개인정보보호법은 법과 기술적 지식, 그리고 경험을 가지고 있어야 하기 때문에 교육이 수월하지는 않다. 그만큼 교육자는 사전에 준비와 공부를 많이 해야만 한다. 현장을 둘러보면 공공과 민간을 아우르는 일반법 성격의 법 때문에 특별법이나 해당 업무 관련법에 많은 지식이 필요해 실무 담당자가 어려움을 호소하기도 한다. 그러나 실무 담당자들이 한목소리로 말하는 것은 `경영진의 관심`이다.
개인정보보호법 제31조는 `개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보보호책임자를 지정하여야 한다`고 명시하고 있다. 공공기관이나 대기업에서는 개인정보처리방침이나 내부관리계획에 개인정보책임자를 명시적으로 지정해 놓고 있다. 하지만 말 그대로 기관이나 기업의 개인정보를 책임질 사람인지 먼저 자문해야 한다.
현장을 둘러보면 개인정보보호법에 관심을 가지는 사람은 관련 업무 담당자나 정보통신 담당 혹은 전산 담당이 대부분이다. 중소기업과 영세 기업에서는 한 사람에게 개인정보보호 업무를 일괄해 맡겨 두고 책임자는 무관심한 사례가 다반사다. 상황이 이렇다 보니 개인정보보호 업무를 하는 담당자는 하소연한다. 조직 내 부서에서도 자신의 업무가 아니라고 관심을 가지지 않고 실무진이 업무를 진행하려 해도 담당자 혼자서 모든 업무를 감당하고 결정할 수 있는 사안이 아니기에 결국 포기 상태에 이른다. 아마도 이런 악순환이 계속되고 있기 때문에 법 조기 정착에 시간이 오래 걸리지 않을지 우려스럽다.
이런 악순환의 고리를 끊고 개인정보보호법 조기 정착과 인식 제고를 위해 세 가지를 제안한다.
첫째, 개인정보보호법 제정 취지를 이해하고 사회적 책임을 다하자. 자유를 누리는 것에는 반드시 책임이 따른다. 규제 목적보다는 정보주체의 권리를 강화하고 기존의 관행과 관성에서 벗어나 법을 지킨다는 법 준거성 측면에서 개인정보보호법을 바라봐야 한다. 또 기관과 기업은 사회적 책임을 다하는 자세를 가져야 한다. 기관과 기업이 개인정보 수집, 이용, 보관, 파기 등 처리단계별 의무조치를 다함으로써 개인정보를 소중하게 관리하는 것이 사회적 책임(Corporate Social Responsibility)의 일환이라는 인식을 가져야 한다. 그렇지 못한 기업과 기관은 반드시 처벌받게 될 것이다.
둘째, 개인정보보호책임자의 책임과 역할의 의미를 되새겨보자. 형식적으로 지정해 놓은 책임자가 아니라 그에 따른 법적 역할과 책임을 지는 사명감과 의무감을 가져야 한다. 개인정보 유·노출 시에는 당사자기 때문이다. 그러지 않고 모든 책임을 담당자에게만 돌리면 악순환의 고리를 끊기가 쉽지 않다. 자신이 책임져야 할 개인정보라면 무관심하지 않을 것이다.
셋째, 개인정보위원회를 잘 활용하자. 개인정보위원회는 각 부서장이 모여 고객의 개인정보 보호에 머리를 맞대고 문제를 풀어가는 의사결정기구다. 이런 위원회에서 개인정보 관련 역할과 업무를 분담하면 한 사람만 관련 업무를 해야 하는 불합리를 탈피할 수 있다.
심리학에서는 미국에서 길거리 살인사건을 목격한 사람들이 보인 태도를 `책임분산효과`로 설명한다. 이는 자신과 같은 처지의 사람이 또 있으면 다른 사람에게 책임이 분산돼 자신이 무언가 해야만 한다는 의식이 희박해지는 것을 말한다. 개인정보책임자가 개인정보 보호 역할을 다하지 못하거나 개인정보는 무조건 중요하니까 잘 보호해야 한다고 외치면 책임분산효과만 키운다. 이는 법 규제에 대한 저항에서 자유롭지 못할 것이다.
전주현 보안인닷컴 운영자 sis@sis.pe.kr
