보위 해설자료까지 찾아봐야 하는 경우가 많다.그 과정에서 "내가 했던 해석을 다른 사람도 쉽게 할 수 있게 구조화하면 어떨까"라는 생각이 출발점이었다.기술 선택: 브라우저에서 바로 API 호출처음에는 백엔드 서버를 구성할까 생각했다. 그..

개인정보 영향평가나 보안 점검을 여러 건 동시에 진행하다 보면“지금 뭐가 어디까지 되어 있는지” 현황을 정리하는 일 자체가 일이 된다.예전에 저는엑셀 파일 여러 개, 메일 스레드, 회의 메모를 왔다 갔다 하다가이걸 조금이라도 줄여보려고엑셀, 파이썬, 간단한 API 조합으로 현황 정리를 자동화해 본 적이 있다.1. 마스터 엑셀 정의: 프로젝트별 최소 필드만 정리먼저 한 일은“이력 관리의 기준이 될 엑셀”을 하나 만드는 거였다.각 평가·점검 건마다 다음 정도 필드를 두었다. • 고유 ID 또는 시스템명 • 담당 부서, 담당자 • 평가 유형 (신규, 정기, 사전검토 등) • 상태 (요청, 자료수신 중, 인터뷰 완료, 초안 작성, 검토 중, 완료 등) • 주요 일정 (요청일, 인터뷰일, 보고서 초안, 확정일)이..

새로운 서비스를 만들거나,기존 시스템을 크게 바꿀 때마다“개인정보 영향평가를 해야 하느냐”는 이야기가 나옵니다.제가 현업에서 자주 쓰는 비유는 이겁니다.“개인정보 영향평가는 서비스와 시스템을 대상으로 하는 건강검진이다.”1) 무엇을 하는 절차인가간단히 말하면, 다음 질문에 체계적으로 답해 보는 과정입니다.어떤 개인정보를어떤 목적으로어디에 저장하고누가 접근하며얼마나 오래 보관하는지그리고 그 과정에서 생길 수 있는 위험을 찾아보호조치와 개선 과제를 정리합니다.2) 왜 필요할까개인정보 유출·오남용 사고를 사전에 줄이기 위해관련 법령에서 요구하는 의무를 지키기 위해나중에 사고가 나더라도“사전에 이 정도는 점검하고 조치했다”는 책임 있는 노력을 증명하기 위해3) 평가에서 주로 보는 것들수집 항목이 과도하지 않은지..