“여행정보 공유 사이트, GDPR 준비 됐나요”
상태바
“여행정보 공유 사이트, GDPR 준비 됐나요”
  • 김선애 기자
  • 승인 2018.04.03 17:02
  • 댓글 0
이 기사를 공유합니다

삼정KPMG “유럽 시민 이용하는 모든 서비스 점검해야…GDPR 준수 노력은 평행 이어가야”

한국이 전 세계인의 인기 관광지로 부상하고 있다. 전 세계 많은 국가의 여행객들이 한국의 구석구석을 여행하며 아름다운 문화유산과 자연, 친절한 시민들에 감동했다는 후기를 남기고 있다. 그런데 외국인 관광객의 숙박정보, 여행지 예약 정보는 어떻게 관리되고 있을까?

대형 여행사와 항공사에서도 개인정보 유출 사고가 이어지고 있는 상황에서, 숙박업과 같은 개인사업자 혹은 소규모 사업자들이 여행객 정보를 잘 관리하고 있다고 장담할 수 없다. 에어비앤비로 숙박 공유사업을 하는 사업자가 유럽 여행객의 정보를 잘 관리하지 않아 유출사고가 발생하면, 유럽 일반개인정보보호법(GDPR) 위반으로 막대한 벌금을 낼 수 있다.

김민수 삼정KPMG 상무이사는 “GDPR은 글로벌 B2C 사업을 전개하는 기업에만 해당된다고 생각하면 안 된다. 에어비앤비와 같은 숙박공유 사업이나 숙박 및 여행 관련 정보를 공유하는 O2O 사업자 등 유럽 시민도 이용하는 서비스 사업, 국제 NGO단체 등 유럽 시민이 참여할 수 있는 모든 서비스에서 GDPR 적용되는지 반드시 점검해야 한다”고 말했다.

“개인정보는 기업의 자산이며 부채”

내달 25일 시행되는 GDPR은 유럽에 사업장이 없어도 비즈니스에서 유럽 시민의 개인정보를 활용하는 모든 범위에서 적용된다. 유럽 시민을 대상으로 비즈니스를 하거나 유럽 시민을 임직원으로 고용할 때에도 해당된다.

IT 기업과 대형 로펌, 경영 컨설팅 기업들은 GDPR의 막대한 벌금을 강조하며 GDPR 대응을 위한 IT 시스템 도입, 컨설팅, 자문 서비스 등이 필요하다고 역설한다. 그러나 무턱대고 IT 시스템을 도입하거나 계획 없이 컨설팅·자문 서비스를 받는 것은 바람직하지 않다. GDPR은 일회성 인증이 아니라 꾸준하게 준수되어야 할 컴플라이언스이기 때문에 지속적으로 점검하고 관리하는 체계를 마련하는 것이 중요하다.

KPMG가 최근 발표한 GDPR 대응 가이드라인에서는 “GDPR 준수 노력은 평생 이어가야 하는 것”이라며 “GDPR 준수를 위해 과도한 기술적 투자를 먼저 하지 말라. GDPR은 고객 정보와 임직원 정보에 집중해야 하는 것이지, IT 솔루션 도입만으로 해결할 수 있는 것은 아니다”라고 강조하고 있다.

또한 “개인정보는 회사의 자산이며 부채라는 점을 염두에 두어야 한다. 개인정보를 제대로 활용하면 자산으로 높은 가치를 인정받을 수 있지만, 제대로 관리하지 못하면 막대한 비즈니스 손실은 물론이고 고객이나 임직원에게 피해보상을 해야 하고 정부로부터 벌금 등을 부과 받을 수도 있다”고 조언한다.

▲컴플라이언스 리더들은 조직 내에서 실현 가능하고 실리적인 개인정보 보호 전략을 수립하고 상시적이고 지속적으로 관리해야 한다.(이미지출처: KPMG ‘Privacy Compliance Challenges’)

“개인정보 보호 노력, 중단없이 지속돼야”

국내 기업 중에서 GDPR에 적용되는 사업이 많은 것은 아니라고 생각할 수 있지만, 미처 파악하지 못한 부분에서 EU 시민의 개인정보를 활용하고 있을 수 있으므로 전사 관점에서 미리 점검하는 과정은 반드시 있어야 한다.

김 상무는 “5월 25일 GDPR 정식 발효 후 세부 가이드라인이 추가적으로 발표될 것이며, 운영과정에서도 지속적인 재·개정이 있을 것이므로 기업들은 개인정보를 체계적으로 관리하려는 노력을 중단 없이 계속해야한다”고 말했다.

한편 KPMG는 프라이버시 그룹에서 GDPR 구축 대응 방법론을 발표했으며, 컨설팅과 자문 서비스를 제공하고 있다. GDPR 대응을 도와주는 IT 솔루션은 마이크로소프트와 함께 공급하고 있으며, 애저 클라우드를 사용하는 환경에서도 GDPR에 대응할 수 있도록 지원한다.

한국기업의 독특한 문화에서 GDPR 대응 체계를 수립하기 위해 한국 법인인 삼정KPMG에서는 2~3주 내에 GDPR 적용을 받는 사업을 찾고 준비도를 평가해 경영진이 GDPR과 관련된 리스크를 한 눈에 볼 수 있도록 도와준다. GDPR 대응 노력을 전개하는 한편 지속적인 모니터링과 감사를 제공해 비즈니스 연속성 내에서 규제를 준수할 수 있도록 지원한다.

또한 글로벌 KPMG 조직을 통해 GDPR 대응 협력을 전개하며, 특히 유럽 법인을 통해 GDPR의 세부 항목에 대한 해석과 대응체계에 대한 지원을 받을 수 있도록 협업하고 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.