유럽 일반개인정보보호법(GDPR) 시행까지 1개월도 채 남지 않았습니다. 그렇지만 SAS 조사 결과, 글로벌 기업의 7%만이 GDPR을 완전히 준수할 수 있는 것으로 나타났는데요. 지금은 마치 한층 더 강력해진 규제 폭풍이 불어오기 전 고요 상태와 같습니다. GDPR이라는 호루라기가 울리면, 이제 경기를 치르는 일만 남았습니다!
5월 25일, 무슨 일이 일어날까요?
상상해볼까요? 5월 25일 아침, 검은색 차량에서 검은 정장을 입은 조사관들이 쏟아져 나옵니다. 그리곤 기업의 아주 작은 GDPR 위반 징조에까지 엄청난 벌금을 물리며 데이터와 관련된 모든 자료를 압수해갑니다. 아무도 장담할 수는 없겠지만, GDPR이 유럽연합 가입국 국민들의 개인 정보를 처리하는 모든 기업에게 적용되기 때문에 이러한 조치는 현실적으로는 어려울 것 같습니다.
예를 들어, 핀란드에서 GDPR 집행을 담당하는 규제 당국은 20명 규모의 데이터 보호 옴부즈맨 오피스입니다. 핀란드에는 2016년 기준 283,563개의 사업체가 등록되어 있는데요. 여기에 비영리 단체와 공공 기관까지 더하면, 규제 당국의 자원은 부족하고 집행 규모가 제한적일 것임을 예상할 수 있습니다. 어디까지나 추측일 뿐이지만, 세무 당국과 비슷하게 자원을 최악의 위반 기업에게 집중하고, 이미 보고된 위반 사항에 주목할 가능성이 큽니다. 당연히 동네 편의점의 단골 손님 리스트보다는 개인 정보를 많이 다루고 대중적인 인지도를 많이 확보한 기업이 첫 번째 타깃이 될 확률이 크겠죠.
GDPR 대응 현황
SAS가 지난 2월 다양한 산업에 종사하는 GDPR 담당자 183명을 대상으로 조사한 결과, GDPR 시행일까지 대비를 마칠 것으로 예상한 기업은 절반에도 미치지 못했습니다(46%). 특히 조사에 참여한 유럽연합(EU) 기업의 53%, 미국 기업의 불과 30%만이 GDPR 시행일까지 준비를 끝낼 것으로 예상했는데요.
이처럼 상당수의 기업이 GDPR 대응에 대한 낮은 자신감을 보였으나, 93%는 GDPR을 준수하기 위해 노력하고 있는 것으로 조사됐습니다. 이중 58%는 체계적인 계획을 세우는 중이며, 35%는 계획을 수립할 예정이라고 답했는데요. 실제 통신, 미디어, 금융과 같이 최종 사용자의 데이터와 가장 밀접한 산업은 GDPR을 준수하기 위해 수년간 노력해 왔습니다.
하지만 일부 소규모 조직들은 GDPR을 단순 보고용으로만 취급하거나, 또 일부 기업은 아무 조치도 취하지 않은 채 어떤 일이 발생할지 기다리고 있는데요. 조직이 클수록 GDPR 준비 프로젝트를 평가, 계획, 실행하기 위한 전담 팀을 확보할 가능성이 높기 때문에 자연스러운 현상일 수 있습니다. 반면 작은 조직의 최고 정보 책임자(Chief Information Officer)들은 이미 과중한 부담을 안고 있으며, 대부분이 GDPR을 피할 수 없는 또 하나의 장애물로 여깁니다.
“GDPR, 데이터 거버넌스와 고객 신뢰 개선할 것”
그렇지만 GDPR은 개인 정보 보호의 끝이 아닙니다. 개인 정보 보호에 대한 요구는 항상 존재하며, 이를 위해 기업은 모든 비즈니스 운영 요소를 장기적인 GDPR 및 개인 정보 보호 프로그램에 포함시켜야 합니다. 데이터 관리 분야에는 ‘누구나 데이터 웨어하우스를 구축할 수 있지만, 이를 유지할 수 있는 사람은 거의 없다’라는 말이 있는데요. GDPR도 마찬가지입니다. 기업은 새로운 데이터 거버넌스 방법을 설정하는 것은 물론 유지할 수 있어야 합니다. 이처럼 GDPR을 준수하기 위해 신중한 작업 계획을 세우면, 거버넌스 모델과 데이터 자산을 최대한 활용할 수 있는 역량을 확보할 수 있습니다.
실제 SAS 조사 결과, 대다수 글로벌 기업은 GDPR 준수를 통해 여러 혜택을 얻을 것으로 예상하고 있었는데요. 전체 응답자의 84%와 유럽연합 응답자의 91%는 GDPR이 데이터 거버넌스를 향상시킬 것으로 기대 했습니다. 또한 응답자의 68%는 GDPR이 기업과 고객 간 신뢰를 높일 것으로 예상했습니다. 이외 GDPR로 인해 얻게 될 혜택으로 개인 데이터 품질 향상, 기업 이미지 제고, 데이터 중심 기업으로 발전 등이 뽑혔습니다.
GDPR 당면과제
동시에 많은 응답자는 GDPR이 기업의 IT 운영(75%)과 비즈니스 운영(63%)에 상당한 영향을 미칠 것으로 예상했습니다. 특히 GDPR을 대비하는 과정에서 가장 큰 당면과제로는 개인 데이터를 저장하는 모든 소스를 파악하는 것이 꼽혔고, GDPR 준수를 관리하기 위한 기술을 습득하는 것이 그 뒤를 이었습니다.
아울러 절반 가량(49%)은 GDPR이 기업의 인공지능(AI) 프로젝트에 중대한 영향을 줄 것이라고 답했습니다. 특히 사전 동의 체결, 정보 분석에 대한 세부 사항 기록 및 감사인 보고, 인공지능 의사결정 시 인적 개입 요구는 인공지능 프로젝트와 가장 밀접한 컴플라이언스 요구조건으로 꼽혔습니다. 무엇보다 어려운 것은 많은 국가의 법안이 GDPR을 준수하기 위해 실제로 무엇이 필요한지에 대해 모호하게 정의하고 있다는 것인데요.
효과적인 GDPR 대응 방안
이런 가운데 많은 기업이 GDPR 대응 계획을 수립하기 위해 전문적인 도움을 받고 있었습니다. 기업의 75%는 법률 또는 컨설팅 지원을 받았거나 받을 계획이라고 답했는데요. 유럽연합(EU) 집행위원회의 제 29조 작업반(Article 29 Working Party)은 GDPR 관련 최신 정보를 제공하는 독립적인 자문 기관입니다. 데이터 이식성(data portability), 데이터 보호 책임자(data protection officer)의 역할, 데이터 보호 영향 평가와 같은 특정 주제에 대해 규정을 어떻게 해석해야 하는지 훌륭한 가이드라인을 제공합니다!
SAS는 ‘SAS 개인 정보 보호 솔루션(SAS for Personal Data Protection)’을 기반으로 기업이 개인 데이터에 대한 접근부터 식별, 거버넌스, 보호, 감사 보고까지 전체 데이터 라이프사이클을 효과적으로 관리하고 GDPR을 준수하도록 지원합니다. 기업은 개인 정보가 저장된 위치를 파악하고, 관련 사용자 활동을 기록해 데이터를 보호할 수 있습니다. 또한 SAS 솔루션을 이용해 데이터를 특정 방식으로 사용할 때 유발되는 리스크를 진단하고, 보안 침해 발생 시 규제 당국에 보고하는 등 GDPR에 한층 더 능동적으로 대응할 수 있습니다.
현대 소비자는 GDPR이 제시하는 수준의 신뢰성을 기대합니다. 앞으로 금융, 소매, 헬스케어 등 모든 산업에서 더 강력한 데이터 보호와 관리에 대한 기대가 높아질 것입니다. 이를 충족하는 기업은 데이터 관리 역량과 규정 준수는 물론 나아가 생산성, 고객에 대한 이해, 서비스 역량을 개선하게 될 것입니다. SAS 웹사이트에서 자세한 정보를 확인해보세요!