Home > 전체기사
“개인정보보호 컴플라이언스는 비용과 편익 분석 통해 가능”
  |  입력 : 2019-06-26 15:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
김성민 김앤장 변호사, ‘기업의 운영 리스크과 컴플라이언스 대응의 중요성’ 강연

[보안뉴스 김성미 기자] “컴플라이언스(Compliance)는 최근 기업 운영에서 강조되는 개념이다. 그러나 완벽한 컴플라이언스는 불가능하기 때문에 사고에 따른 책임을 최소화할 수 있도록 비용과 편익의 분석을 통해 위험과 책임이 존재하는 곳에 집중적인 컴플라이언스 시스템을 구축할 필요가 있다.”

▲PIS FAIR 2019에서 개인정보보호 컴플라이언스 대응에 대한 강연이 진행되고 있다[사진=보안뉴스]


김성민 김앤장 법률사무소 변호사는 6월 26일 서울 삼성동 코엑스에서 열린 ‘PIS FAIR(개인정보보호 페어) 2019’에서 ‘개인정보보호와 컴플라이언스’를 주제로 가진 강연을 통해 “컴플라이언스가 처음 화두가 된 것은 2000년 초반 미국으로, 우리나라에서도 2010년대부터 금융권을 중심으로 강조되기 시작해 전 기업에 확산되고 있다”며 이같이 강조했다.

김성민 변호사는 “컴플라이언스를 단순 번역하면 ‘준수한다’라는 뜻으로, 최근 기업에서는 컴플라이언스팀을 구성할 만큼 강조되고 있는 개념”이라면서 “회사 운영을 위해서는 법령과 내규, 기타 사회 윤리 등을 잘 준수하는지를 관리·감독하므로써 기업의 리스크를 줄이는 것이 필요하다는 인식이 제고되고 있다”고 말했다.

이어 김 변호사는 “기업을 운영하면서 사고를 완벽히 예방하는 것은 쉽지 않지만 포기해서는 안된다. 컴플라이언스는 사전적인 사고 발생 방지와 상시적인 관리의 개념에서 접근해야 한다”면서 “사전적인 방지와 상시적인 관리를 통해 사고를 예방하고 사건이 발생했을 때는 이를 통한 양형 감소 등의 효과를 얻을 수도 있다”고 설명했다.

김 변호사는 “컴플라이언스가 시작된 것은 ‘반부패’라면서 이후 영역이 점차 확대돼 인사노무, 산업 안전·환경, 회계·세무, 개인정보, 공정거래 등에도 영향을 미치고 있다”고 덧붙이며 “기업 경영에 있어서는 예측하기 어려운 사고가 발생하는 경우의 수가 많기 때문에 상시적인 관리가 필요하다”고 말했다.

김 변호사에 따르면 컴플라이언스와 개인정보와 관련성은 △개인정보 라이프 사이클 접근법 △직원 정보와 고객정보 구분 접근법 △위험·책임 접근법 등 3항목으로 나눠 볼 수 있다.

가장 많이 활동되는 것은 개인정보 라이프 사이클 접근법이다. 고객 대상의 개인정보 수집과 이용, 제3자 제공·위탁·국외 이전, (기술적·관리적) 보관, 파기 등 정보의 라이프 사이클에 따라 접근하게 된다. 인사가 강화된 기업의 경우에는 직원 정보와 고객정보 구분 접근법도 활용한다. HR과 영업 부서에서 각각 정보를 분리해 관리한다. 위험·책임 접근법은 법률적인 관점에서 접근하는 것으로, 행정조사와 민사손해배상, 형사 수사 및 처벌에 따른 위험과 책임을 관리하는 것을 가리킨다.

▲강연을 하고 있는 김장법률사무소 김성민 변호사[사진=보안뉴스]


김 변호사는 기업의 입장에서는 위험·책임 접근법에 대한 이해가 필요하다고 특히 강조하며 행정안전부(행안부) 및 방송통신위원회(방통위)의 현장점검을 받아야 할 경우 어떻게 준비해야 하는지도 설명했다. 그에 따르면, 기관의 현장점검은 기관의 사전통지에 따라 행안부·방통위와 한국인터넷진흥원(KISA)가 한 조로 진행된다. 현장점검 준비는 문건과 IT 2가지 카테고리로 준비하면 된다. 행안부·방통위는 문건 중심, KISA는 IT 중심으로 현장점검을 실시한다.

문건 점검에는 △동의서(필수적 사항을 기재했는가, 필수·선택 구분은 돼 있는가, 중요사항은 밑줄로 강조했는가, 모델 동의서를 준비했는가)와 △위탁약정서(수탁업체 전부와 체결, 필수적 사항 기재 유무 등 2가지)가, IT 점검에는 △개인정보처리방침(잘 보이는가, 필수적 사항을 기재했는가, 중요한 사항은 밑줄로 강조했는가) △웹사이트(로그인 시도 실패, 비밀번호 설정, 동의의 위치 등) △내부 서버(구조도, 접속기록, 암호화, 보관 기간·파기) 등이 포함된다. 현장점검 후에는 확인동의서를 작성하게 되며, 바로 동의하면 반박이 불가능하므로 잘 검토하고 동의를 결정해야 하는 것이 좋다.

이어 김 변호사는 기업의 책임 부담을 민사와 형사로 나눠 분석했다. 그에 따르면, 민사에서는 ‘상당한 주의’를 기울였는지가 중요하다. 민법 제 756조는 사용자 책임의 관점에서 ‘타인을 사용해 어느 사무에 종사하게 한 자는 피용자가 그 사무 집행에 관해 제삼자에게 가한 손해를 배상할 책임이 있다. 그러나 사용자가 피용자의 선임 및 그 사무 감독에 상당한 주의를 한 때 또는 상당한 주의를 하여도 손해가 있을 경우에는 그러하지 아니하다’고 정의한다.

여기에서 말하는 ‘상당한 주의’에는 △조직관리를 제대로 했는가 △법령상 요구되는 문건들을 모두 구비했는가 △(IT) 시스템 점검을 정기적으로 했는가 △임직원 교육을 제대로 했는가 또 그 증거는 있는가 △객관적인 외부 자문사의 평가를 받았는가 등이 포함된다.

특히, 민사 사건의 쟁점은 손해 발생 여부이므로, 손해를 사전에 막을 수 없다면 사후적으로 △피해 최소화 조치(미리 프로토콜을 만든다) △사과 내지 친절한 응대(콜센터 또는 고객 민원부서에서 시나리오별 응대) △소정의 보상 등을 통해 대응할 필요가 있다.

한편, 형사 책임은 양벌 규정으로, ‘고의’의 존재 여부가 중요하다. 고의가 있는 경영진이 처벌을 받기 때문이다.

형사 책임은 정보통신망법 제75조의 양벌규정에 따라서, ‘법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조부터 제73조까지 또는 제74조제1항의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 부과하고 있다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관해 상당한 주의와 감독을 게을리하지 않은 경우는 책임을 지지 않는다’고 규정한다. 여기에서의 ‘상당한 주의’는 민사 책임에서의 사용자책임 면제 요건과 유사하다.

형사 책임의 고의 인정은 △불투명한 R&R(명확한 조직체계 및 역할 분담) △무분별한 보고(전결권의 적절한 배분과 보고 단계 조정, 이메일 사용정책 수립) △사후조치의 미비(정기적인 점검 후 하자의 치유) 등에 따라 결정된다.
[김성미 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)