일본산업뉴스요약

개인 데이터 보호를 위한 EU발 대규모 규제
5월 시행, 미국 대형 IT업체들의 독점 저지

EU에서는 5월, 개인 데이터 보호를 크게 강화하기 위한 새로운 규제가 시행된다. 유럽의 소비자 및 직원 등의 개인 데이터를 보유하거나 역외로 유출하려고 하는 기업에게 보호 체제의 정비 등을 요구. 위반 시 최대 연간 세계 매출의 4% 또는 2천만유로 중에 더 높은 금액의 거액 제재금을 부과한다. EU에서 사업을 운영하는 일본 기업도 그 대상이 되기 때문에 이에 대한 대응이 시급하다. 기업이 수집하는 방대한 데이터가 경쟁력을 좌우하고 있는 가운데, 데이터의 패권을 둘러싼 공방은 새로운 국면을 맞이하고 있다.

-- 일본 기업도 제재 대상 --
EU의 새로운 규제는 ‘일반 데이터 보호 규제(GDPR)’라는 명칭으로 5월 25일부터 시행된다. 메일주소 및 신용카드 정보 등의 개인 데이터를 역외의 제 3자가 볼 수 있도록 하는 것을 원칙적으로 금지하고 소정의 계약서를 주고 받는 등의 규칙을 따를 경우에는 허용해준다.

EU 안에서의 개인 데이터는 국적 및 거주지를 불문하고 제재 대상이 된다. 유럽 시민에게 물건을 판매하고 있는 경우는 물론, 출장이나 여행으로 유럽 내에 있는 일본인의 개인 데이터 및 유럽 직원에 대한 인사 데이터를 일본에서 관리하는 경우도 포함된다. 글로벌기업의 경우, 거의 대부분이 규제 대상이다. 취급하는 데이터 규모 등이 일정 조건에 부합된다면, ‘데이터 보호 책임자’를 둘 필요가 있다. 데이터 누설 등의 트러블이 발생했을 때에는 72시간 안에 당국에 보고하지 않으면 안 된다.

-- 대응에 분주 --
기업들은 이와 같은 규제 대응에 분주하다. 과거 카르텔에서 유럽 위원회로부터 제재금을 부과 받았던 국내 제조사의 법무 책임자는 “현재 최우선적으로 GDPR 대응을 추진하고 있다”라고 말한다.

유럽에 30개 이상의 그룹 거점을 보유한 카오(花王)는 2016년부터 대응에 착수, 대상 데이터 파악을 완료했다. 직원의 인사 정보만으로도 수 천명 분에 달하고, 거래처의 연락처, 화장품 등의 고객 데이터, 문의에 대한 정보 등도 조사했다. 필요한 계약 절차는 2017년 여름까지 끝냈지만, “빠진 것은 없는지 최종 확인 작업을 계속 진행하고 있다”(컴플라이언스추진부의 마치다(町田)).

하지만 전체적으로 일본 기업들의 대응은 지지부진하다. GDPR 관련에 대해 조언해주는 IIJ(Internet Initiative Japan)에 따르면, “대책 마련에 착수한 기업은 유럽에 거점을 둔 기업의 10%를 넘는 정도이다”. 시행까지 약 3개월밖에는 남지 않았지만, “검토를 시작한 단계”(게임 회사)라는 곳도 많다, “무방비 상태의 기업은 제재의 주요 타깃이 될 것이다”. 현지에서 기업에 조언을 해주고 있는 스기모토(參本) 변호사는 이렇게 경고하고 있다.

인재 확보도 과제이다. 새로운 규제가 요구하는 데이터 보호 책임자는 “일본 기업만해도 1,700명이 필요하게 된다”라고 국제적 NPO인 국제프라이버시전문가협회는 추정한다.

EU가 규제 강화에 나서게 된 배경에는 구글과 아마존닷컴 등 ‘GAFA’라고 불리는 IT거인들의 그림자가 드리워져 있다. 검색 사이트 및 온라인 판매 사이트의 이용자가 규약의 ‘동의’ 버튼을 누르는 것만으로 전세계 개인 데이터가 이 IT거인들에게 흡수되고 있다. 유럽 의회의 모라에스 자유ㆍ사법ㆍ내무위원회 위원장은 “이노베이션을 방해할 의도는 없지만, 행동 기록 등이 마구잡이로 유출되어 이용되는 것은 문제다”라고 말한다.

-- 활용도 가능하게 --
2014년에는 EU사법재판소가 구글의 검색 결과를 삭제할 수 있는, 즉 ‘잊을 수 있는 권리’를 인정. EU는 이것도 GDPR에 포함시켜, 거인 기업들에 대한 일정의 방파제가 되도록 한다.

또한 데이터를 취급하는 기업을 다른 기업으로 바꾸려는 사람이 ‘이전 기업에 제공한 자신의 데이터를 다시 돌려받고 싶다’라고 원할 경우, 기업은 반환해주지 않으면 안 되는 ‘데이터 포터빌리티(Data portability)‘라는 시스템도 시행된다. 반환 요청이 집중된 기업에게는 보유 데이터 감소로 이어지게 될 것이다. “GDPR은 너무 방대한 미국 IT기업의 독점을 약화시키는 계기가 될 수 있을지도 모른다”(히토쓰바시(一橋)대학의 시미즈(淸水) 교수)라는 견해도 있다. 반면, 데이터가 다른 기업으로 이동하는 것만으로는 일부 기업이 독점하고 있는 지금의 구도는 바뀌지 않을 것이라는 목소리도 많다.

미국 IT기업들은 규제 대응에 착수하고 있다. 페이스북은 전세계 이용자가 스스로 사생활에 관한 정보를 관리할 수 있도록 한다고 표명. 구글 등도 새로운 규제에 대응해나갈 방침이다. 규제에 반대하는 것보다 대응을 통해 살아 남는 길을 모색하려는 것이다.

데이터를 반환하는 시스템은 일본의 경제산업성과 총무성도 검토 중이다. 기업이 이와 같은 시스템을 자율적으로 도입해 서비스를 차별화한다면 강점이 될 수도 있을 것이다. “GDPR에 대한 대응은 비즈니스를 추진하기 쉬워지는 측면도 있다”라고 스기모토 변호사는 지적한다.

EU는 규제를 엄격하게 적용하는 한편, ‘충분히 보호 체제를 갖추고 있다’라고 인정된 국가ㆍ지역에는 데이터 유출을 인정한다. 데이터를 단순히 막기만 하는 것이 아닌, 비즈니스에 활용할 수 있도록 하는 것이다. 일본은 아직 그 대상에 들어있지 않지만, 정부는 관련 규칙을 정비해 조기에 EU의 ‘인정’을 받으려는 계획이다.

미국 및 중국 기업 등 전세계적으로 데이터 경쟁이 격화되고 있는 지금, 규제를 어떻게 정비해나갈 것인가는 국제적 과제이다. 도쿄대학의 나마가이(生貝) 객원준교수는 “GDPR이 여러 가지 의미에서 기준이 될 것이다”라고 예측한다. 일본 기업은 수세적 대응뿐만 아니라, 사업에 활용하는 공격적인 대응 방안도 필요할 것이다.

▶ GDPR은 개인의 데이터 관리를 엄격하게 규제
- 직원 및 고객 등의 개인 데이터를 EU 밖으로 유출하는 것을 원칙적으로 금지(정해진 계약 체결 등이 필요)
- 관리하는 데이터 규모가 일정 기준에 해당된다면, 독립성ㆍ전문성을 가진 데이터 보호책임자를 설치
- 개인은 자신이 기업에 제공한 개인 데이터를 되돌려 받아 다른 기업으로 옮길 수 있는 권리를 갖는다.
- 개인은 인공지능(AI) 등의 자동 처리만으로 시행된 평가 및 결정에 거부권을 갖는다.
- 개인은 불필요한 개인 데이터의 삭제를 요구할 수 있는 권리(잊혀질 권리)를 갖는다.
- 위반 시 제재금은 최대 2,000만유로, 또는 전세계에서의 연간 총 매출의 4% 중 더 높은 금액이 적용된다.

 -- 끝 --