GDPR 공부하며 PII 흐름도 직접 작성
데이터 플랫폼에서 개인정보 규제를 구현할 때 가장 먼저 본 것은 데이터 분류였습니다. 어떤 필드가 개인 식별 정보(PII)에 해당하는지 목록화하고, 그 필드들이 흐르는 경로를 파악하는 작업입니다. GDPR 요건을 공부하면서 직접 데이터 흐름도를 그려봤는데, 생각보다 PII가 여러 테이블에 퍼져 있는 걸 발견했습니다. 사용성과의 균형 면에서는 모든 필드를 암호화하면 분석 쿼리 성능이 크게 떨어지는 문제가 있어, 식별 필드만 마스킹하고 집계 목적으로는 해시값을 쓰는 방향을 선택했습니다. 한계는 실제 규제 심사 환경을 경험해보지 못했다는 점입니다.
PIPA나 GDPR 감사를 직접 통과하는 과정에서만 배울 수 있는 실무 감각은 아직 없다는 걸 인정합니다.