민간기업 신규사업 진행시 영향평가 자율시행...인센티브 고려

영향평가 미시행시, 강력한 개인정보 관리실태 점검할 수도...

<광화문 정보통신부 청사>

개인정보보호영향평가제도가 기업의 자율적인 참여를 유도하는 방향으로 우선 시행될 예정이다. 이 제도가 실행되기까지는 여러 가지 관련 기관과 단체들의 주장이 엇갈려왔다. 시민단체들은 감독기구를 신설해 관리감독 하에서 영향평가가 이루어져야 한다고 주장해왔고 상공회의소와 기업들은 점진적인 도입과 기업의 자율에 맡겨달라는 주장으로 일관했다.

고심 끝에 정부는 영향평가를 자율로 하되 기업이 개인정보보호에 대한 책임의식을 가지고 평가를 실시할 것과 정부에 도움을 요청할 경우 즉각적인 지원과 인센티브를 부여하겠다고 밝혔다. 또한 과거에 축적된 정보까지 소급해서 영향평가를 적용해야 하며 새롭게 시작할 사업부분에도 적용해야 한다고 권고하고 있다.

정통부 관계자는 “기업에서는 아직 개인정보보호에 대한 문제의 심각성을 인식하지 못하고 있다. 영향평가를 실시하지 않고 어영부영 넘어가다간 나중에 법적인 책임을 묻기 시작할 때는 감당 할 수 없을 것”이라며 “이제 기업의 경쟁력은 정보보호와 무관하지 않다. 개인정보를 무단으로 사용하고 내부에서도 어디에 쓰이는지도 모르고 있다간 틀림없이 프라이버시 문제가 불거져 기업 이미지와 경영에 심각한 문제를 초례할 것”이라고 경고했다.     

사실 정통부에서는 개인정보보호영향평가가 자율적으로 실시되지만 속내는 반드시 그 책임을 물을 것이라는 뉘앙스가 크다. 문제가 되는 부분은 공공기관은 정부의 방침에 따라 영향평가를 수행하겠지만 민간기업들의 동참이 얼마나 활성화 될 수 있느냐가 관건이다.

시민단체는 공공부분뿐만 아니라 민간기업도 영향평가 대상에 반드시 포함되야 하며 특히 대량의 개인정보를 수집하고 데이터를 저장하고 이용하는 기업에서는 영향평가를 의무화해야한다고 주장하고 있다.

시민단체 관계자는 “이번 정부의 방침이 과연 민간부분에서 실효성이 있을지 의문”이라며 “오히려 공공기관보다 더 엄격한 개인정보 보호 조치가 필요하다. 따라서 객관적인 영향평가를 위해서는 개인정보 감독기구 혹은 감독기구의 위임을 받은 기구에서 실시하도록 해야 한다”고 강조했다.

개인정보보호영향평가 제도와 관련 정통부 주무부서인 정보화기획실 개인정보보호팀 전성배 팀장의 말을 들어보자.

[설명] 

개인정보 영향평가 : 기업의 정보화 시스템 운영에 따라 발생할 수 있는 개인정보 침해 영향을 분석 및 평가하고 이에 따른 개선 방향을 도출함으로써, 개인정보 침해 방지에 기여할 뿐 아니라 기업 정보화 사업의 저비용 · 고효율화 및 안전성을 제고하기 위한 제도. 

 

Interview

정보통신부 정보화기획실 개인정보보호팀 전성배 팀장

“개인정보보호는 이제 기업의 경쟁력이며 고객신뢰도에서 중요”

“기업이 마인드를 가지고 자율적으로 시행해야 한다!”

<정통부 정보화기획실 개인정보보호 전성배팀장>

개인정보보호영향평가가 도입된 배경은?

이 제도는 환경영향평가와 비슷한 개념이다. 환경영향평가가 이루어진 다음 개발을 어떻게 해야되는지 구체적인 계획이 수립된다. 그렇지 않으면 ‘천정산 터널’과 같은 문제가 발생하게 된다. 마찬가지로 기업이 어떤 사업을 추진할 때 개인정보보호영향평가를 실시해 차후에 개인정보와 관련 프라이버시 침해 등의 문제로 기업이 피해를 입지 않기 위해서는 사전에 영향평가를 실시해야 한다.

자율 시행으로 알고 있는데 잘 이루어질 수 있을 것으로 생각하나?

개인정보보호 문제가 불거지기 전에 기업들은 아무 생각없이 정보를 수집하고 이용했으며 관리는 제대로 하지 않아왔다. 현재 그 정보는 엄청난 양으로 늘어났으며 통제하기 힘든 상황에 처한 기업도 있다. 기업들은 스스로 개인정보보호 취약점을 분석하고 대비해야 한다. 그렇지 않으면 차후에 법적인 책임까지 물게 되고 그 비용과 이미지 실추에 따른 손실은 실로 막대할 것이다. 대비하지 않으면 기업이 손해기 때문에 잘 이루어지리라 예상한다.

이 제도와 관련해서 민간기업에 홍보는 어떻게 됐나?

얼마전 공청회와 설명회 등 다양한 방법으로 제도 설명을 해왔다. 설명회에서는 주로 영향평가에 대한 개요, 사례, 누가 전담해야하는지, 어떤 절차로 이루어지는지, 결과에 대한 평가와 수행지침 등에 관해 설명이 이루어졌다.

또한 12월 중 개인정보영향평가 가이드북을 발행해 민간기업에서 영향평가를 시행할 때 적용할 수 있는 평가 샘플과 그 샘플을 토대로 기업에서는 자신들의 상황에 맞게 리뉴얼해서 적용하면 된다. 즉 샘플을 바탕으로 업종별로 평가 기준과 방법을 다시 조정해야 한다.   

   

시민단체에서는 민간부분의 의무화를 주장하는데...어떻게 생각하나?

외국에서도 민간부분은 법적으로 의무화 규정이 없다. 기업에서 자율적으로 필요에 의해서 하고 있다. 국내 기업들도 이제 필요에 의해서 해야하다. 그렇지 않으면 후에 엄청난 피해를 입게 된다. 특히 이전에 수집됐던 정보까지 영향평가의 대상이 되며 신규사업도 적용대상이다. 안정적인 사업 진행을 위해서 개인정보를 수집하고 관리하는 기업에서는 반드시 시행하는 것이 기업에 궁극적으로 도움이 될 것이다.

정부에서 이 제도를 위해 준비하고 있는 사항이 있다면?

우선 초기단계에 컨설팅이 필요한데 원하는 기업이 있다면 적극적으로 지원해줄 방침이다. 또한 영향평가를 의뢰하는 기업은 자세한 교육을 받을 수 있고 실제로 영향평가를 실시한 기업은 개인정보 관리 실태점검을 유예하거나 대체할 수 있도록 하는 인센티브도 생각하고 있다. 올해 7~8월경 이통사를 대상으로 영향평가를 시범적으로 실시해 개선했고 기업들도 동참할 것으로 예상한다. 

[길민권 기자(is21@infothe.com)]

          <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>