유럽 개인정보보호법(GDPR) 준수를 위한 ‘데이터 거버넌스’ 구축하기

컴플라이언스, 데이터거버넌스, 데이터관리, 유럽개인정보보호법, 유럽일반개인정보보호법, 개인정보보호법, 일반개인정보보호법, GDPR, 금융규제 규제준수, 개인정보보호, 정보보호, 데이터보호


유럽 일반개인정보보호법(GDPR; General Data Protection Regulation)은 유럽연합(EU) 전역은 물론 유럽연합 시민의 개인 정보를 다루는 전 세계 모든 기업에 영향을 미치고 있습니다. 이 새로운 규제의 목적은 시민에게 자신의 데이터에 대한 보다 강력한 통제권을 부여하고, 유럽 전역에 걸쳐 시행할 수 있는 통일된 규칙을 만드는 것인데요.


이에 따라 기업은 개인 데이터 기록을 수집, 처리, 업데이트, 보관, 삭제하는 과정과 그 이유를 재정립함으로써 데이터 보호에 대한 책임과 결과를 입증해야 합니다. 이때 개인 데이터의 유형과 저장 위치를 탐색하는 것이 중요한데요. 이는 특정한 데이터 처리 과정이 개인의 권리와 자유에 대한 높은 리스크를 나타낼 때 데이터 보호 영향 평가(DPIAs; Data Protection Impact Assessments)를 수행하기 위한 핵심 요소입니다.


한마디로 GDPR을 준수하기 위해서는 체계적인 데이터 거버넌스 프로그램을 통해 규율, 완전성, 신뢰성을 확보해야 하는데요. 기업이 보유하고 있는 데이터의 유형, 품질, 보유하는 이유와 기간 등을 인지하는 것은 운영 효율성 측면에서도 매우 중요합니다. 기업은 이러한 투명성을 확보함으로써 차별화된 경쟁 우위를 확보할 수 있습니다.


알버트 아인슈타인이 “어려움의 한 가운데에 기회가 놓여있다(In the middle of difficulty lies opportunities).”라고 말했듯이 기업은 GDPR을 새로운 비즈니스 가치를 창출하고, 혁신을 위한 경쟁 우위를 확보하고, 고객 관계 관리를 개선하는 등 개인 데이터를 더 풍부하게 활용할 수 있는 기회로 삼을 수 있습니다.


이렇듯 훌륭한 데이터 거버넌스 프로그램은 리스크를 완화하고, 운영 효율성을 향상시키며, 혁신을 촉진하는데요. 그렇다면 본격적으로 개인 데이터 컴플라이언스와 개인 데이터 매핑을 결합해 효율적인 데이터 거버넌스 프로그램을 구축하는 방법을 단계별로 살펴보겠습니다.


컴플라이언스, 데이터거버넌스, 데이터관리, 유럽개인정보보호법, 유럽일반개인정보보호법, 개인정보보호법, 일반개인정보보호법, GDPR, 금융규제 규제준수, 개인정보보호, 정보보호, 데이터보호



개인 데이터(Personal data)란 무엇일까요?

개인 데이터는 이름, 신분증 번호, 위치 정보, 온라인 식별자 등 직접적 또는 간접적으로 한 사람을 식별할 수 있게 하는 정보를 의미합니다. 사람의 물리적, 생리적, 유전적, 정신적, 경제적, 문화적, 사회적 정체성을 특정하는 수많은 요소를 포함하는데요. 개인 데이터의 예시는 다음과 같습니다.


  • 이름, 성

  • 집 주소

  • name.surname@company.com과 같은 이메일 주소

  • 비자, 아메리칸 익스프레스, 고객 멤버십 등의 카드 번호

  • 위치 데이터

  • IP 주소와 같은 네트워크 식별자

  • 쿠키 ID

  • 핸드폰 광고 식별자


이때 개개인을 식별할 수 없도록 익명 처리된 데이터는 개인 데이터로 간주되지 않는데요. 데이터를 확실하게 익명화하기 위해서는 익명화를 되돌릴 수 없어야 합니다.


또한 GDPR은 개개인으로부터 매우 높은 수준의 동의를 구해야 하는 등 명확한 세이프가드와 요건이 지정된 특별한 데이터 범주의 개념을 정의하고 있는데요. 이 특별한 범주는 ‘특히 근본적인 권리 및 자유와 관련된 민감한’ 개인 데이터와 연관됩니다. 따라서 철저하고 특정한 보호 조치가 요구되는데요. 이 범주에는 ‘인종 또는 민족 기원, 정치적 성향, 종교 또는 철학적 믿음, 노동 조합 가입, 유전자 데이터 처리, 개인을 고유하게 식별하는 생체 데이터, 건강 데이터, 성 생활 또는 성적 성향을 보여주는 데이터’ 등이 포함됩니다.



데이터 거버넌스의 중요성

데이터 제어 및 처리와 관련된 GDPR의 핵심 도전과제 중 하나는 모든 데이터 처리 활동을 문서화함으로써 컴플라이언스를 입증하고, 적절한 곳에서 개개인을 위한 리스크를 평가하는 것입니다. 이러한 요건은 개인 데이터 컴플라이언스를 통한 법률 주도의 하향식 활동과 개인 데이터 범주의 정의 및 탐색을 포함한 개인 데이터 매핑을 통한 IT 주도의 상향식 운영을 결합한 효율적인 데이터 거버넌스 프로그램 없이는 준수할 수 없습니다.


따라서 기업은 Good Data PRactices를 적용하고 데이터 거버넌스 프로그램을 구축해야 합니다. GDPR과 같은 데이터 보호 규제의 목표는 행동과 사고 방식 자체를 바꾸는 것입니다. 이러한 관점에서 GDPR 제 5조 책임성 원칙(accountability principle)에 따라 데이터 제어자는 다음과 같이 GDPR 컴플라이언스를 입증할 수 있어야 합니다.


  • 개인 정보를 관리하는 프로세스는 합법성, 공정성, 투명성을 갖춰야 합니다.

  • 목적의 제한: 개인 데이터는 특정하고, 명확하며, 합법적인 목적에 따라 수집돼야 합니다.

  • 데이터 최소화: 특정한 목적을 위해 필요한 것보다 많은 데이터를 사용할 근거는 없습니다.

  • 정확성: 데이터 품질을 보장하고 개인 데이터를 최신 상태로 유지해야 합니다.

  • 보관 제한: 개인 데이터는 필요 이상으로 처리되지 않아야 합니다.

  • 통합 및 기밀성: 적절한 보안 조치를 취해야 합니다.


그렇다면 어떻게 책임을 입증할 수 있을까요? 기업은 GDPR에 따라 데이터 보호 담당자를 지명하고, 개인 고지를 작성하며, 개인별 요청에 대응함으로써 책임을 증명할 수 있습니다. 그렇지만 무엇보다 중요한 것은 모든 처리 활동을 내부적으로 기록하고, 규제 당국의 요청에 따라 이 문서를 열람할 수 있도록 해야 합니다. 이러한 ‘처리 활동의 기록(record of processing activities)’은 GDPR 제 30조에 명시되어 있으며, 다른 조항들과 함께 준수해야 합니다.


또한 데이터 제어자는 데이터 프로세스가 개인의 권리와 자유에 큰 리스크를 나타낼 경우, 특히 새로운 기술과 관련되어 있을 때 데이터 보호 영향 평가(DPIA)를 수행해야 합니다. DPIA는 GDPR 제 35조에 명시되어 있으며, 새롭거나 변형된 애플리케이션이 그 안에 저장되어 있거나 이를 통해 처리되는 개인 정보 보호에 어떤 영향을 미칠 수 있는지에 대한 평가를 포함하는데요.


모든 대형 기업은 수백 가지의 시스템, 데이터 자산, 처리 활동 그리고 매일, 매주, 매월 검토하는 수천 가지의 개인 데이터 유형을 보유합니다. 이러한 항목을 설명하는 과정에도 상당한 노력이 들지만 이 정보를 최신으로 유지하는 작업에는 더 오랜 시간이 걸리고 오류가 발생하기 쉽습니다. 따라서 전형적인 수작업 또는 반자동 처리는 데이터 소유자, 관리자, 제어자 등 데이터 전문가가 GDPR에 대응할 때 더 이상 유용하지 않습니다.


컴플라이언스, 데이터거버넌스, 데이터관리, 유럽개인정보보호법, 유럽일반개인정보보호법, 개인정보보호법, 일반개인정보보호법, GDPR, 금융규제 규제준수, 개인정보보호, 정보보호, 데이터보호



개인 데이터 거버넌스를 위한 솔루션

GDPR을 준수하는 과정에서 기업은 조직 외부(금융 감독 당국) 및 내부의 모든 측면에서 도전과제에 직면합니다. 감독 당국은 기업의 데이터 보호 현황을 검토하기 위해 전사적으로 모든 데이터 소스와 프로세스에 대한 개요를 요구하는데요. 이때 데이터 소스는 단순히 시스템이나 데이터베이스를 넘어 네트워크 드라이브, PC 파일 등 개인 데이터가 저장될 수 있는 모든 곳을 포괄합니다. 이러한 과제를 해결하기 위해 기업은 개인 데이터에 대한 컴플라이언스와 매핑 과정을 모두를 통합해야 합니다.


앞서도 언급했듯이 개인 데이터 컴플라이언스는 법적 요건에 대응하는 것을 목표로 데이터 소스를 문서화하고, 처리 작업을 기록하며, 이 모든 활동의 잠재적 리스크를 목록화하는 것입니다. 이때 IT 외부의 데이터 프로세스를 이해하는 것은 리스크와 제어 사이의 잠재적인 간극을 포착하는 데 중요합니다. 이러한 활동은 조직, 버저닝(versioning), 승인 및 검토 프로세스의 관리와 워크플로우, 알림(notifications) 전반에 걸쳐 공유되는 구조화된 방법론의 영역에서 고급 역량을 요구합니다. 기업은 수천 개의 데이터 소스와 수백 개의 프로세스를 보유할 수 있기 때문에 더 이상 스프레드 시트에 의지할 수 없습니다.


개인 데이터 매핑은 거버넌스 작업을 용이하게 하고, 개인 데이터를 최신 상태로 유지하기 위해 필요한 시간과 노력을 크게 줄여주는 효율적인 접근법입니다. 더불어 개인 데이터의 위치는 철저하게 문서화하고 데이터를 처리하기 위해 필요한 프로세스를 확립했다는 책임 결과를 감독 당국에 입증하기 위한 필수 정보입니다. 또한 기업은 개인 데이터가 저장된 위치를 기록함으로써 개인이 자신의 권리를 행사하고자 할 때 쉽게 정보를 찾고 지원할 수 있습니다.


'SAS 포 퍼스널 데이터 프로텍션(SAS for Personal Data Protection)’ 솔루션은 기업이 개인 데이터에 대한 접근부터 식별, 거버넌스, 보호, 감사 보고까지 전체 데이터 라이프사이클을 효과적으로 관리하고 GDPR을 준수하도록 지원합니다. 기업은 개인 정보가 저장된 위치를 파악하고, 관련 사용자 활동을 기록해 데이터를 보호할 수 있습니다. 또한 SAS 솔루션을 이용해 데이터를 특정 방식으로 사용할 때 유발되는 리스크를 진단하고, 보안 침해 발생 시 규제 당국에 보고하는 등 GDPR에 한층 더 능동적으로 대응할 수 있습니다.


현대 소비자는 GDPR이 제시하는 수준의 신뢰성을 기대합니다. 앞으로 금융, 소매, 헬스케어 등 모든 산업에서 더 강력한 데이터 보호와 관리에 대한 기대가 높아질 것입니다. 이를 충족하는 기업은 데이터 관리 역량과 규정 준수는 물론 나아가 생산성, 고객에 대한 이해, 서비스 역량을 개선하게 될 것입니다. SAS 웹사이트에서 자세한 정보를 확인해보세요!






저자

빈센트 레자니(Vincent Rejany) l SAS 프랑스 GDPR-CIPP/E 전문가(GDPR-CIPP/E, SAS France)


편집

SAS코리아 마케팅