Offcanvas

CIO / SNS / 모바일 / 보안 / 비즈니스|경제 / 애플리케이션 / 의료|의학 / 클라우드

모두가 알아야 할 'GDPR과 개인정보 보호'

2018.03.13 Thor Olavsrud  |  CIO

당신의 회사 임직원들이 보안, 데이터 프라이버시, 규제 준수에 대해 얼마나 알고 있나? 미국 워싱턴주 보셀(Bothell)에 있는 미디어프로(MediaPro)의 최근 보고서에 따르면, 대부분 임직원이 잘 모르는 것 같다. 데이터 프라이버시가 점차 뜨거운 쟁점이 되고 EU(European Union)의 유럽연합일반개인정보보호법(GDPR) 시행이 코앞으로 다가오면서 직원들이 기업에서의 데이터 취급에 관해 모르는 사항 때문에 최악의 경우 폐업할 수도 있다.



그렇다고 희망이 없는 것은 아니다. 일반적으로 미국의 직원들은 민감하고 사적인 문서를 식별하는 데 능숙하며 이런 데이터를 폐기하거나 안전하게 보관해야 하는지 잘 파악한다. 하지만 프라이버시 규제(특히, GDPR 및 EU-US 프라이버시 실드(Privacy Shield))뿐 아니라 개인 생활과 직장 생활에서 민감한 데이터 취급 때문에 골머리를 썩이고 있다.

지난해 10월 보안 인식, 프라이버시 인식, 규제 준수 교육 전문업체인 미디어프로는 1,007명의 미국 거주자를 대상으로 데이터 프라이버시 우수 사례 및 규정에 관한 설문조사를 했다. 미디어프로는 참가자들에게 전국의 거의 모든 기업 사무실에서 이행할 수 있는 5가지 실제 시나리오에서 어떤 행동을 취할지 질문했다. 미디어프로는 2018 EoPR(Eye on Privacy Report)에 결과를 종합해 올해 초에 발표했다.

미디어프로의 상무 스티브 콘래드는 "이런 설문조사 결과와 최근 2017 프라이버시 및 보안 인식 실태 보고서(State of Privacy and Security Awareness Report)에서 발견된 놀랍도록 낮은 수준의 프라이버시 및 보안 인식 수준을 고려하면, 기업은 올해 이런 주제를 더욱 진지하게 받아들여야 한다"고 당부했다. 이어서 "2018 EoPR은 기업들이 민감한 데이터 취급 방법에 관해 직원들을 더욱 잘 교육할 수 있음을 보여준다. 이제는 너무 늦기 전에 데이터 프라이버시와 관련하여 불장난을 멈출 때다"고 덧붙였다.

미디어프로는 설문조사를 통해 직원들이 무엇을 잘 못 하고 있는지 그리고 최종 사용자가 직장에서 데이터 문제를 적절히 처리하는 방법을 알게 하기 위해 취해야 하는 조치를 다음과 같이 정리했다.

국내외 프라이버시 규정
여러 CIO가 고려해야 하는 영역 중 하나는 국내외 프라이버시 규정을 직원이 얼마나 알과 있느냐다.

응답자들은 미국 거주자를 보호하는 보건 정보 보안 규제인 HIPAA(Health Insurance Portability and Accountability Act)를 가장 잘 알고 있는 것으로 나타났다. 이 보고서에서 HIPAA를 전혀 모른다는 응답자는 21%였다. 34%는 기본은 알고 있었지만 스스로 전문가라고 생각하지 않았으며 18%는 "많이 안다"고 답했다. 물론, 얼마나 HIPAA에 익숙하냐는 산업별로 달랐다. 의료 산업 응답자들은 HIPAA 규정에 훨씬 더 익숙했다. 그중 54%는 HIPAA에 관해 많이 안다고 답했다.

하지만 EU가 5월 25일부터 시행하는 GDPR 등의 규정에 대해서는 상황이 너무 달랐다. 응답자 중 59%가 GDPR에 대해 전혀 모른다고 밝혔다. 24%는 해당 규정에 관해 들어 보았지만 좀 더 알아야 한다고 인정했으며 13%는 기본만 안다고 말했고 4%가 자신을 전문가라고 생각했다.

EU가 GDPR을 상당히 탄탄하게 마련했기 때문에 CIO들은 특히 주의를 기울여야 한다. 미준수 시 기업이 달성하는 글로벌 연 매출의 총 4% 또는 2,700만 달러 중 더 많은 쪽을 벌금으로 내야 한다.

미디어프로의 제품 관리자 콜린 후버는 "아직 GDPR이 시행되지 않은 상황이고 모호한 부분이 많기 때문에 사람들이 맥락을 이해하는 데 어려움을 겪고 있다"고 밝혔다. 이어서 "전체적인 접근방식이 필요하다. 준수하는 데 필요한 것이 무엇인지 대대적으로 파악해야 한다"가 강조했다.

설문조사에 참여한 임직원들은 미국과 EU의 조직 및 기업들 사이에서 대서양을 가로지르는 데이터 공유에 대한 법적 체계인 EU-US 프라이버시 실드 규정에 관해 아는 것이 훨씬 적었다. 응답자의 63%는 프라이버시 실드에 관해 전혀 모른다고 말했으며, 23%만이 기본은 알고 있다고 대답했다. 정부를 위해 일하는 응답자들은 프라이버시 실드에 관해 알고 있을 가능성이 가장 낮았다. 76%가 해당 체계에 대해 전혀 모른다고 답했다.

후버는 조직이 직원들을 위해 규정을 맥락과 관련지을 수 있는 방법을 찾아야 한다고 강조했다.

그녀는 "정책, 절차, 인식, 교육 프로그램은 최종 사용자와 관련성이 있고 직접적이어야 한다"고 설명했다. 이어서 "이런 규정을 모두가 이해할 수 있도록 설명해야 한다. 프라이버시에 관한 최고의 국제 표준에 따라 개인 정보를 적절히 처리하도록 하는 것이 그 목적이다. 많은 경우에 직원들은 그것이 무엇인지 전혀 모른다"고 전했다.
 

민감하고 사적인 문서
미디어프로는 응답자들에게 사무실 환경에서 일반적으로 발견되는 문서와 정보의 예를 받는 경우 소셜미디어에 게시하기, 안전한 파쇄기로 파괴하기 또는 잠긴 서랍에 보관하기 등의 3가지 조치 중 하나를 선택하도록 질문했다.

그 결과 응답자들은 정보에 따라 취할 조치에 관해 일반적인 수준으로 이해하는 것으로 나타났다. 예를 들어, 대부분 응답자는 오래된 암호 힌트 및 30년 전의 전 직원 세금 용지를 안전한 파쇄기에서 파괴하거나(각각 75% 및 74%) 잠긴 서랍에 보관(각각 22% 및 24%)해야 한다고 말했다.

후버는 "일반적으로 사람들이 무엇인가를 서랍 안에 넣고 잠그거나 안전하게 파쇄하는 것은 좋은 일이다"며 "그들이 소셜미디어에 게시하겠다고 선택한 2가지 정보는 소셜미디어에 게시할 수 있는 것들이었다"고 이야기했다.

후버는 직원들에게 맥락이 많을수록 문서와 정보를 처리하는 방법을 올바르게 판단할 가능성이 커진다고 언급했다.

후버는 "직원들이 정보의 맥락 전체를 알도록 하라"고 말했다. "민감한 문서 유형에 대해서 파악하되 해당 문서에 어떤 정보가 있고 해당 정보의 유출이 최종 사용자에 어떤 영향을 끼칠 수 있는지도 파악하도록 하라"고 그녀는 당부했다.

 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.