글로벌 비즈니스 의사 결정권자들이 곧 발효될 일반개인정보보호규정(GDPR)뿐만 아니라 PCI-DSS 및 ISO27001/2와 같은 기타 준법감시 규정이 미칠 영향을 인식하지 못하고 있는 것으로 밝혀졌다. 아울러 기업 중역 5명 중 1명은 자사 조직에 어떤 규정이 적용되는지 알지 못하고 있는 것으로 나타났다.
조사 결과는 NTT 그룹의 전문 보안 계열사인 NTT시큐리티가 비즈니스 관련 리스크 및 정보보안 가치에 대한 기업의 태도를 조사하기 위해 의뢰한 2017년 리스크:가치(Risk:Value) 보고서에서 밝혀진 내용이다.
11개국의 비 IT 기업 임원 1,350명을 대상으로 실시한 이 설문조사에 따르면, 전 세계적으로 응답자 10명 중 단 4명 꼴로(40%) 유럽연합의 GDPR 규정이 자사에 적용될 것으로 믿고 있는 것으로 나타났다. 이번 조사에서 가장 우려되는 부분은 아마도 자사에 적용되는 준법감시 규정이 무엇인지 모른다고 인정한 중역이 5명 중 1명(19%)에 이른다는 사실이다.
영국에서는 응답자 중 단 39%만이 GDPR을 준법감시 사안으로 파악하고 있었으며, 20%는 모른다고 응답했으며, 유럽 외부 지역의 기업임원들의 인지도는 더욱 낮았다. 유럽 시민 관련 데이터를 보유하거나 수집하는 모든 비즈니스에 GDPR이 적용됨에도 불구하고, 미국의 비즈니스 의사결정권자 중 1/4, 호주의 경우 26%, 홍콩의 경우 29%만이 GDPR이 자사에 적용될 것으로 믿고 있었다.
이 법안은 2018년 5월 25일에 발효될 예정이므로, 기업들이 데이터 프라이버시 및 보안에 관한 이 엄격한 새 규정을 준수하는 데 필요한 준비를 갖출 시간이 1년도 채 남지 않았으며, 규정 위반 시 최대 2천만 유로 또는 연간 글로벌 매출액의 4% 중 더 큰 금액의 벌금에 처할 수 있다.
데이터 관리 및 저장이 GDPR의 핵심 구성요소인 가운데, 리스크:가치 보고서는 응답자의 1/3이 자사의 데이터가 저장되는 위치를 알지 못하며, 겨우 47%만이 자사의 모든 중대한 데이터가 안전하게 저장되고 있다고 응답했다는 조사 결과도 밝혔다.
자사의 데이터가 저장된 위치를 알고 있다고 대답한 응답자 중, 이 새로운 규정이 자사의 데이터 저장 방식에 어떤 영향을 미칠지 '확실히 인지하고 있다'고 밝힌 응답자는 절반 미만(45%)에 불과했다. 금융서비스 및 은행, 컴퓨터서비스 및 기술 업계 중역들이 자사의 데이터가 저장되는 위치와 자사에 적용되는 준법감시 규정을 가장 잘 알고 있었다.
NTT시큐리티의 보안전략 및 동맹 담당 SVP Garry Sidaway는 "불확실한 세상에서 한 가지 확실한 것이 있는데, 그것은 2018년 5월 25일을 자신의 캘린더에 표시해 둬야 한다는 것이다"라고 언급했다.
그는 이어 "GDPR은 유럽의 데이터 보호 규정이지만, 이 규정은 유럽에 거주하는 개인으로부터 개인적으로 식별 가능한 데이터를 수집하거나 보관하는 전 세계 모든 기업에 직접적인 영향을 미칠 것이다. 당사의 보고서는 상당수가 아직 GDPR을 인지하지 못하고 있거나 무시하고 있음을 명백히 보여주고 있다. 유감스럽게도 다수 기업이 준법감시 업무를 가치는 적거나 아예 없으면서 비용만 많이 드는 사안으로 간주한다. 하지만 규정을 준수하지 않을 경우, 비즈니스를 잃거나, 규제당국에 거액의 벌금을 지불하는 상황이 발생할 수 있다"고 덧붙였다.
