문서 PII 축적 문제
내부 지식 베이스 — Confluence, Notion, SharePoint, GitBook — 은 표준 규정 준수 도구가 거의 감지하지 않는 특정 유형의 PII 문제를 축적합니다: 프로세스 문서에서 사용되는 스크린샷에 포함된 고객 개인 데이터.
시나리오는 수천 개의 지원 및 운영 팀에서 재생됩니다:
지원 에이전트가 비정상적인 계정 구성을 발견합니다. 고객의 계정 페이지를 스크린샷합니다. "계정 설정 변경" 또는 "청구 주소 오류" 문서에 스크린샷을 게시합니다. 문서는 공유되고, 해결책이 다른 에이전트에 의해 재사용되고, 3년 후 내부 wiki는 hundreds of customer account pages with real PII (이름, 이메일, 청구 주소, 계정 ID)의 스크린샷을 포함하고 있습니다.
데이터 최소화 원칙 위반
GDPR Article 5(1)(c)는 개인 데이터가 "처리 목적과 관련하여 필요한 범위 내에서만" 저장되어야 함을 요구합니다.
내부 wiki에 고객 데이터 스크린샷을 저장하는 것:
- 처리 목적: 지원 팀 교육 (프로세스 설명)
- 필요한 데이터: "계정 설정을 여기 변경함", "청구 주소는 여기"
- 실제 저장된 데이터: 실제 고객 이름, 실제 이메일, 실제 계정 번호
실제 고객 데이터는 필요하지 않습니다. 일반적인 스크린샷(합성 계정 데이터) 또는 주석이 달린 다이어그램이면 충분합니다.
통제 및 정책
정책 수준 통제:
- "고객 데이터가 표시되는 스크린샷을 wiki에 게시하지 마십시오"
- 신규 입직자 교육 포함
- 정기적인 상기
문제: 이것은 행동 변화에 의존합니다.
기술적 통제:
- Confluence API를 주기적으로 폴링하여 새 페이지 & 첨부 추출
- 첨부된 이미지에서 PII 감지 실행
- PII 감지 시 페이지 권한자에게 경고 (또는 이미지 제거)
정책 & 기술 결합의 영향
기술 회사의 사례:
- Confluence 데이터 & 이미지 정책 공표: "고객 데이터 없음"
- OCR + PII 감지로 wiki 스캔 (월 1회)
- 발견된 위반을 자동으로 플래그
- 권한자는 24시간 내에 수정
결과: 월 10-15개 플래그된 페이지 → 월 1-2개로 감소
출처: