2011년 9월 개인정보 보호법이 제정·시행됨에 따라 여러가지 개인정보 보호 제도나 개인정보 처리를 위해 준수해야 할 기준 등이 도입되었고, 그로 인해 보호의 사각지대가 사라지고 안전한 개인정보 처리 시스템이 갖추어지는 등 성과가 나타나고 있다. 하지만 그간의 노력에도 불구하고 사상 초유의 카드 3사 개인정보 유출사고가 있었고 그 여파가 채 가라앉기도 전에 통신사, 소셜커머스업체 등에서 추가로 개인정보가 유출되는 등 빈번한 유출사고 발생으로 국민 사이에 불안감이 확산되어 기업의 책임성을 대폭 강화해야 한다는 목소리가 높아졌다.

이에 정부는 지난 7월 31일 전반적인 실태점검과 그간의 정보 유출 사고사례 분석을 바탕으로 새로운 손해배상제도의 도입, 개인정보범죄에 대한 처벌 강화, 주민번호의 제한적 변경 허용 등 7대 핵심과제를 담은 ‘개인정보 보호 정상화 대책’을 발표함으로써 개인정보보호에 대해 기업 스스로 책임지는 문화와 시스템이 사회 전반에 정착될 수 있도록 노력하고 있다.

이미 지난 8월 기고에서 ‘개인정보보호 정상화 대책’에 대한 대강의 내용을 소개하였으므로 이번 내용에서는 업무상 개인정보를 처리하고 있는 기관이나 기업들이 앞으로 준비해야 할 내용은 무엇인지 살펴보자.

이번 정상화 대책을 통해 앞으로는 관리소홀 등으로 고객의 개인정보를 유출한 기업이나 불법 유통을 통해 범죄수익을 챙긴 자들은 시장에서 퇴출될 수 있을 정도의 강력한 책임을 지게 될 것으로 전망된다. 따라서 개인정보를 취급하거나 처리하는 기관 또는 사업주들은 먼저, 개인정보 처리 실태 전반을 점검하고 불필요하게 개인정보를 수집하는 각종 업무절차 및 관행 등을 개선해야 하며 아예 처음부터 꼭 필요한 정도의 개인정보만 수집하고 수집된 정보는 안전하게 관리하는 방식으로 기업 문화 전반을 개선해야 할 것이다. 특히 주민번호를 중심으로 이뤄졌던 개인식별체계의 관행을 다시 한번 점검해서 다른 대체수단이 없는지 찾아보고 개선하려는 노력이 필요하다. 다른 개인정보에 비해 주민번호에 대해서는 유출시 강화된 처벌과 막대한 저장비용(2016년 1월 1일부터 주민번호 저장시 암호화 의무 적용)이 수반되기 때문이다.

두번째, 스스로 구조적 취약점을 분석하고 이에 대한 대책을 마련해야 한다. 예를 들어 복잡한 유통구조를 가지는 회사나 마케팅 활동을 기반으로 한 영업구조를 가지는 회사는 불법 유통 개인정보에 노출될 위험성이 높다. 따라서 이러한 경우에는 위험성을 최소화 할 수 있는 적절한 업무시스템을 마련하고 담당직원이나 수탁자에 대한 철저한 교육 및 점검 등을 통해 구조적 취약점을 보완하는 것이 필요할 것이다. 또한 정보주체에게 직접 제공받지 않은 개인정보(제3자 제공정보 등)들은 유통경로를 꼼꼼히 따져보고 제공받음으로써 혹시라도 불법 유통된 정보를 취득하지 않도록 주의하면서, 명확한 이력관리를 통해 법에서 정한 정보주체의 고지의무에 대비해야 할 것이다.

세번째, 과감한 선투자와 전문인력 확보를 통해 기업의 정보보호 수준을 한층 더 업그레이드 해야 한다. 고객 정보의 보호는 더 이상 불필요한 비용이 아니라 기업의 생존을 좌우할 수 있는 필수적인 요소이다. 따라서 해킹 기술 발전 등에 대응한 정보보호 수준을 유지하고, 유출 피해를 최소화하는 기술적 보호조치(암호화 등)에 대한 선제적 투자와 전문인력 확보가 매우 중요하다. 마침 금번 정상화 대책에서는 중소기업의 정보보호 시설·제품 등에 대한 직접 투자 비용의 조세감면을 연장 및 확대할 계획임을 밝히고 있으므로 이를 활용하는 것도 좋은 방편이 될 것이다.

그동안 우리 사회에서는 고객의 소중한 개인정보를 기업의 자산으로 여기며 활용하면서도 정작 안전성 확보 노력에는 소홀해 왔던 것이 사실이다. 이제 우리사회는 개인정보의 완벽한 보호가 신뢰성과 안전성을 담보하는 핵심 자산이라는 인식 하에 사회적 자본(Social Capital)으로 자리매김할 수 있도록 패러다임을 전환해 나가야 할 때이다. 이번 정상화 대책을 통해 개인정보보호 인식과 체질을 개선하고 책임자에게 철저하게 책임을 묻는 시스템이 정착되어 안전하고 신뢰받는 정보사회가 구현되기를 기대한다.