한국기업보안협의회, 기업의 GDPR 대응방안 논의

[보안뉴스 권 준 기자] 한국기업보안협의회(KCMC, 회장 안병구)는 지난 8월 17일 서울 강남구 강남파이낸스센터에 위치한 삼정KPMG 회의실에서 정기 세미나를 열고, 내년 5월 시행을 앞두고 있는 EU의 일반 개인정보보호법(GDPR)에 대한 기업의 대응을 주제로 한 강연과 함께 준비사례를 중심으로 논의를 진행했다.


이번 KCMC 모임의 주제는 유럽 국가 및 국민을 대상으로 사업을 진행하는 기업들의 가장 큰 이슈가 되고 있는 GDPR에 대한 기업들의 준비상황이었다. 이날 강연은 GDPR 대응을 위한 기업의 컨설팅을 여러 차례 수행했던 삼정KPMG의 김민수 상무가 맡았다.

‘한국기업의 EU GDPR 준비방안’이라는 제목의 강연에서 김민수 상무는 “EU의 GDPR은 개인정보의 보호에 초점을 두고 있으며, EU 소속국가가 준수해야할 최소한의 요구사항을 규정하고 있다”며, “고객 또는 임직원의 개인정보를 관리하는 모든 기업에 적용됨에 따라 인사, 채용, 판매, 마케팅 등의 기업 활동 대부분이 규제 대상에 포함된다”고 설명했다.

이에 따라 기업은 △ 상세한 개인정보 기록부(register) 작성 △ 엄격한 접근통제 △ 개인정보 암호화·익명화 △ 사고대응, 관계기관 통보(72시간 내) 등의 조치가 이루어져야 하며, DPO(Data Protection Officer) 지정과 함께 개인정보를 관리하는 제3자에 대한 엄격한 계약 보증과 위험관리가 요구되고 있다. 특히, EU 외부로의 개인정보 이전에 대한 보안 보증 등의 기준을 엄격히 준수해야 한다는 게 김 상무의 설명이다.

김 상무는 GDPR의 핵심은 무엇보다 ‘투명성’이라고 강조하면서 개인정보 사용을 설명하기 위해서는 입증 가능한 정보를 확보해야 한다고 설명했다. 무엇보다 GDPR은 개인정보가 이전될 것인지, 개인정보를 언제까지 보유할 것인지, 개인정보를 프로파일해서 사용할 것인지 등에 대한 보다 정확하고 많은 정보를 요구하고 있다는 것이다.

이에 기업은 △ GDPR 리스크 프로파일의 독립적 평가 및 목표수준을 설정하는 Assess 단계 △ GDPR/법규에 부합하도록 프라이버시 컴플라이언스 프로그램을 설계하는 Design 단계 △ GDPR 프라이버스 전략 개발 및 경영진의 추진 승인을 받는 Strategy 단계 △ 프라이버시 리스크를 제거하기 위해 확고하고 지속가능한 GDPR 프로세스 통제 구현을 지원하는 Implement 단계 △ GDPR 통제 환경 운영의 이행을 지원하는 Operate 단계 △ GDPR 프라이버시의 통제환경을 유지하는 Monitor 단계 등 단계별로 철저한 준비가 필요하다.

한편, 한국기업보안협의회는 지난 2005년 11월 9일 창립된 산업보안 분야 전문가 집단으로 현재 국내 대기업 및 중소기업 보안책임자 및 담당자와 외국계 글로벌 기업 CSO를 비롯해 보안관련 학과 교수, 관련 협회 담당자 등 60여명이 회원으로 참여하고 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>