한국인터넷진흥원(KISA)가 발간한 '2023 개인정보 보호 월간동향(2023.12)' 보고서에 따르면 기업의 지속가능성 지표로 꼽는 환경·사회·지배구조(ESG) 경영과 개인정보 보호의 연관성은 점점 더 커지고 있다. 그동안 ESG 이슈로 꼽힌 이산화탄소 배출량, 기업윤리, 산업재해 등 외에도 개인정보 보호를 기업의 사회적 책임과 지속가능성에 직접적인 영향을 미치는 요소로 인식하는 기업도 늘어나고 있다. 또 빠르게 확산되고 있는 인공지능(AI) 기술이 개인정보 유출하는 요소가 될 수 있다는 우려로, 이와 관련한 리스크 관리도 중요해질 것으로 분석된다.

한편, 국내외에서 개인정보 보호에 관한 감독기관 규제 압력은 커지고 있다. 예를 들면 지난해 국내에서는 개인정보 보호법이 개정되어 과징금 상한액이 높아졌으며 규제 대상도 온라인 사업자에서 오프라인 사업자까지 확대되었다. 이에 기업은 리스크를 선제적으로 파악하고 침해사고 대응을 위한 내부 정책과 절차를 적극적으로 마련하고, ESG경영을 추구하는 기업은 데이터와 기술을 책임감 있게 사용하여 지속가능한 가치를 창출하는 게 필요하다.

지속가능성회계기준위원회(SASB, Sustainability Accounting Standards Board)의 '지속가능성회계기준(Sustainability Accounting Standard)'는 글로벌 ESG 공시 기준 중 하나로 기업이 투자자를 대상으로 재무적으로 중요하고 의사결정에 유용한 지속가능성 정보를 공시하는 데 도움이 되는 산업별 기준을 말한다. SASB는 지속가능성을 기업이 장기간에 걸쳐 가치를 창출할 수 있는 능력을 유지 또는 향상시키는 기업 활동으로 정의하며 “ESG(환경, 사회, 지배구조)”로 칭하기도 한다. SASB 기준은 국가 및 지역을 불문하고 해당 산업 내 전형적인 기업의 지속가능성 사안 중 영업성과나 재무상태에 영향을 미칠 가능성이 가장 높은 일련의 사안을 최소한으로 식별하도록 설계되었다. 또한 이를 측정하고 보고해야 하는 이유를 이해하는 데에도 도움을 준다.

따라서 이번 보고서 리뷰에서는 SASB의 산업별 데이터 프라이버시 지표들을 살펴보고 ESG경영, 윤리경영 실천의 일환으로서 특히 개인정보 보호가 요구되는 산업과 주의해야 할 지표를 간략하게 알아보고자 한다.

SASB 데이터 프라이버시 지표

SASB지표를 살펴보면 개인정보 보호는 ‘데이터 프라이버시’ 또는 ‘데이터 보안’ 영역에서 다뤄진다. 개인정보 보호가 중요한 산업 중 일부의 지표를 예시로 알아보자면 다음과 같다.

1. 기술 및 통신 산업 - 통신서비스, 소프트웨어 및 IT 서비스

해당 산업은 대규모 데이터 수집·처리로 인해 강력한 보안 조치와 명확한 정책이 필요하다. 통신 서비스 산업은 유선·무선 통신 기업 및 케이블, 위성 서비스 제공 업체로 구성되며, 고객의 위치, 인터넷 사용, 인구 데이터를 통해 서비스 개선과 수익 창출을 꾀한다. 하지만 개인정보 보호에 대한 우려가 커지며, 데이터 활용과 판매에 대한 규제도 강화되고 있어 기업들은 고객 데이터 정책을 투명하게 운영해야 한다.

소프트웨어 및 IT 서비스 산업은 소매, 기업, 정부를 대상으로 다양한 소프트웨어를 제공하며, 고객 데이터를 활용해 새로운 제품과 서비스를 개발해 수익을 창출한다. 그러나 이 과정에서 개인정보 보호에 대한 우려가 발생하며, 여러 국가에서 규제를 강화하고 있다. 클라우드 서비스가 정부의 데이터 접근을 용이하게 해 시민의 자유를 침해할 수 있다는 우려도 존재한다. 이 분야에서는 규제와 평판 리스크를 줄이기 위한 관리가 중요하다.

2. 금융 서비스 - 상업은행

개인 금융 데이터의 프라이버시와 보안을 보장하는 것은 상업은행의 필수 책임이다. 모바일 뱅킹과 클라우드 사용이 증가하면서 데이터 보안의 중요성도 커지고 있으며, 이를 관리하지 못하면 수입 감소와 소비자 신뢰 하락을 초래할 수 있다. 사이버 보안 위협이 늘어남에 따라 첨단 기술 도입과 인력 교육이 필수적이다. 이러한 위험을 해결하는 경영 전략에 대한 공시가 강화되면, 주주들은 은행의 주주 가치 보호 노력을 더 잘 이해할 수 있다.

3. 의료 및 헬스케어 - 약품 소매업체, 헬스케어 제공

의료 산업은 민감한 건강 데이터를 보호하는 것이 핵심이다. 병원은 환자 기록, 제약 회사는 연구 데이터, 원격 의료 서비스는 진료 데이터를 안전하게 관리해야 한다. 대부분의 지역에서 헬스케어 서비스 제공자는 환자 정보의 기밀성과 가용성 유지를 위한 보안 조치를 마련할 것을 규정하고 있으며, 위반 시 처벌을 받을 수 있다.

의약품 소매업체도 처방약 유통과 클리닉 운영 시 민감한 건강 정보를 보호하고, 이 정보를 적절하게 취급하고 안전하게 보관해야 한다. 사이버 공격으로 인한 데이터 유출을 방지하는 것은 브랜드 가치를 지키고 시장 점유율을 유지하는 데 필수적이다.

4. 소비재 - 전자상거래, 대형, 전문 유통 및 배급

대형·전문 유통 및 배급 산업은 평판 리스크에 특히 취약하다. 소비자들은 비현금 거래 시(신용카드, 직불카드 등) 금융 및 개인정보가 안전하게 보호된다는 신뢰를 기반으로 소매업체와 거래한다. 주로 물리적 지불 기술에서 발생하는 데이터 침해를 방지하는 것은 기업 평판과 시장 점유율을 유지하는 데 필수적이다.

전자상거래 기업은 소비자 데이터를 활용해 맞춤형 서비스를 제공하지만, 개인정보 보호 우려를 적절히 관리하지 못하면 규제 및 평판 리스크가 커질 수 있다. 반대로, 잘 관리하면 신뢰와 충성도를 높여 시장 점유율을 유지할 수 있다. 또한, 전자 결제 보안은 비즈니스의 핵심으로, 사이버 보안 역량이 시장 경쟁력에 직접적인 영향을 미친다. 보안 취약 시 벌금, 소송, 시장 점유율 감소 등의 재정적 손실을 겪을 수 있다.

시사점

개인정보 보호에 대한 공시와 관리가 중요한 산업이라도 산업별로 중요한 개인정보 및 데이터 유형은 산업별 특성과 법적 요구사항에 따라 달라진다. 그럼에도 불구하고 앞서 정리한 각 산업별 지표를 살펴보면 다음과 같은 사항들이 공통적으로 요구된다.

• 개인정보 보호를 위한 명확한 정책과 절차 마련 및 설명
• 데이터 보안 위험 식별 및 대응을 위한 접근법
• 데이터 수집 및 처리, 활용의 투명성
• 규제 준수 여부에 따른 법적 절차

따라서 지속가능경영, 윤리경영의 일환으로써 기업 내 개인정보 보호 전략을 수립하거나 강화하고자 한다면, 이 부분을 중점적으로 고려해 볼 수 있다. 또한 데이터 프라이버시, 데이터 보안 관련 지표를 활용하여 기업의 리스크 관리, 정책 개선 및 규제 준수 여부 점검, 투자 방향성 설정, 이해관계자와의 관계를 강화 등 다양한 전략을 수립해볼 수 있다.