기준 정의 결 → 분류 체계 결 → 자동화 접근 결 → 지속 관리 결
개인정보·민감정보 자동 분류 기준을 마련하는 첫 자리는 어떤 데이터를 어느 기준으로 민감하다고 볼 것인지를 합의하는 것입니다. 기준 정의 자리에서는 법적 근거(개인정보보호법, GDPR 등)와 내부 비즈니스 정책을 함께 놓고, 교집합과 차이를 정리합니다. 분류 체계 자리에서는 공개 가능·내부 한정·기밀·민감처럼 단계를 나눠 각 레벨에 허용되는 접근 범위를 함께 정의합니다. 레벨 정의만 있고 취급 기준이 없으면 현장에서 적용이 어렵습니다. 자동화 접근 자리에서는 형식이 고정된 항목(주민번호, 전화번호, 이메일 등)은 정규식 기반으로 먼저 자동 분류하고, 맥락 의존적 항목은 규칙 또는 모델 기반으로 보완합니다. 지속 관리 자리에서는 자동 분류 결과를 주기적으로 샘플링해 오분류 비율을 추적합니다.
기준은 한 번 정해지면 끝이 아니라 비즈니스 변화에 따라 갱신이 필요합니다.