하나의 도구, 세 가지 프레임워크
개인정보 보호팀이 월요일에는 GDPR에 따라 EU 고객 파일을 처리합니다. 화요일에는 HIPAA에 따라 의료 기록을 처리합니다. 수요일에는 CCPA에 따라 캘리포니아 소비자 데이터를 처리합니다.
각 법률마다 규칙이 다릅니다. 각 문서마다 다른 설정이 필요합니다.
매일 세 가지 규칙 세트를 전환하면 오류가 발생합니다. 잘못된 파일에 잘못된 설정을 적용하면 컴플라이언스 실패 또는 데이터 손실이 발생합니다.
명명된 컴플라이언스 프로파일이 이 문제를 해결합니다. 법률마다 하나의 저장된 설정. 수동 재구성 불필요.
GDPR — 적용 범위
GDPR은 모든 개인정보를 커버합니다. 식별 가능한 모든 EU 개인에게 적용됩니다. 고정된 목록이 없습니다. 사람과 관련된 모든 정보가 범위에 포함됩니다.
특별 카테고리 — 건강 데이터, 종교적 신념, 정치적 견해 — 는 제9조에 따라 추가 보호를 받습니다.
문서 업무를 위한 일반적인 엔티티 유형: 이름, 주소, 국가 ID, 이메일, 전화번호, IP 주소, 신용카드.
적절한 처리는 맥락에 따라 다릅니다. GDPR에는 고정된 목록이 없습니다.
HIPAA — 적용 범위
HIPAA Safe Harbor는 정확히 18가지 식별자 유형을 정의합니다. 의료 기록에서 18가지 모두 제거해야 합니다.
두 가지 규칙이 팀을 놀라게 합니다:
- 날짜는 연도만 남깁니다. 월과 일을 제거합니다. 연도는 유지합니다.
- 주(州) 이하의 지리적 지역은 제거해야 합니다.
이 규칙은 적용 기관과 사업 파트너에게만 적용됩니다.
CCPA — 적용 범위
CCPA는 캘리포니아 거주자와 연결된 개인 정보를 커버합니다. 범위가 넓습니다. 직접 식별자, 인터넷 활동, 구매 이력, 위치 데이터, 생체 인식 데이터, 프로파일 추론이 포함됩니다.
문서 업무에서는 직접 식별자에 집중하세요: 이름, SSN, 운전면허증, 여권 번호, 이메일, 계정 번호, IP 주소, 기기 ID.
구매 이력과 브라우징 로그는 일반 텍스트 문서에 드물게 나타납니다.
수동 전환이 실패하는 이유
수동 전환은 오류를 만듭니다. HIPAA 설정으로 실행된 GDPR 파일은 GDPR에 필요하지 않은 날짜 규칙을 적용합니다. GDPR 설정으로 실행된 HIPAA 파일은 Safe Harbor가 요구하는 지리적 규칙을 놓칩니다.
연구에 따르면 수동 프레임워크 전환은 약 15%의 오류율을 보입니다. 모든 오류는 컴플라이언스 실패 또는 데이터 손실 사건입니다.
직원이 세 가지 규칙 세트를 머릿속에 담아두고 매번 올바른 것을 적용해야 합니다. 이것은 프로세스가 아닙니다. 매일 반복되는 추측입니다.
세 가지 명명된 설정
"GDPR 표준 — EU 고객"
탐지 대상: 이름, 주소, 국가 ID, 이메일, 전화번호, IP 주소, 신용카드.
방법: Redact.
생년월일이 범위에 있는 경우가 아니면 날짜 제외. 온라인 데이터 업무에는 IP 주소 포함.
"HIPAA Safe Harbor — 의료"
탐지 대상: 사람 이름, 날짜, 주 이하 지역, 전화, 팩스, 이메일, SSN, 의무기록번호, 건강보험 ID, 계정 번호, 인증서 번호, 차량 ID, 기기 ID, URL, IP 주소, 생체 ID. 18가지 Safe Harbor 유형 전체 커버.
방법: Redact. 날짜: 연도 유지. 월과 일 제거.
시설의 의무기록번호 형식을 위한 커스텀 형식 추가.
"CCPA — 캘리포니아 소비자"
탐지 대상: 이름, 주소, 전화번호, 이메일, SSN, 운전면허증, 여권 번호, 신용카드, IP 주소, URL, 계정 번호, 기기 ID.
방법: Replace (분석에 적합) 또는 Redact.
각 저장된 설정은 컴플라이언스 결정을 고정합니다. 담당자는 문서의 법적 맥락에 맞는 프로파일을 선택합니다. 엔티티 목록 구성 불필요. 방법 선택 불필요.
도입 전후 오류율
명명된 프로파일 전: 직원이 각 법률마다 수동으로 재구성합니다. 오류율은 약 15%입니다. 연간 감사에서 매년 프레임워크 적용 지적이 발생합니다.
명명된 프로파일 후: 직원이 저장된 프로파일을 선택합니다. 설정이 고정됩니다. 오류율이 2% 미만으로 떨어집니다. 나머지 오류는 잘못된 프로파일 선택에서 발생합니다. QA 검토가 이를 잡아냅니다. 감사가 지적 없이 통과됩니다.
핵심 변화: 컴플라이언스 결정이 일상 실행에서 프로파일 생성으로 이동합니다. 전문가가 한 번 결정합니다. 모든 담당자가 생각 없이 적용합니다.
멀티 프레임워크 팀 운영
소유권 배정. 법률마다 담당자 한 명. GDPR 담당자가 GDPR 프로파일을 소유합니다. HIPAA 담당자가 HIPAA 설정을 소유합니다. 각 담당자가 분기마다 프로파일을 검토합니다.
출처별 라우팅. EU 고객 데이터는 GDPR 프로파일 사용. 미국 의료 데이터는 HIPAA 프로파일 사용. 캘리포니아 소비자 데이터는 CCPA 프로파일 사용.
모든 실행 기록. 처리 로그에 각 배치에 어떤 프로파일이 사용되었는지 기록됩니다. 감사관이 파일 처리 방법을 묻는다면, 답은 프로파일 이름, 날짜, 설정 로그입니다.
업데이트 푸시. EDPB가 새 가이드라인을 발표하면 GDPR 담당자가 공유 설정을 업데이트합니다. 이후의 모든 실행이 변경 사항을 반영합니다. 누구에게도 알릴 필요가 없습니다.
프로파일 거버넌스와 감사 증거에 대한 자세한 내용은 익명화 프리셋과 GDPR 감사 일관성을 참조하세요. HIPAA Safe Harbor 엔티티 커버리지 상세 내용은 의료 연구를 위한 HIPAA Safe Harbor 비식별화를 참조하세요.
결론
세 가지 법률. 세 개의 저장된 프로파일. 하나의 도구.
복잡성은 프로파일 정의 수준에 있습니다. 일상 처리에 있지 않습니다. 담당자는 HIPAA 날짜 규칙을 알 필요가 없습니다. 눈앞의 문서에 맞는 프로파일을 알면 됩니다.
명명된 설정은 인지적 부담을 줄입니다. 오류를 낮춥니다. 준수를 증명 가능하게 합니다.