2016년 4월 유럽 일반개인정보보호법(GDPR; General Data Protection Regulation)이 채택됐을 때만해도 2018년 5월 25일 법률 시행일은 멀게만 느껴졌는데요. 23년만에 찾아온 대대적인 개편! 새로운 유럽 개인정보보호법(European data privacy laws)의 시행까지 이제 단 몇 주밖에 남지 않았습니다.
오늘은 GDPR이 무엇인지, 기업에 어떤 영향을 미치는지, 개인 정보 활용 동의를 어떻게 관리할 것인지 등에 대한 전반적인 논의부터 그 효과적인 대응 방안까지 GDPR의 핵심 내용을 총 정리했습니다. 새로운 법을 얼마나 잘 파악하고 있는지 또 얼마나 준비됐는지 점검해볼까요?
1. GDPR 적용 범위
몇몇 비즈니스 리더들의 생각과는 달리 GDPR은 유럽 국가에만 적용되는 것이 아닙니다. 유럽 연합(EU) 소속이 아닌 기업에도 GDPR은 적용됩니다. 즉 마이애미, 시드니, 멕시코 시티 등 본사의 소재지와 관계없이 EU 가입국 국민들의 개인 정보를 처리한다면 반드시 GDPR을 준수해야 합니다.
2. GDPR의 소비자 효과
금융 범죄와 신원 도용 사기가 성행하는 가운데 개인정보와 연락처를 공유하는 것에 대한 우려가 점점 더 커지고 있는데요. GDPR이 시행되면 개인 정보에 대한 책임의 주체가 완전히 뒤바뀝니다. 유럽연합 국가 시민들은 유럽 의회, 유럽 연합 이사회, 유럽 위원회의 전적인 지지 하에 부당한 압력이나 금전적 손해 없이 기업이 보유한 모든 개인 데이터에 대한 접근, 거부, 시정 등의 권리를 갖게 됩니다.
즉 소비자는 기존 혜택은 유지하면서 개인 정보를 철저히 통제할 수 있게 됩니다. 예를 들어, 반복적인 마케팅 전화에 시달린 시민은 GDPR 제 17조에 따라 여러 이유로 개인 정보 삭제를 요구할 수 있습니다. 따라서 유럽 연합 시민의 데이터를 처리하는 모든 기업은 이 정보를 저장∙관리∙처리하는 방법을 명백히 문서화해야 합니다. 영국 정부 또한 브렉시트와 상관없이 GDPR을 전면 이행하기로 했으며, 관련해 새로운 데이터 보호 법안을 마련하고 있습니다.
이처럼 영국을 포함한 유럽 전역의 모든 기업이 GDPR 대응 방안을 모색하고 있는 가운데, 소비자 사이에서도 새로운 데이터 주권에 대한 의식이 높아지고 있습니다. 실제 SAS가 영국 성인 2천명을 대상으로 조사한 결과, 48% 이상이 이 새로운 데이터 주권을 적극 활용할 것으로 답하며 긍정적인 입장을 보였는데요. 또 응답자의 64%는 데이터에 대한 ‘접근’ 권리가, 62%는 데이터를 ‘삭제’할 권리가 가장 유용할 것으로 판단했습니다.
3. GDPR 리스크, 벌금과 기업 평판
SAS의 최근 조사에 따르면, 절반 이하(45%)의 기업만이 GDPR 준수를 위한 구조적인 계획을 수립했으며, 과반수 이상의 기업들(58%)은 불이행 시 초래되는 결과에 대해 완벽하게 인지하지 못하는 것으로 나타났습니다. 그러나 GDPR 위반 시 최대 2천2백만 달러 또는 전 세계 연간 매출액의 4% 중 더 높은 금액이 과징금으로 부과되는 등 상당한 처벌이 뒤따르는데요.
기업은 이처럼 막대한 벌금은 물론 그보다 더 큰 리스크인 기업의 평판에 부정적인 영향을 미칠 수 있다는 가능성에도 주목해야 합니다. GDPR을 위반할 경우 수년간 힘들게 쌓아 올린 브랜드 평판과 고객 신뢰를 잃게 될 수 있습니다. 장기적인 관점에서 이러한 손실은 벌금보다 훨씬 더 큰 문제입니다.
4. GDPR, 데이터 거버넌스 개선의 기회
SAS 조사 결과, 거의 모든 기업(98%)은 GDPR 준수에 어려움을 겪고 있다고 답했습니다. 가장 큰 도전과제로는 GDPR에 충분히 대응하고 있는지 여부를 파악하는 것을 꼽았는데요. 특히 유럽 연합에 소속되지 않은 기업의 무려 71%가 이 문제로 골머리를 앓고 있었습니다.
반면 기업들은 GDPR을 새로운 기회로 여기고 있습니다. 설문 참여 기업의 70% 이상은 GDPR을 통해 데이터 거버넌스가 향상될 것으로 기대하고 있습니다. 또 37%는 전반적인 IT 역량이 개선될 것으로 예측했습니다. 이렇게 GDPR은 기업이 개인 정보뿐만 아니라 모든 데이터에 대한 기존 거버넌스 정책을 재평가할 수 있는 기회입니다. 빠르게 증가하고 있는 데이터는 기업의 핵심 자산입니다. 올바른 데이터 거버넌스 정책을 수립한 기업은 GDPR 준수는 물론 분석 프로세스 개선, 운영 효율성 최적화, 비용 절감 등 경쟁 우위를 창출할 수 있습니다.
5. GDPR 접근법, 개인 정보 활용 동의 관리하기
많은 기업은 다양 채널과 장소에서 수많은 애플리케이션을 운영합니다. 이러한 소스로부터 데이터를 모으는 활동과 과거 수집 동의를 얻은 모든 개인 데이터를 매핑하는 활동 모두 기업에게 도전과제입니다. 즉 성공적인 데이터 보호 프로그램은 개인 데이터와 이와 관련하여 개개인에게 얻은 동의, 두 가지 모두를 필요로 합니다. 기업은 조직 정보를 연결함으로써 개인 데이터가 사용되는 방법과 각 목적에 대한 동의를 모두 손쉽게 추적할 수 있습니다.
SAS는 1) 동의된 정보와 2) 데이터 사용 정책 및 3) 개인 데이터를 연결해 개인 정보와 그 사용법에 대한 완벽한 그림을 제공하는 접근법을 지원합니다. 이 3가지 요소를 조합하면 컴플라이언스 보고가 쉬워질 뿐만 아니라 개개인의 특정 동의에 따라 마케팅 캠페인과 기타 채널 활동을 수행할 수 있습니다.
6. GDPR 대응 기술, 민감한 개인 정보 식별하기
모바일, 클라우드, 소셜 네트워크 등 데이터 소스가 다양해질수록 개인 식별 정보(PII; Personally Identifiable Information)의 취급은 더욱 어려워지고 있습니다. 그러나 GDPR이 시행되면 기업은 주민등록번호, 사회보장번호, 이메일 주소, 생년월일 등 개인 식별 정보가 어디에 어떻게 저장되고 사용되는지 정확히 이해해야 합니다.
이처럼 GDPR 컴플라이언스에서 가장 어려운 부분은 어떤 데이터 자산이 개인 정보를 포함하고 있는지 그리고 기업이 그 데이터를 보호할 수 있는지 여부를 파악하는 것입니다. 기업은 데이터 필터, 샘플링 기법, 알고리즘으로 민감한 개인 정보가 저장되어 있는 위치에 상관없이 정형 및 비정형 데이터 소스 모두에서 개인 데이터를 식별, 추출할 수 있습니다.
7. GDPR이 보험 업계에 가져온 혜택
GDPR은 보험 산업에 적용된 가장 최신 규정입니다. 여러 보험사들은 GDPR 준수를 위한 노력에 부가 가치가 따른다는 사실을 입증했습니다. 고객 경험 개선부터 사기 방지에 이르기까지, 우수한 데이터 관리 체계를 마련한 보험사들은 GDPR이라는 새로운 도전과제에 성공적으로 대응한 것은 물론 비즈니스 전체의 성과를 높이고 있는데요.
실제 45년간 그리스 보험 시장의 선두 자리를 지키고 있는 그리스 최대 민간 보험사 인터아메리칸(Interamerican)은 GDPR을 컴플라이언스 프레임워크는 물론 기업 전체 운영 효율성을 향상시킬 수 있는 좋은 기회로 활용하고 있습니다. 인터아메리칸은 100만 이상의 개인 및 기업 고객의 정보를 보호하기 위해 ‘SAS 포 퍼스널 데이터 프로텍션(SAS for Personal Data Protection)’을 도입하여 정보와 데이터의 가용성, 완전성, 정확성 측면에서 기존 정책과 절차를 크게 개선했습니다.
8. GDPR 데이터 관리 요건 충족하기
GDPR의 요건 중 하나는 기업이 누가, 언제 개인 데이터에 대한 접근을 요청했는지 파악하고 증명할 수 있어야 한다는 것입니다. ‘SAS 페더레이션 서버(SAS Federation Server)’는 기업이 처리, 저장하는 개인 데이터에 대한 접근, 식별, 보호, 모니터링, 감사를 지원합니다. 또 ‘SAS 데이터 거버넌스(SAS Data Governance)’와 ‘SAS 데이터 퀄리티(SAS Data Quality)’와 같은 SAS 데이터 관리 솔루션은 수용 가능한 데이터 사용을 위해 개인 데이터를 보호하고 관련 정책을 지원합니다.
9. 프로파일링 자동화에 대한 거부
GDPR 제 22조에 따르면 프로파일링을 포함한 자동화된 개인 의사결정은 논쟁의 대상이 될 수 있습니다. 즉 자동화된 시스템이 내린 의사결정에 불이익을 느낀 소비자는 사람의 직접적인 개입을 요구할 수 있는데요. 또한 결과에 대한 설명을 요청하고, 기업에 알고리즘 사용 거부를 요구할 수도 있습니다. 예를 들어, 알고리즘의 의사결정에 따라 특정 소비자에게만 할인 혜택을 제공하는 소매 업체에 해당될 수 있는데요.
따라서 기업은 반드시 자동화된 의사결정에 있어 1) 개인별로 어떻게 분석 처리가 적용됐는지에 대한 명확한 정보를 제공해야 하며 2) 특정인이 해당 처리를 거부할 수 있도록 보장해야 합니다. 그렇다면 기업은 자가학습(self-learning) 알고리즘을 어떻게 관리해야 할까요? 자가학습 알고리즘의 ‘블랙박스(black-box)’ 문제를 검토하고, 베스트 프랙티스 체크 리스트를 통해 점검해보세요.
10. 생각해볼 점, 진실성
GDPR은 개인정보보호(프라이버시) 권리를 ‘기본권’으로 간주합니다. 소프트웨어 서비스 제공 업체는 개인 데이터를 저장하고 사용하는 방법에 대해 진지하게 고민해봐야 합니다. 단순히 불이행에 따른 벌금 때문만이 아니라 실제 ‘옳은 일’이기 때문인데요. 즉 GDPR은 기업의 ‘진실성(integrity)’과도 연관됩니다. 어떤 기술을 사용하든 기업은 소비자에게 개인 정보가 어떻게 관리되는지에 대해 확신을 줄 수 있어야 합니다.
GDPR 준수를 위한 효과적인 5단계 접근법
그렇다면 GDPR을 효과적으로 준수하기 위해 기업은 어떤 조치를 취해야 할까요? 많은 경우 새로운 데이터 관리 및 거버넌스 프로그램을 구현하거나, 기존 프레임워크를 확장해야 합니다. SAS는 입증된 기술을 기반으로 GDPR 준수를 위한 데이터 관리 기반을 확립하는 데 효과적인 5단계 접근법을 권장합니다.
1. 접근(Access): 관계형 데이터 소스와 아파치 하둡(Apache Hadoop)과 같은 새로운 빅데이터 기술 등 다양한 파일 유형의 데이터에 접근하고 블렝딩한다.
2. 식별(Identification): 데이터 필터, 샘플링 기법, 정교한 알고리즘으로 정형 및 비정형 데이터 소스로부터 개인 데이터를 식별하고 추출한다.
3. 거버넌스(Governance): 조직 전체에 걸쳐 거버넌스 정책을 시행하고, 데이터 품질을 모니터링하며, 비즈니스 용어를 관리한다. 그리고 용어별 소유자를 할당하고 보고서 또는 데이터 소스와 같은 정책이나 기술 자산에 연결한다.
4. 보호(Protection): 역할 기반 데이터 마스킹 및 암호화 기법으로 민감한 정보를 보호하고, 민감한 데이터의 노출을 최소화하기 위해 이동 없이 동적으로 데이터를 블렌딩한다.
5. 감사(Audit): 인터랙티브 보고서로 사용자, 파일, 데이터 소스, 감지된 PII 유형을 식별한다. 또한 PII 데이터에 접근한 사용자와 비즈니스에서 어떻게 보호되고 있는지 확인한다.
SAS는 기업이 전체 분석 라이프사이클에 걸쳐 개인 정보의 위치를 파악하고 개인 정보로 취급되는 데이터, 개인 정보에 접근할 수 있는 사용자, 개인 정보와 관련된 모든 사용자 활동을 기록하고 보호하도록 지원합니다. 기업은 데이터 소유권과 데이터가 기업 내 다른 요인들과 어떻게 연관되어 있는지에 대한 개인 정보 보호 규칙을 수립할 수 있습니다. SAS 웹사이트에서 GDPR 준수를 위한 효과적인 솔루션 ‘SAS 포 퍼스널 데이터 프로텍션(SAS for Personal Data Protection)’에 대해 자세히 확인해보세요.
