개인정보보호, 기업의 지속가능경영 위한 핵심가치로 인식해야 

[보안뉴스=이규정 NIA 개인정보보호정책단장] 요즘 언론에서 자주 접하는 기사 중 한 가지가 개인정보 보호와 관련된 내용이다. 그러한 언론기사는 개인정보의 유출사고에 관한 내용이거나 개인정보보호법의 시행과 관련하여 중소기업 등 개인정보처리자의 준비가 미흡하다는 등의 내용이 대부분이지만, 간혹 기업의 법적 책임에 관한 내용도 볼 수 있다.

개인정보보호의 중요성에 대한 인식 확산

기업의 법적 책임과 관련하여 지난 4월 법원이 SK컴즈의 네이트와 싸이월드 개인정보 유출 피해자에게 100만원의 위자료 배상판결을 내린 것은 충격적이다. 그동안 크고 작은 개인정보 유출사고에서 손해배상 판결이 있었으나 이 사건처럼 배상금액이 큰 경우는 없었으며, 네이트와 싸이월드의 개인정보 유출규모가 3,500만 명에 이르는 점을 감안할 때 집단소송 등 앞으로 전개될 상황에 이목이 집중되고 있다.

이 사건은 개인정보보호법과 직접 관련 없이 개인정보 유출에 따른 민사소송이지만, 향후 기업 등 개인정보처리자의 지속발전을 위해 개인정보의 보호가 어떠한 의미를 갖는지 심각하게 생각하는 기회를 만들어 주었다.

작년 3월 29일 제정·공포되고 같은 해 9월 30일부터 시행된 개인정보보호법이 많은 기대와 우려 그리고 혼란을 야기한 것은 사실이다. 개인정보보호법은 2004년부터 시작하여 7년여의 오랜 기간 동안 많은 논의를 거쳐 마련된 만큼 그동안의 잘못된 개인정보 이용관행을 개선하여 우리 사회의 사생활 보호수준을 향상시키는 좋은 계기가 될 것으로 기대된다.

반면에 개인정보보호법이 요구하는 수준이 너무 높고 보호기준·절차가 그동안의 실생활 또는 관행에서 볼 때 생소하고 불일치하는 점이 많아 우려와 혼란이 가중되는 측면도 없지 않다.

그러나 이러한 우려와 혼란은 정부를 비롯하여 개인정보처리자, 정보주체, 전문가 등 사회구성원의 적극적인 참여와 협조를 통해 충분히 해소할 수 있다고 본다. 실제 개인정보 보호의 중요성을 알리기 위한 현장 캠페인 등에서 만난 중소사업자 등은 대부분 개인정보 보호의 준비는 부족하지만 보호의 중요성·필요성에 대해서는 공감하고 있었다.

이는 우리 사회가 정보화, 새로운 IT 서비스의 개발·이용 등을 통한 효율성·생산성의 추구와 함께 프라이버시 보호의 가치를 충분히 수용할 수 있는 수준에 와 있음을 의미한다고 본다. 그리고 이러한 변화의 기폭제가 바로 개인정보보호법의 제정·시행이다.

사회구성원 모두의 자발적 참여로 개인정보보호법 조기 정착 필요

개인정보보호법 시행에 맞추어 행정안전부는 개인정보보호의 중요성에 대한 인식을 제고하고 개인정보처리자를 지원하기 위한 시책을 다양하게 추진해 오고 있다. 개인정보보호의 중요성에 대한 인식 제고를 위해 집합교육과 각 지역별 순회교육을 실시하고, 협·단체에서의 개인정보 교육을 지원하며, 개인정보보호 교육을 위한 전문강사를 선정하여 기관별 교육시 활용할 수 있도록 했다.

또한, 언론매체와 인터넷 포털사이트 등을 활용한 홍보와 함께 협·단체를 통하여 안내자료를 보급·배포하는 등 다양한 인식제고 활동을 추진하고 있다. 지난 4월말부터는 전국 230개 시·군·구를 대상으로 행정안전부 공무원과 전문기관 담당자, 해당 지방자치단체 담당공무원이 조를 이루어 현장지도를 수행하고 지역주민의 다양한 의견을 듣기도 했다.

이 밖에도 행정안전부는 찾아가는 컨설팅, 현장 실태조사를 통한 홍보, 각종 상담서비스 제공, 보안솔루션 보급 등 개인정보처리자의 인식제고와 보호활동 지원을 위한 다양한 시책을 추진하고 있다.

이처럼 정부는 개인정보보호에 대한 인식제고와 함께 개인정보보호법 준수에 어려움을 겪고 있는 중소·영세사업자를 지원하기 위한 노력을 다각도로 수행하고 있으나, 정부의 이러한 노력에는 근본적인 한계가 있을 수밖에 없다. 정확한 계산은 어려우나 개인정보보호법의 적용대상인 개인정보처리자가 대략 350~360만명이라고 추산할 때 정부가 이들 개인정보처리자를 충분히 인식시키고 지원하는 것은 사실상 불가능한 일이다.

따라서 법의 적용대상인 개인정보처리자가 스스로 인식하고 대비하려는 의지와 자율적인 보호문화가 개인정보보호법을 성공적으로 정착시키는 열쇠인 것이다.

개인정보의 가치 보호를 위한 기업의 책임

현대 정보사회에 있어서 개인정보의 이용과 보호는 빛과 그림자의 관계이다. 정보화의 진전과 함께 다양하고 고도화된 서비스의 제공을 위한 개인정보의 이용은 불가피하며, 동시에 개인정보의 오·남용과 유출 위험은 그만큼 커질 수밖에 없다.

오늘날 기업경영에 있어서 고객에 관한 다양한 정보는 영업활동과 수익창출을 위한 자산임과 동시에 기업의 가치 자체를 결정짓는 주된 요인이다. 현재 9억명의 가입자 정보를 공유하고 있는 세계 최대 소셜네트워크서비스(SNS)인 Facebook의 미국 증권거래위원회 상장 가치가 무려 1,042억 달러(120조원)라는 것은 개인정보의 가치를 단적으로 보여주는 사례라 할 수 있다.

이처럼 개인정보는 사회 각 분야에 있어서 필수재이자 가치창출수단으로서 역할을 하는 반면, 그 침해나 유출 시에는 엄청난 책임을 부담하게 될 것으로 보인다. 우선 SK컴즈의 개인정보 유출사고 판결에서 보듯이 개인정보의 침해시에는 기업의 사활을 좌지우지할 정도로 피해자 보상, 과징금 부담 등 재정적 손실을 안겨줄 수 있다. 나아가 개인정보의 오·남용 또는 부실한 관리에 책임있는 CEO나 임원도 해임·징계 등 그에 대한 책임을 져야 한다.

둘째는 개인정보를 침해하거나 유출한 기업은 다시 회복하기 힘들 정도로 기업의 이미지가 실추되고, 소비자의 신뢰 상실은 물론 강력한 저항을 받을 수도 있다. 미국계 손해보험사 차티스는 개인정보 유출 피해자의 75%는 해당 기업과 거래를 끊으며, 기업이 사이버 공격을 당한 사실을 인정하면 평균 5% 정도 주가가 하락하는 것을 경험한다고 밝히고 있다.

셋째로 개인정보의 국제적 유통·이전이 빈번해지는 상황에서 개인정보 유출문제는 국내에만 머물지 않고 국제적 문제로까지 확대될 가능성이 크다. 따라서 국제적 기준에 부합하지 않는 기업의 해외진출 기회는 갈수록 좁아질 것이 분명하다. 최근 APEC 등 국제기구에서 각 개인정보처리자의 개인정보 보호수준 측정을 위해 표준화된 평가체계를 마련하는 등 개인정보의 국외이전과 안전한 이용을 위한 국제적 공조를 가속화하고 있는 점도 우리 기업들이 눈여겨 볼 필요가 있다.

이와 같은 개인정보의 안전한 이용에 대한 책임요구는 정보주체의 권리의식이 높아질수록 커질 수밖에 없으며, 정부도 개인정보의 빈번한 유출과 침해로 인해 국가의 브랜드 가치가 하락하는 것을 막고 국민의 권익을 보호하기 위해 법 집행에 더욱 충실할 수밖에 없을 것이다.

기업의 지속가능경영 위한 개인정보 보호전략은?

앞에서 언급한 것처럼, 개인정보 보호는 기업의 사활을 좌우하는 중요한 이슈가 되고 있다. 개인정보의 불법적인 수집·이용과 부실한 관리는 손해배상·과징금 등의 재정적 부담, 경영책임자의 해임·징계 등의 법적 책임뿐만 아니라, 기업 이미지의 훼손과 고객의 신뢰 상실로 인한 기업의 도산까지도 초래할 수 있다.

이처럼 개인정보의 안전한 이용은 단순히 고객(정보주체)의 권익 보호 차원을 넘어 기업의 지속가능경영을 위한 핵심요소라 할 수 있는 바 보다 적극적인 개인정보 보호전략이 요구된다.

첫째, 지속가능경영을 위한 개인정보 보호전략에서 가장 중요한 것은 최고경영층의 개인정보 보호의지이다. 개인정보의 보호는 시스템 보안을 담당하는 부서만의 문제가 아니라 마케팅 부서, 고객지원 부서, 서비스 개발 부서 등 현업부서와 전사적으로 연계하여 비즈니스 관점에서 다루어야 하는 문제이다. 또한, 개인정보보호는 정보보안을 위한 기술적인 문제이기보다는 개인정보의 수집·이용·제공·파기 등 생명주기에 따른 프로세스 관리의 의미가 더 크다.

따라서 CEO, 개인정보보호책임자(CPO) 등 최고경영층은 기업의 비즈니스 차원에서 개인정보의 수집·이용과 보호를 균형적으로 인식하고 개인정보의 이용과 보호에 관한 비전과 전략방향을 제시해야 한다.

둘째, 비즈니스 차원의 전사적 관점에서 개인정보보호 문제를 다루기 위한 거버넌스의 도입이 필요하다. 개인정보보호 거버넌스란 “기업의 비즈니스에 존재하는 개인정보와 관련된 위험을 평가 및 관리하고, 고객의 자기정보 결정권을 보장하기 위한 이사회와 최고경영진의 역할과 책임을 명시하고, 이를 바탕으로 조직 내에 개인정보보호 문화 형성을 도모하기 위한 조직, 프로세스, 관련 메커니즘의 구성”이라 할 수 있다(황수하·김정덕, 개인정보보호 거버넌스의 목표와 프로세스에 관한 연구, 2011.8).

셋째, 최고경영층의 의지·비전과 거버넌스의 도입·운영을 뒷받침하는 기업내 실천문화의 조성이 필요하다. 개인정보보호는 보안부서 뿐만 아니라 마케팅 부서, 고객지원 부서, 서비스 개발 부서 등 현업부서와 전사적으로 연계되어 있으므로 실제 업무담당자의 인식과 적극적인 참여가 무엇보다 중요하다. 지속적인 교육과 평가·지시·의사소통·통제 등의 프로세스 관리가 중요한 것은 그 때문이다.

넷째, 개인정보보호 노력을 기업의 이미지 제고 등 대외적 성과로 연결시키기 위한 전략적 접근이 필요하다. 통상 정보보안에 있어서 기업은 침입을 받는 피해자의 입장이 강하지만, 개인정보보호에서 기업은 피해자임과 동시에 가해자가 될 수 있다. 따라서 정보보안과 달리 개인정보보호는 이해관계자가 많으며, 특히 정보주체인 고객은 가장 중요한 이해관계자이다.

따라서 현재의 고객뿐만 아니라 잠재적 고객의 개인정보자기결정권을 충실히 보호함과 동시에, 유관 협회 등을 통한 자율규제 강화와 자발적 참여문화 조성, 공익캠페인 등 공익활동 지원은 개인정보보호 노력의 홍보에 못지않게 기업의 대고객 신뢰 확보와 이미지 제고를 위한 의미 있는 전략이 될 것이다.

[글 _ 이 규 정 한국정보화진흥원(NIA) 개인정보보호정책단장(lkj@nia.or.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>