새로운 규제가 제정되면, 규제준수를 도와주는 IT 솔루션이 출시된다. 기업/기관은 이 솔루션을 도입하는 것으로 규제준수 의무를 만족했다고 주장하고 있으며, 실제로 소송을 벌였을 때도 ‘규제준수 솔루션 도입’이 면책사유가 된다.
우리나라에서 그동안 악습으로 지목돼 왔던 이러한 관행은 유럽 일반개인정보보호법(GDPR)과 같은 글로벌 컴플라이언스에서는 통용되지 않는다. GDPR에서는 ‘선량한 관리자의 의무’를 위반했느냐를 중점적으로 따지지, 어떤 IT 솔루션을 이용했느냐는 부차적인 문제다.
SK인포섹의 보안블로그에 게재된 ‘EQST 인사이트’ 컬럼에서는 “글로벌 GDPR 솔루션을 직접 활용하는 것도 좋은 방법이지만, 국내 개인정보보호법을 충족하면서 GDPR 요건을 충족시킬 수 있는 기반을 마련하기 위한 전사 체계를 우선 마련하고 이를 시스템화 할 수 있는 적절한 솔루션을 선정해 활용하는 것이 현명한 접근법”이라고 조언했다.
이 칼럼에서는 “개별 기업에서 개인정보보호 강화를 위한 관리적/기술적 조치를 단순히 유럽 비즈니스에 국한된 범위로만 볼 것이 아니라, 전사적인 개인정보보호 체계의 밑그림을 그리고 이를 완성하기 위한 단계적 투자와 이행으로 통해 총괄 개인정보보호 수준을 높여야 한다”고 설명했다.
“글로벌 관점에서 GDPR이 중요하고, 현재 가장 화두가 되는 컴플라이언스 요건이지만, 2011년 이후 시행되고 있는 국내 개인정보보호법부터 제대로 대응하고 있는지 냉철히 반문해 볼 필요가 있다.”
이렇게 지적하며 컬럼에서는 “GDPR은 물론 한국 개인정보보호법 요건까지 준수 가능하도록 역할 규정, 정책, 프로세스 수립, 지속적인 모니터링, 사고대응, 감사, 평가 등 기업의 개인정보보호에 대한 전반적 체질 개선을 구현하는 것이 필요하다”고 덧붙였다.
이어 컬럼에서는 “GDPR 대응은 단편적 대책, 일회성 투자로 끝날 성격의 과업이 아니다. 기업이 다양한 비즈니스를 영위하고 확대하면서 보유해야 하는 개인정보의 대상과 범위가 지속적으로 바뀌고, 해당 개인정보를 처리하는 방식도 지속해서 변경될 수 밖에 없기 때문”이라며 “개인정보 유출 및 오남용 등 발생 가능한 위험을 야기시킬 수 있는 위협이 고도화되고 있기 때문에 개인정보 보호 활동은 끝이 없다”고 밝혔다.
