THE FACT

검색
메뉴
사회
[기획 칼럼⑰] 상시적 내부통제 강화는 규제 아닌 경영문화로 자리 잡아야
내부통제 강화의 목표는 처벌이 아니라 자율책임의 확립이다. CEO와 CPO의 책임을 강화하는 제도적 장치가 실효성을 가지려면, 기업이 스스로 개인정보보호를 ‘경영의 신뢰 자산’으로 인식할 수 있는 환경이 조성되어야 한다. 사진은 개인정보보호법학회 세미나 장면./개인정보보호법학회
내부통제 강화의 목표는 처벌이 아니라 자율책임의 확립이다. CEO와 CPO의 책임을 강화하는 제도적 장치가 실효성을 가지려면, 기업이 스스로 개인정보보호를 ‘경영의 신뢰 자산’으로 인식할 수 있는 환경이 조성되어야 한다. 사진은 개인정보보호법학회 세미나 장면./개인정보보호법학회

AI(인공지능) 대전환 시대에 발맞춰 인터넷 종합 미디어 <더팩트>와 <개인정보보호법학회>가 손잡고 '인공지능 대전환시대 데이터법제의 발전'을 주제로 한 기획 칼럼 시리즈를 연재합니다. 이번 기획은 AI 혁신을 위한 필수 과제인 데이터의 활용과 보호 간 균형을 맞추는 정교한 법제도 정비의 중요성에 주목했습니다. 특히 AI 시대에 맞는 개인정보보호법 재설계의 필요성에 대한 심도 있는 논의를 이끌어낼 예정입니다. 데이터가 어떻게 수집되고, 활용되며, 보호돼야 하는지에 대해 전문가들의 학문적 분석과 사회적 담론을 제공합니다.<편집자 주>

[더팩트 | 홍준호 교수(성신여대 융합보안공학과, 개인정보보호법학회 연구이사)] 최근 정부가 발표한 '개인정보 안전관리 체계 강화 방안'은 기업의 개인정보보호 수준을 제도적으로 한 단계 끌어올리기 위한 강력한 신호탄이다. 그중에서도 ‘상시적 내부통제 강화’는 단순한 보안조치의 강화가 아니라, 기업 경영의 패러다임 변화를 의미한다.

앞으로 개인정보보호는 더 이상 보안부서만의 업무가 아니라, CEO가 직접 책임지는 핵심 경영과제로 자리 잡게 될 것이다. 정부는 이번 개정을 통해 기업 대표(CEO)를 개인정보보호 위험관리의 최종 책임자로 명문화하고, CPO(개인정보보호책임자)가 매년 이사회에 위험관리 및 내부통제계획을 보고하도록 의무화했다. 이는 개인정보보호를 기업의 지배구조 안으로 끌어들인 획기적인 조치다.

그러나 기업 현장에서는 우려의 목소리도 적지 않다. 특히 전담 인력이 부족한 중소기업의 경우, CEO가 법적·행정적 책임까지 떠안는 구조는 경영 리스크의 과도한 집중으로 이어질 수 있다. 또 하나의 쟁점은 CPO의 실질적 권한이다. 법령상으로는 이사회 의결을 거쳐 임명하고 개인정보보호위원회에 지정 신고까지 하도록 되어 있으나, 현실에서는 여전히 정보보호나 마케팅 부서를 겸직하는 수준에 머무는 경우가 많다. 제도의 취지를 살리려면, CPO가 조직 내에서 독립성과 전략적 발언권을 확보할 수 있도록 기업문화와 인사체계의 변화가 병행되어야 한다.

개인정보보호 조직은 매출을 직접 만들어내는 부서가 아니다. 기업의 이익을 확장하기보다, 위협으로부터 조직을 지켜내는 ‘보이지 않는 방어선’의 역할을 맡고 있다. 이 때문에 예산과 권한 면에서 소외되기 쉽다. 그러나 보안 사고가 ‘없다’는 것은 단순히 아무 일도 일어나지 않았다는 뜻이 아니다. 그것은 수많은 위험을 미리 차단하고, 기업의 신뢰와 연속성을 지켜냈다는 결과이기도 하다.

홍준호 교수(성신여대 융합보안공학과, 개인정보보호법학회 연구이사)

이제는 관점을 바꿔야 한다. 사고가 발생하지 않고 안정적으로 운영되는 기업에는 명확한 인센티브가 주어져야 한다. ‘문제가 없었다’는 결과가 곧 ‘가치를 지켜낸 성과’임을 인정할 때, 기업의 보안 수준은 한 단계 더 성장할 수 있을 것이다.

상시적 내부통제의 강화는 필연적으로 운영비용의 증가를 수반한다. 정부는 전체 정보화 예산의 10% 이상을 개인정보보호 예산으로 확보한 기업에 인센티브를 부여하기로 했지만, 중소규모 사업자에게는 여전히 높은 문턱이다. 단순히 예산 투입 비율로 평가하기보다, 실제 보호 수준의 개선과 사고 예방 효과를 반영한 성과 중심의 평가체계로 전환할 필요가 있다. 특히 대기업과 중소기업 간의 환경 차이를 고려해 차등화된 예산과 평가지표를 설계하는 것이 바람직하다.

결국 내부통제 강화의 목표는 처벌이 아니라 자율책임의 확립이다. CEO와 CPO의 책임을 강화하는 제도적 장치가 실효성을 가지려면, 기업이 스스로 개인정보보호를 ‘경영의 신뢰 자산’으로 인식할 수 있는 환경이 조성되어야 한다. 데이터 시대의 경쟁력은 기술이 아니라 신뢰에서 비롯된다. 상시적 내부통제가 강제된 규제가 아니라, 자율적 투명성의 문화로 자리 잡을 때 우리 사회의 개인정보보호는 한 단계 성숙하게 될 것이다.

홍준호 교수(성신여대 융합보안공학과, 개인정보보호법학회 연구이사)
홍준호 교수(성신여대 융합보안공학과, 개인정보보호법학회 연구이사)

▶AI 대전환시대 공동 기획 칼럼 관련 시리즈

[기획 칼럼⑯] 법률 AI 혁신의 시대, 유연성과 개방성의 저울로 공정의 중심을 세우자

[기획 칼럼⑮] AI 대전환 시대, 가명정보 활용의 새로운 기준을 세워야 할 때

[기획 칼럼⑭] 인공지능 개발을 위한 개인정보 처리 특례에 주목하는 이유

[기획 칼럼⑬] 인공지능 시대, 개인정보처리 근거로서 ‘계약의 이행’

[기획 칼럼⑫] 인공지능 대전환에 따른 '개인정보 보호법'의 변화 필요성

[기획 칼럼⑪] AI 시대를 사는 정보주체의 개인정보 자기결정권

발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
· 카카오톡: '더팩트제보' 검색
· 이메일: jebo@tf.co.kr
· 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write

· 네이버 메인 더팩트 구독하고 [특종보자→]
· 그곳이 알고싶냐? [영상보기→]
인기기사
회사소개 로그인 PC화면
Copyright@더팩트(tf.co.kr) All right reserved.