다국적 회계컨설팅업체 KPMG인터내셔널과 글로벌 IT거인 마이크로소프트(MS)가 유럽연합(EU) 개인정보보호법(GDPR) 대응을 위한 점검 및 평가 로드맵(GDPR Discovery and Maturity Assessment)을 공동 개발하고 각지 글로벌 기업 대상으로 자문 사업에 나섰다.
13일 KPMG인터내셔널의 한국 멤버펌(member firm) 삼정KPMG는 오는 5월 25일부터 EU 전역에서 시행되는 GDPR에 대응해 점검 및 평가 로드맵을 개발했다고 밝혔다. 삼정KPMG는 개인정보보호, 정보보안, 사이버리스크 전문가로 구성된 GDPR 전담팀을 꾸렸고, 국내 글로벌기업 GDPR 대응 자문을 진행하고 있다고 덧붙였다.
GDPR은 EU 회원국간 자유로운 개인정보 이동, 개인정보보호 강화를 위해 EU가 제정한 통합규정이다. 사용자가 본인 데이터 처리 관련 사항을 받을 권리, 열람을 요청할 권리, 정정 및 삭제를 요청할 권리, 개인정보 이동 권리 등 EU 소속 국적자의 개인정보에 대한 보호 정책을 담고 있다. 위반시 행정적 불이익과, 위반 정도에 따라 기업 연매출 4% 또는 2천만유로(약 256억원) 중 높은 금액의 과징금을 부과받는다.
이런 GDPR 시행에 따라 EU 회원국과 비즈니스를 하거나 EU 거주자 개인정보를 다루는 국내 기업에 미칠 영향도 클 전망이다. EU에 진출한 국내 기업의 경우, 해당 국가의 고객으로부터 수집한 개인정보와 임직원 정보를 처리하는 과정이나 해당 정보를 EU 외의 다른 지역으로 전송하기 위해서는 엄격한 통제 기준이 적용된다.
KPMG와 MS가 공동 개발한 EU GDPR 대응을 위한 점검 및 평가 로드맵은 기업의 전반적인 GDPR 준비상태와 개인정보에 대한 리스크 식별 등 성숙도를 점검케 한다. 기업의 프로세스 및 기술, 구성원 등에 대한 권장 사항과 보완 방법을 제시한다. GDPR 준수를 위한 서비스 외에도 기업 내 전반적인 개인정보의 보유 및 처리 현황 분석으로 정보주체 권리보장 요구에 대응하는 방안을 제시한다.
김민수 삼정KPMG 사이버보안 비즈니스 리더는 "EU 내 사업장을 가지고 있지 않더라도 EU 거주자에게 재화나 서비스를 제공하는 경우에도 GDPR의 적용을 받게 된다"면서 "기업의 사업장 위치뿐 아니라 비지니스의 범위를 명확히 파악해 GDPR의 적용여부를 검토해야 하며, 사전적으로 기업의 개인정보보호 정책을 재평가하고, 비즈니스 전략을 정비해야 한다"고 말했다.
이날 삼정KPMG 측은 "KPMG는 EU GDPR 컴플라이언스에 대응하기 위해 유럽지역뿐아니라 152개국 KPMG 멤버펌에서 진행되고 있는 GDPR 대응 현황과 주요 이슈를 공유하는 글로벌 커뮤니티도 운영하고 있다"며 "국내서도 삼정KPMG가 한국MS와 GDPR관련 협업과 국내 기업을 대상으로 한 공동 마케팅도 진행 중"이라고도 설명했다.
IT업체 MS가 어떻게 글로벌 시장에서 활동하는 기업의 GDPR 대응을 도울 수 있을지는 아직 확실치 않다. 삼정KPMG가 제시한 EU GDPR 대응을 위한 점검 및 평가 로드맵 방법론 도안을 보면 KPMG는 프라이버시 성숙도 모델을, MS는 'MS애저 인포메이션 프로텍션(AIP) 스캐너'라는 데이터저장소 기반의 비정형데이터 개인정보 탐색도구를 각각 제공해 기업의 프라이버시 성숙도 평가보고서를 제시하는 방식이 될 것으로 보인다.
관련기사
- 파수닷컴 "조직의 동맥, 비정형데이터를 보호하라"2018.03.13
- 유럽 GDPR D-100 "오해 그만, 당장 준비"2018.03.13
- “유럽의 新 제국주의...무기는 데이터 보호”2018.03.13
- 공인인증서 폐지...전자서명 개념도 바꾼다2018.03.13
MS의 AIP스캐너는 지난해 9월 프리뷰 버전으로 공개된 '컴플라이언스 매니저(Compliance Manager)'와 함께 지난달(2월) 정식버전(GA)으로 출시됐다. 컴플라이언스 매니저는 대시보드 형태의 규제 리스크 평가도구다.
따라서 GDPR에 대응하기 위한 기업 IT솔루션 영역만 놓고 보면 MS가 AIP스캐너, 컴플라이언스 매니저 툴과 이를 통합할 수 있는 오피스365 및 MS애저 클라우드서비스를 제공하는 접근을 취할 수 있다. 하지만 한국MS의 전문가는 지난달 GDPR 시행 100일을 앞두고 진행한 미디어 대상 강연에서, GDPR 규정 가운데 "IT영역에 적용되는 기술로 명시적 해결이 가능한 부분은 15~20%밖에 안 된다"고 지적하기도 했다. [☞관련기사]