리스크 식별→개선 흐름 중심으로 푸는 결
인턴으로 일하던 IT 서비스 스타트업에서 개인정보 처리 방침 점검 프로젝트를 보조한 경험이 있습니다. 당시 이용자 규모가 2만 명 수준으로 성장하면서 개인정보보호법 준수 여부를 전면 재점검하기로 했고, 저는 시스템별 개인정보 처리 현황을 매핑하는 작업을 담당했습니다.
서비스별로 어떤 항목을 수집하고, 어디에 저장하며, 파기 주기는 어떻게 설정되어 있는지를 스프레드시트로 정리했습니다. 이 과정에서 마케팅 데이터베이스에 탈퇴 후 6개월이 지난 회원 정보 약 1,300건이 삭제되지 않고 잔류하는 문제를 발견했습니다. 즉시 개발팀과 공유해 자동 삭제 배치를 추가했고, 파기 대상 테이블 목록을 문서화했습니다. 추가로, 제3자 제공 동의 항목이 실제 제공 범위와 일치하지 않는 항목 2건도 발견해 법무팀에 수정을 요청했습니다. 이 경험을 통해 개인정보 리스크는 현황을 먼저 가시화해야 인지 자체가 가능하다는 점을 배웠습니다. 지금도 새 기능을 볼 때 어떤 데이터를 수집하는지 먼저 확인하는 시각이 생겼습니다.