중소기업에 한해 과징금 감면 등의 혜택 제공하는 게 바람직
개인정보보호법이 시행되면 기업들 스스로가 개인정보보호를 잘하고 있다는 입증 책임을 져야 하는데, PIMS 인증이 그 역할을 하기 때문에 인증에 대한 관심과 수요가 급증하고 있는 것으로 분석된다.
PIMS(Personal Information Management System) 인증은 개인정보보호에 특화된 국가공인 인증제도로, 개인정보의 대량 유출 사고를 방지하고 기업의 사회적 책임을 강화하기 위해 올해부터 본격 시행되고 있다. 개인정보를 취급하는 기업이 전사차원에서 개인정보 보호 활동을 체계적· 지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검받아 일정 수준 이상일 때 부여 받을 수 있다. 4월 내 SKT, NHN이 PIMS 인증을 최초로 획득하게 된다.
방통위는 PIMS 인증을 일종의 규제로 받아들일 수 있는 기업들을 위한 당근책도 마련해 뒀다. 개인정보보호법이 시행되면 기술적 조치 미비로 개인정보를 유출한 기업에 2년 이하 징역, 1천 만 원이하 벌금형에 처해지게 되는데, PIMS 인증을 받은 기업의 경우 개인정보 유출 시 과징금을 최대 50%까지 감면 받을 수 있도록 한 것이다.
기업들의 개인정보보호 활동을 장려한다는 측면에서 취지는 좋으나, 거꾸로 보면 개인정보를 유출한 기업들에게 굳이 이 같은 당근을 줄 필요가 있을까? 라는 지적이다. 기존 같았으면 그런 보안 구멍이 있는 기업에 인증을 해준 기관으로 오히려 모든 화살이 돌아갈 법도 한 데 말이다.
"소 잃고 외양간 고친다는 말이 있는데, 지금은 소를 잃어도 외양간 고칠 생각도 안 한다"라고 했던 업계 한 전문가의 말이 생각난다. 보안 사고가 나도 그때 뿐, 결국에는 대책마련에 손 놓고 있는 기업들이 수두룩하다는 것이다. 또한 그는 "대부분 기업의 보안의식은 우리가 생각하는 것보다 훨씬 낮다"고 지적하며 "그렇기 때문에 보안 수준이 상당 부분 오르기 전까지는 개인정보보호를 유출한 기업에게도 당근을 줘서라도 반드시 보안대책을 세우게끔 해야 한다"고 말했다.
하지만 대기업은 이 같은 혜택 없이도 개인정보보호를 알아서 잘해왔고, 앞으로도 알아서 잘해 나갈 것이다. 사회적 책임을 더 강하게 지녀야 할 대기업에게까지 굳이 이 같은 당근이 필요치 않을 것으로 본다. 단, 돈도 없고 사람도 없는 중소기업의 경우는 다르다. 개인정보보호가 그동안 남의 일이었던 중소기업들을 위해서는 개인정보보호에 적극 움직일 수 있도록 이 같은 당근이 주어져야 마땅할 것이다.
그리고 PIMS인증은 기업들이 '인증 하나면 다 된다'는 식으로 지나치게 인증 자체에 의지하게 만들기보다, 앞으로 더 철저히 개인정보에 신경 쓸 수 있도록 하는 제도로 발전해 나가야 할 것이다.
김정은 기자
jekim92@itdaily.kr