![[미래포럼] 개인정보보호법과 영향평가](https://img.etnews.com/photonews/1106/141303_20110608170932_601_0001.jpg)
개인정보보호법 시행까지 4개월이 채 남지 않았다. 이 법률의 파급 효과가 크지만 정보통신망법의 규제를 받아온 기존 사업자는 물론이고 새로 규제를 체험할 대부분의 기업들은 무엇을 어느 정도 수준에서 준비하고 이행해야 할지 혼란스러울 따름이다.
최근 현대캐피탈 개인정보 유출사고와 농협 전산 사고를 포함해 연일 보도되는 개인정보 유출 및 해킹 범죄로 인해 국민의 놀란 가슴은 아직 진정되지 않았다. 기업의 개인정보보호 대응 노력이 더욱 실효적으로 이루어지길 바라는 마음은 우리 모두가 하나일 것이다. 하지만 100% 보안사고를 막는 것은 불가능하다는 가정에서 기업이 그 본연의 관리적 책임을 다하는 수준을 명확히 설정하기란 무척 어려운 일이다. 아무리 강력한 보안체계와 보안시스템을 갖춘다 할지라도 장기간의 기획을 통해 치밀하게 계획된 공격을 막아 내기란 결코 쉽지 않다.
근본적인 대응체계의 전환 없이 현재의 보안 관리체계를 고수할 경우 또 다른 대형 사고를 막기는 거의 불가능하다. 다가오지 않은 사고에 대해 무한한 자원을 투자하고 유지하는 것은 오히려 기업 활동의 위축을 가져올 가능성이 높다.
기업은 법률에 따른 최소한의 개인정보보호체계를 무작정 갖추기 이전에, 기업이 의존하는 정보시스템의 비중과 특징을 고려해 업의 개념에 걸맞고 경제성 있는 방안을 모색해야 할 것이다. 예를 들어 사업에 불필요한 개인정보를 수집하고 있다면, 이를 중지해 사고에 대한 리스크를 근본적으로 회피하는 것도 좋은 방법이다. 무의식적으로 활용에 대한 계획도 없이 개인정보를 수집하고, 무분별하게 계열사, 제휴사 및 제3자에게 제공하는 등의 행위가 업을 영위하는 데 필수적인 것인지 따져봐야 할 것이다.
개인정보를 활용해 사업을 영위하는 기업은 개인정보 수집에 들어가는 비용과 돌아올 편익이 균형을 이루거나 이익을 가져오는지 면밀히 계산할 필요가 있다. 이런 이유로 개인정보보호법의 시행에 즈음해 프라이버시 경제학에 대한 연구가 절실하다.
2009년 IBM의 리서치에 따르면 설계 단계에서 정보보호를 고려하면 운영단계 이후 정보보호 비용이 60배에서 100배까지 절감된다. 즉 어쩔 수 없이 개인정보를 수집해 활용할 수밖에 없다면, 사고에 대한 예방 및 회피가 가능하도록 설계 단계에서 이를 점검하는 절차를 기업의 모든 정보시스템 구축환경에 적용해 운영해야 한다. 그래야 차후에 정보시스템 운영환경에서 발생할 보안시스템 구축 및 운영과 시스템 보완투자를 획기적으로 줄일 수 있다.
다행히 개인정보보호법 제33조는 이러한 예방 절차의 일환으로서 개인정보영향평가라는 글로벌한 프로세스를 공공기관에 의무화했다. 민간기업도 적극 노력할 것을 주문했다. 이는 법 내부에 거의 유일하게 강제화한 제도다.
개인정보영향평가는 미국과 캐나다 정부 등이 새로운 정보시스템을 구축하거나 정보시스템에 중대한 변경이 있을 경우에 의무화한 체계다. 미국이 전자여권에 생체정보를 포함할 때 수행되는 등 개인정보 활용 정보시스템의 구축에 필수적인 절차다. 최근 구글이 스트리트뷰 서비스 제공을 위해 공개된 와이파이(Wi-Fi) 송수신 데이터를 수집해, 서구 각국으로부터 압수수색, 벌금, 기소 등의 제재를 받을 때에도 주목을 받은 제도다. 호주와 캐나다는 구글에게 개인정보영향평가를 수행한 결과를 자국 개인정보보호위원회에 제출하도록 했다.
개인정보보호법 제74조는 법인 또는 개인이 그 위반 행위를 방지하기 위해 해당 업무에 관해 상당한 주의와 감독을 게을리 하지 않은 경우 그에 해당하는 관리 책임을 경감해주는 양벌규정을 포함했다. 기업이 개인정보처리자로서 그 의무를 다한다는 의미는 사고가 발생하기 전에 예방과 회피 노력을 적극적으로 수행하고 기업 내에서 정형화해 운영할 때 관리적 책임을 다하였음이 입증되고 그 벌이 경감될 수 있을 것이다.
대형 건물을 지을 때 주변 도로의 교통영향평가를 하고 자연을 개발할 때 환경영향평가를 한다. 이를 통해 추후에 발생할 예기치 못한 재난을 예방할 수 있듯이 기업과 정부기관은 개인정보보호법 내의 개인정보영향평가 의미를 되새겨 적극 활용함으로써 소 잃고 외양간 고치는 일은 없어야 하겠다.
이경호 고려대학교 정보보호대학원 겸임교수 kevinlee@korea.ac.kr