[아이뉴스24 김혜경 기자] 지난해 말에 데이터센터 화재, 올해 초에는 대량의 개인정보 유출로 최근 국내 정보통신기술(ICT) 기업들의 지속가능 경영에 적신호가 켜졌다. 미국 지속가능회계기준위원회(SASB)는 기업이 장기적 가치를 창출할 수 있는 능력을 유지하거나 향상하는 활동을 '지속가능성'으로 정의한다. 다른 말로 ESG(환경‧사회‧지배구조)다.
카카오와 SKC&C의 경우 서비스 연속성이 도마 위에 올랐다면 LG유플러스는 '프라이버시‧데이터 보안'과 맞물린다. 2030년 전체 코스피 상장사를 대상으로 ESG 공시가 의무화되는 가운데 개인정보 보호와 처리 투명성 확보, 정보주체 권리 보장은 ESG 평가와 맞닿아 있다.
![개인정보 처리 투명성 확보, 정보주체 권리 보장은 기업의 ESG(환경‧사회‧지배구조) 경영 실현과도 맞닿아 있다. [사진=픽사베이]](https://image.inews24.com/v1/1b944c7e8a05d7.jpg)
◆ ESG 중대성과 '개인정보 보호' 상관관계는?
'산업별 중대성(Industry Materiality)'이란 산업 활동의 특성에 따라 기업 재무상태와 영업 성과에 큰 영향을 미칠 가능성이 크다고 판단되는 지속가능성 사안이다. 국제적으로 통일된 ESG 평가 표준이 마련되지 않아 다수의 표준이 혼재되는 상황에서 해외 평가기준위원회와 평가사가 제시하는 중대성을 분석하는 작업은 중요하다.
각 산업의 ESG 이슈는 같지 않으며, 섹터별 비슷하더라도 하위산업마다 중대성이 다르거나 평가 요소별 가중치가 다르게 부여된다.
SASB는 '지속가능산업분류체계(SICS)'에 따라 전체 산업군을 11개로 나누고 77개로 하위산업을 구분했다. 현재 국제지속가능성표준위원회(ISSB) 공시기준과 통합작업이 진행되고 있다. SASB 기준은 ▲환경(6) ▲사회적 자본(7) 인적 자본(3) ▲사업 모형‧혁신(5) ▲리더십‧지배구조(5) 총 5개 영역‧26개의 중대성 주제로 구성됐다.
기업의 지속가능성 사안 중 영업 성과나 재무상태에 영향을 미칠 가능성이 가장 높은 일련의 사안을 식별하도록 설계됐다.
SICS 산업 분류에 따르면 통신 서비스 산업은 케이블‧위성 서비스를 제공하는 기업을 비롯해 유선‧무선 통신 기업으로 구성된다. 통신 산업의 ESG 중대성은 ▲에너지 관리(Energy Management) ▲고객 프라이버시(Customer Privacy) ▲데이터 보안(Data Security) ▲경쟁적 행위(Competitive Behavior) ▲원재료 소싱‧효율(Materials Sourcing & Efficiency) ▲체계적인 위험 관리(Systemic Risk Management) 6개다.
최근 LG유플러스에서 18만명에 달하는 고객 개인정보가 유출된 사실이 알려지면서 논란이 일고 있다. 현재 개인정보보호위원회 등은 조사에 착수한 가운데 이번 사고는 SASB가 제시한 중대성 이슈 중 프라이버시, 데이터 보안과 맞물릴 가능성이 크다.
SASB는 "해당 유형의 기업은 개인식별정보뿐만 아니라 인구통계학적 데이터, 위치 정보 등 수많은 종류의 고객 데이터를 관리하므로 데이터 보안 위협에 특히 취약하다"며 "통신 인프라에 대한 최근 사이버 공격 사례는 네트워크 보안 강화가 필요하다는 것을 보여준다"고 전했다.
또 "데이터 보안 위협의 부적절한 방지, 탐지·해결은 고객 확보에 어려움을 겪거나 시장 점유율이 감소하는 등 회사 제품에 대한 수요가 감소할 수 있다"며 "데이터 유출 문제는 평판 손상을 비롯해 문제 해결 관련 비용 증가도 초래할 수 있다"고 했다.
SASB는 통신 서비스 데이터 보안·개인정보 보호 관련 지속가능성 회계 지표로 ▲사용자 프라이버시 관련 정책 설명 ▲이차적 목적으로 정보가 활용된 이용자 수 ▲프라이버시 관련 법적 조치 결과 발생한 금전적 손실 총액 ▲데이터 침해 건수‧개인식별정보 관련 비율‧영향 받은 이용자 수 ▲데이터보안 위험 식별‧대응 접근법 등을 제시하고 있다.
모건스탠리캐피털인터내셔널(MSCI)도 통신 부문에 데이터보안과 프라이버시 지표에 가중치를 부여하고 있으며, 한국ESG기준원(KCGS)이 제시한 ESG 모범규준에서도 사회(S) 영역 모범규준 중 하나로 개인정보 보호의 필요성이 포함됐다.
ESG기준원은 세부기준으로 ▲개인정보 보호 정책 수립 ▲개인정보 보호 책임자 ▲개인정보 위험 관리 ▲수집‧활용 ▲모니터링 체계 구축 ▲개인정보 처리 투명성 확보 ▲정보주체 권리 보장을 제시했다
개인정보 보호는 개인정보처리자의 적법한 처리와 정보주체의 신뢰확보가 핵심이다. 데이터 보호는 기술적 정책, 프라이버시 보호는 개인정보 침해에 대응하고 법적 요구사항을 준수하는 정책 마련이 골자다.
최근 한국인터넷진흥원(KISA)이 발간한 '2023 개인정보 7대 이슈 전망' 보고서는 "K-ESG 가이드라인과 정보보호 공시제도 의무화는 별개의 제도가 아닌 상호 보완관계"라면서 "정보보호 공시제도를 통해 개인정보를 취급하는 서비스 기업의 보안 관련 투자와 전담인력이 향후 고객들이 제품이나 서비스 선택에 하나의 기준이 될 수 있다"고 전했다.
이어 "ESG 경영에 따른 정보보호 기준 준수와 수준 향상은 향후 예상되는 공시 의무화와 해외 진출에 있어 경영 위험요인을 제거하는 수단이 될 수 있다"며 "비재무적 위험 요인으로 정보보호와 개인정보 보호가 필수적이고 중장기적 관점에서 두 제도의 연계를 통한 효과적 대응이 필요하다"고 전했다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기