한국마이크로소프트가 2월 13일 IT 분야 기자들을 대상으로 100일 앞으로 다가온 'GDPR(General Data Protection Regulation)'에 대한 이해와 어떻게 해야 할 지에 대해 설명하는 ‘Microsoft Connect: 100일 앞으로 다가온 GDPR 시행 – GDPR의 이해와 준비’ 시간을 마련했다.
일반 개인정보 보호법(GDPR)은 기업들이 28개 회원국이 참여하고 있는 EU에서 발생하는 거래에서 EU 국민들의 개인 데이터와 프라이버시 보호를 위한 의무 규정으로, 2016년 5월에 EU가 제정했고 유예기간을 거쳐 2018년 5월 25일부터 전세계를 대상으로 적용될 예정이다.
사업장이 EU 안에 있거나 EU 국민에게 상품과 서비스를 제공하는, EU 국민과 관련된 데이터를 수집, 분석하는 기업은 물론 물리적인 위치에 관계 없이 적용된다. 적용 대상 데이터는 식별되거나 식별 가능한 개인 데이터, 이름, ID번호, 위치정보, IP주소 등 직간접적으로 확인할 수 있는 정보, 개인정보가 EU 국민에 해당할 경우에는 EU 지역 외에서 수집, 처리, 저장된 개인정보 모두 해당된다.
이를 위반할 때는 2천만 유로(한화 약 266억원) 또는 전 세계 연간 매출액의 4% 중 더 높은 금액으로 과징금을 부과한다는 EU의 새로운 개인정보 보호법이라고 할 수 있다.
한국마이크로소프트 박지호 부장은 증기기관으로 대표되는 1차 산업혁명부터 빅데이터, 인공지능 등으로 관심을 모으고 있는 4차 산업혁명의 발전 과정에 대해 설명하면서 GDPR이라는 개인정보 보호가 중요하게 된 이유에 대해 설명했다. 박지호 부장은 "GDPR은 개인정보의 자유로운 이동을 보장하는 것을 목적으로 한다"며 "규제 보다는 활용 면에 더 큰 방점을 두고 있다"고 지적했다. 하지만 "GDPR은 사법적, 행정적인 조치가 가능한 법률이기 때문에 EU와 직간접적인 거래를 하고 있거나 준비하는 기업이라면 GDPR이 전면 시행되는 5월 25일 이전에 빠른 대응이 필요하다"고 강조했다.
5월 25일 이후에는 GDPR이 전면 시행되기 때문에 기업 입장에서는 GDPR의 적용 대상인지를 먼저 확인해야 한다. 이에 대한 가이드라인이 소개된 적이 있는데, 한국인터넷진흥원(KISA)은 2017년 12월 11일, ‘유럽 일반 개인정보보호법(GDPR*)‘에 대한 우리 기업의 대응력 향상을 위해 ‘우리 기업을 위한 GDPR 세미나’를 개최하고 2017년 4월에 발간된 '우리 기업을 위한 GDPR 가이드라인' 발간 배경에 대해 설명하기도 했다.
박지호 부장은 "GDPR이 강제화된 법률이고 국내 개인정보보호법에도 영향을 줄 수 있다. 인증 과정을 거쳐야 하고 늘어나는 사이버 해킹 등에 대해서도 지속적인 대응 전략도 마련해야 한다"며, "하루라도 빨리 GDPR 대응 방안 마련에 나서야 하고, 마이크로소프트와 같은 클라우드 서비스 기업과 관련 사항에 대해 상의하는 것도 좋은 방안이 될 것"이라고 덧붙였다.