정보센터

보안동향

게시물 상세
국내 기업의 글로벌 환경 적용을 위한 개인정보보호 거버넌스 체계 수립 요소
작성자 : a3security  작성일 : 2009.06.01   조회수 : 28430

개인정보의 유출사고는 국내 뿐 아니라 전 세계적으로도 심각한 사회문제로 대두되고 있다.

 

지난 한해 동안 개인정보 대량 유출 사건들이 연이어 발생하면서 사회적 파장으로 이어졌고 이는 관련 기업들에게 막대한 금전적 손실과 함께 이미지 실추를 초래하였다. 현재 많은 기업 및 공공기관들은 개인정보보호의 필요성을 실감하고 관련된 방안을 모색하고 있다. 해외 상황도 마찬가지다. ‘독일-은행계좌 포함된 150만명 개인정보 불법 유출’, ‘세계 최대 다국적 호텔 체인인 '베스트 웨스턴'의 온라인 예약 시스템 해킹, 800만 명 고객 정보 유출’, ‘홍콩-지난 5월 한 달 동안 정부기관 기밀자료 및 일반인 개인정보 누출’, ‘HSBC- 고객정보 저장된 서버 도난’ 등, 해외 곳곳에서 크고 작은 개인정보 유출사고들이 발생하였고 각 나라별로 우리와 비슷한 고민에 빠져있다.

 

이와 관련하여 다국적 기업 즉 해외에 현지 법인을 갖고 있는 국내 기업들을 주목할 필요가 있다. 전 세계에 걸쳐 개인정보 관련 사고들이 발생하면서 이와 같은 다국적 기업에서는 본사와 해외 지점 간에 개인정보의 수집, 저장, 제공, 이용, 폐기와 관련하여 다양한 이슈들이 증가하고 있다. 그나마 선진국에 진출한 사업장의 경우 취약점이 있긴 하지만 비교적 개인정보보호와 관련된 법과 제도가 잘 구성되어 있기 때문에 개인정보보호를 위한 체계 수립이 용이한 편이다. 하지만 국내 기업이 가장 많이 진출해 있는 중국, 동남아시아, 동유럽 같은 개발도상국들은 개인정보에 대한 제도가 극히 미비한 수준이다. 이런 경우 국내 기업들은 글로벌 환경에서 적용할 수 있는 개인정보보호 거버넌스 체계 구축이 필요하다.

 

필자는 여기서 이러한 다국적 기업들이 본사의 개인정보보호 정책을 바탕으로 글로벌 비즈니스 환경에 공통으로 적용할 수 있는 개인정보보호 거버넌스 체계 수립을 휘하여 필요한 요건을 정책 및 계획 수립, 조직구성, 교육 및 문화형성, 유지관리 방안 마련으로 나누어 다음과 같이 제시하고자 한다.

 

1. 범용적인 정책기준 및 계획 수립

 

국내에 들어와 있는 글로벌 기업들은 현재 국회에 계류중인 개인정보보호법(안)(이하 법(안).)의 최근 법(안)에 대한 공청회를 실시하였다. 그 결과, 개인정보 감독기구에 대한 협의안이 조정될 경우 금년 정기국회에서 재상정되어 통과될 가능성이 높기 때문에 각 기업 및 기관들은 법(안)에 따른 개인정보보호 강화를 위하여 대응방안 수립을 준비해야 한다. 향후 새로운 법(안)에 따른 법적 요구사항과 방송통신위원회(이하 방통위.)에서 요구하는 기술적/관리적 보호조치를 각 기업에서는 기존의 개인정보보호 정책 및 지침에 반영하여야 한다.

 

상기 사항은 해외로 진출하고 있는 국내 기업들도 해당된다. 현지의 법과 제도를 준용하지만 부족하다고 판단이 될 경우 현지의 법과 제도를 준용하는 정책 수립이 필요하다. 이러한 정책의 수립 이전에 본사에서는 해외 어디에서도 적용할 수 있는 범용적인 개인정보보호 정책을 수립해야 할 것이다.

 

예를 들어, 해외 지점을 가지고 있는 본사에서 개인정보보호와 관련된 보안정책 지침을 수립할 경우 글로벌 스탠더드인 OECD(Organization for Economic Cooperation and Development) 8대 원칙을 통하여 해외 법인에서 준용할 수 있는 범용적인 정책 기준을 마련해야 할 것이다. 개인정보보호 정책의 경우 OECD의 8대 원칙을 기본 프레임워크로 하여 국내외 사업장에서 개인정보보호 지침을 수립하기 위한 공통적인 기준 및 방향을 제시해야 한다. 개인정보보호 지침에서는 사내의 정책, 지침, 조직, 교육 및 홍보, 개인정보자산분류, 개인정보 취급실태점검, 침해사고대응절차를 포함한 개인정보관리 정책을 현지 사정에 맞도록 수립해야 한다.

 

그리고 기업은 개인정보보호관리 프로세스에 해당되는 해외 환경에 적합한 개인정보보호 정책을 수립 할 때 세부 사항으로 해당 사업에 관련되는상ㆍ벌칙 조항도 포함시켜야 한다. 예를 들어 국내 전기통신사업자의 개인정보 유출 사례에서 볼 수 있듯이 개인정보 유출 법률 위반 시 과징금을 부과하여 회사의 매출에 부정적인 영향을 미칠 수가 있는 것을 볼 수 있다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률의 제64조의3 (과징금의 부과 등)에 보면 “이용자의 동의를 받지 아니하고 개인정보를 수집한 경우 등에 매출액의 100분의 1 이하에 해당하는 금액을 과징금으로 부과할 수 있다”라고 정의하고 있다. 이와 같은 상황을 예방하기 위하여 회사규정 상에 개인정보보호의 위반 사항에 대한 강력한 제제조치를 마련하여 고객 및 내부의 개인정보를 보호해야 한다. 또한 개인정보보호 체계를 잘하고 있는 해외 법인 사업장에는 포상을 하여 해외 사업장에서도 자발적으로 개인정보보호 노력을 할 수 있는 동기를 부여해야 한다. 이러한 회사 내부 규정이 해외의 현지 법인에 전달될 때는 해당 국가의 법과 제도, 경제ㆍ사회적 문화를 고려하여 적절하게 상ㆍ벌의 수준이 결정되어야 할 것이다.

 

범용적 개인정보 정책이수립되었다면 정책에서 정의한 표준 항목과 수집, 저장, 제공, 이용, 폐기에 이르는 개인정보보호 프로세스를 적용할 수 있는 표준 가이드를 정의해야 한다. 개인정보를 취급 시 개인정보 취급자나 사용자가 고려해야 하는 준수 사항에 대한 사례 항목을 내용, 근거, 적용범위, 적용예시로 구분하여 실무적인 가이드로 작성해야 할 것이다.

 

2. 현지 CPO(Chief Privacy Officer)의 임명 및 개인정보보호 조직 구성

 

개인정보보호를위한 전담 부서로서 경영지원의 부서조직이 아닌 임원급 이상의 현지상황에 능통한 CPO를 선정해야 한다. 적절한 CPO의 임명으로 향후 개인정보노출이나 침해사고에 능동적인 예방 대책이 가능하다. 또한 현지 법인 개인정보보호를 위한 전담 부서가 조직되어야 하며 개인정보보호 조직의 구성원인 개인정보관리책임자와 개인정보보호 취급자의 명확한 역할 구분이 필요하다.

 

3. 개인정보보호를 위한 문화형성 및 교육방안 수립

 

기업이 해외 시장 진출에있어 타국가의 문화와 전통을 이해하고 이를 바탕으로 적극적인 현지화를 펼쳐야 하는 것은 글로벌화의 필수 요인이 되었다. 기업이 해외 시장에 진출하여 현지화에 성공하기 위해서는 누구나 공유할 수 있는 문화와 시스템이 필요하다. 언어와 문화는 달라도 해당 기업의 구성원 누구나 수용 할 수 있는 합리적이고 수평적인 기업 문화가 필요한 것이다. 이러한 문화는 구전이나 해당 지역 사무소 일부의 노력같은 비공식적인 채널을 통해 전수되는 게 아니고, 긴 시간 동안 서로간의 이해와 노력으로 명문화되어 인종과 언어를 초월해 공유되어야 한다.

 

글로벌화에 성공한 기업들의 대부분은 진출한해당 국가의 국민들이 그 기업을 국내 기업처럼 인식하고 호의적으로 바라보고 있으며, 그 기업이 오랫동안 함께 하기를 원하는 모습을 볼 수 있다. 하지만 현지화가 제대로 되지 않고 단지 그 나라의 값싼 자원이나 시장만을 보고 진출한 기업들에게는 배타적인 이미지를 가지며, 심지어 기업을 퇴출시키기 위한 활동을 전개하는 것을 볼 수 있다.

 

이러한 현상을 개인정보보호 측면에서도 볼 수있다. 개인정보는 특성상 내부인에 의해 유출되는 경우가 많기 때문에 현지인을 다수 고용해야 하는 글로벌 기업의 특성 상 현지 직원들 및 해당 국민들과의 유대관계가 중요하다고 볼 수 있다. 그렇기 때문에 중앙의 본사가 중심이 되어 해외 현지 법인과의 지속적인 커뮤니케이션을 통해 해당 나라의 법과 제도, 일반적인 사회 통념 등을 파악하고 해당 국가에서 회사의 이미지가 우호적으로 보일 수 있도록 지속적인 활동을 펼쳐야 할 것이다. 또한 이 모든 것이 고려된 개인정보보호 정책, 계획, 교육 및 실행 등의 활동이 이루어져야 할 것이다.

 

앞에서도 언급했듯이 현재 국내의 기업들이 진출하고 있는 나라 중에는 경제 발전을 서두르고 있는 개발도상국이 많다. 이러한 나라들은 경제발전을 목적으로 하고 있기 때문에 개인정보보호에 대한 인식이 전체적으로 낮다. 현지 법인이 사업을 수행할 때 현지인들의 고용을 주로 하게 되는데 현지인들은 개인정보보호의 중요성을 인식하지 못하는 경우가 대부분이므로 개인정보보호의 중요성을 인식하고 자체적으로 개인정보보호에 대해 노력할 수 있도록 지속적인 문화형성과 교육이 필요하다.

 

또한 개인정보를 다루는 개인정보 취급자나 사용자가 쉽게 이해할 수 있는 교육 등의 개인정보보호 인식 제고를 위한 기회가 많이 마련되어야 할 것이다. CPO에 대한 책임 및 역할, 법적 요건에 대한 인식, 개인정보 취급자에 대한 조직의 정책•지침 및 법적 요건, 업무에서 개인정보 취급 시 주의사항 등이 주기적으로 교육 되어야 한다. 또한 개인정보 취급자에게 지침을 준수하라고 하면 너무 어렵게 느낄 수 있기 때문에 쉽게 풀어 쓴 생활 개인정보 보안가이드 및 동영상 등을 회사 환경이나 실무에 맞게 컨텐츠를 제작하여 개인정보를 다루는 취급자나 사용자가 손쉽게 이해할 수 있도록 교육이 되어야 한다.

 

4. 개인정보관리실태 평가기준을 통한 지속적인 유지관리 방안 마련

 

개인정보보호관리체계에 대한 준거 여부를 상시 모니터링하고 실행할 수 있는 준거성 기반의 개인정보보호 점검표를 마련해야 한다. 국내의 경우에는 개인정보보호 점검표에 기술적/관리적 보호조치 및 준거성 여부에 따라 개인정보를 다루는 부서에서 미리 점검할 수 있는 정기적인 개인정보 감사 체계를 구축하여 평가하고 있다. 해외 법인에서도 개인정보관리실태를 평가 할 수 있는 기준을 마련하고 자체적 내부 감사와 본사에서의 중앙 감사를 통해 개인정보관리실태를 점검하고 개선사항을 발견하는 활동을 수행해야 한다.

 

발견된 개선 사항들은 정책 단계부터 계획 및 실행 단계에 이르기까지 모든 임직원들에게 공표되고, 교육되어야 한다.

 

지금까지 국내 기업이 글로벌 비즈니스 환경에서 개인정보보호 거버넌스 체계 수립에 필요한 요소를 정책 및 계획수립, 조직화, 문화형성 및 교육, 유지관리 측면에서 살펴보았다. 개인정보의 유출 경로는 워낙 다양해서 좋은 계획이라도 유출 사고를 완벽히 방지할 수는 없을 것이다. 하지만 개인정보 유출을 최소화 하기 위해서 CEO의 강력한 리더십 하에 전사적으로 개인정보보호라는 목적을 가지고 수립된 계획을 행동으로 옮기는 것이 가장 중요하다. 법 규제 등 외부환경, 내부조직 및 업무 프로세스 등의 변화에 따라 발생가능한 새로운 개인정보 유출경로를 파악하여 개인정보보호 계획을 보완하고 교육을 실시하는 등 일련의 유지관리 활동도 병행되어야 한다.

 

무엇보다 일률적인 개인정보보호 정책이 아닌 비즈니스 활동이 수행되고 있는 현지의 상황을 잘 고려하여 개인정보보호 대책을 현지화 하는 것이 중요하다.

 

* 본 기고글은 지난 2009년 6월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.

이전글 내부정보유출방지를 위한 방안
다음글 위험관리솔루션을 통한 정보보호 관리체계 운영
TOPTOP