미국 컬럼비아 대학의 알란 웨스틴 교수는 개인정보보호 권리를 '자신에 대한 정보를 언제 어떻게 어느 정도로 타인에게 전달하는가를 스스로 결정할 수 있는 권리'라고 밝힌 바 있다. 개인정보보호 권리는 자신의 정보를 통제할 권리라는 것이다. 지난 1월 발생한 신용카드사 개인정보 유출사태는 우리 개인정보보호 권리의 현실을 보여준다. 아울러 기업이 보유한 개인정보의 내부통제 강화라는 숙제를 남겼다. 내부통제란 영업의 효율성, 재무보고의 신뢰성, 법규와 규정 준수 등 조직 목표를 효율적으로 달성하기 위해 조직 자체적으로 제정해 이사회와 임직원 등 조직의 모든 구성원이 이행해야 하는 절차를 의미한다.
정부는 2007년 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 개정, 2011년 '개인정보 보호법' 제정 등을 통해 개인정보보호를 위한 다양한 법·제도상의 장치를 마련했다. 개인정보를 대량으로 보유하고 있는 기업들도 수년 전부터 정보보호컨설팅 및 다양한 보안솔루션을 통해 개인정보보호를 위한 내부관리체계를 수립하고 정보보호시스템을 구축해 개인정보 유출사고를 방지하려는 노력을 수행해왔다.
이러한 다양한 대응노력에도 불구하고 개인정보 유출사고가 지속적으로 발생하고 있다. 이는 사회학자인 로버트 머튼이 말한 '목표 전도(Goal Displacement)' 현상 때문이다. 목표 전도란 목표를 달성하기 위한 수단이 그 자체로 목표가 되는 것이다. 관료제에서 업무의 신속한 처리를 위해 절차를 만들었으나 절차에 대한 과도한 준수로 인해 업무의 신속한 처리를 저해하는 것이 그 예다.
대부분 기업은 개인정보보호와 관련한 다양한 법률 요구사항을 준수하는 것에 가장 큰 관심이 있다. 하지만 기업에서 개인정보보호와 관련된 법률 요구사항을 준수하는 것은 개인정보보호를 위한 중요한 수단이지 목표가 돼서는 안 된다. 법적 요구사항들을 모두 준수한다고 해서 개인정보 관련 사고가 발생하지 않으리라고 보장할 수 없다. 법적 요구사항을 지키는 것 자체가 개인정보보호 활동으로 충분하지는 않기 때문이다.
이번 카드사 정보유출 사고의 경우에도 해당 기업에는 이미 외주직원에 대한 업무통제 절차나 이동식 저장매체 통제를 위한 보안솔루션 등이 적용돼 있는 상태였다. 하지만 업무 절차상 편의를 위한 적용 예외 등 불완전한 통제적용과 통제예외에 따른 위험식별·평가 등 리스크 관리 부재가 사고의 원인이 됐다.
이번 사태에서 드러났듯이 개인정보 유출은 기업의 핵심 경영 리스크다. 따라서 최고경영자(CEO)를 필두로 한 경영진은 개인정보보호를 위한 내부통제 강화를 주요 경영 어젠다로 삼고 개인정보유출에 대한 다양한 위험 요소를 모니터링·식별·제거해야 한다. 내부통제 시스템을 마련하고 적정성 검토를 수행하면서 내부통제의 준수 여부에 대한 지속적인 모니터링으로, 내부통제가 실질적인 역할을 할 수 있도록 해야 한다. 이러한 과정을 통해 우리 기업들이 고객신뢰를 회복하고 더 건강한 사회를 만들어나갈 수 있을 것으로 기대한다.