[파이낸셜뉴스] NH투자증권은 증권업계 최초로 글로벌 개인정보보호 인증 '아시아-태평양 경제협력체 국경간 프라이버시 규칙(APEC CBPR, Asia-Pacific Economic Cooperation Cross-Border Privacy Rules)'을 취득했다고 29일 밝혔다. NH투자증권은 이번 인증 취득을 통해 아태지역뿐만 아니라 글로벌 수준의 개인정보보호 우수기업으로 대외 신인도를 제고하게 됐다. 특히 개인정보 보호법을 자국의 개인정보보호 규범과 동등한 수준의 보호 체계로 인정하는 국가에 진출하거나 해당 국가 소재 기업과 제휴를 하는 경우 안전하고 효율적으로 개인정보 관리를 보증받을 수 있게 됐다. NH투자증권은 앞으로도 개인정보보호에 대한 투자와 정보보호 역량 제고를 위해 다양한 노력을 해나간다는 계획이다. 김규진 정보보호본부 대표(개인정보보호책임자)는 “지속적으로 개인정보보호에 대한 중요성이 높아지고 있는 흐름속에서 APEC CBPR 인증 획득을 통해 개인정보보호 역량을 인정받아 기쁘다”며 “앞으로 NH투자증권은 고객이 안심하고 서비스를 이용할 수 있는 토대를 마련하기 위해 지속적인 투자 및 노력을 아끼지 않겠다”고 말했다. ggg@fnnews.com 강구귀 기자

[파이낸셜뉴스] KB국민은행은 글로벌 개인정보보호 인증 '아시아-태평양 경제협력체 국경 간 프라이버시(APEC CBPR)'을 국내 금융회사 최초로 획득했다고 26일 밝혔다. APEC CBPR은 APEC 프라이버시 9원칙을 기반으로 50가지 인증기준을 통해 기업의 개인정보 보호 체계를 평가하여 인정하는 글로벌 인증이다. APEC 회원국 간 공동의 개인정보 보호 기준을 통해 자유롭게 안전한 개인정보 이전을 지원하고자 APEC 회원국이 공동으로 개발했다. 현재까지 한국, 미국, 일본, 싱가포르 등 9개국이 APEC CBPR에 참여하고 있으며 애플·IBM·HP 등 약 60개의 글로벌 기업이 APEC CBPR 인증을 취득했다. 최근 '글로벌 CBPR 포럼' 출범 선언을 통해 아시아-태평양(APEC) 이외 지역으로의 CBPR 확대를 추진하고 있으며 향후 더 많은 국가들의 참여가 예상된다. 국민은행은 이번 APEC CBPR 인증을 통해 아태 지역뿐만 아니라 국제적 차원에서 개인정보 보호 우수기업으로 인정받아 대외 신뢰도를 높였다. 특히 일본과 싱가포르 등 APEC CBPR 인증 기업에게 개인정보 이전을 허용하는 국가로부터 현지 고객의 개인정보를 국내로 안전하고 편리하게 이전 할 수 있게 됐다. seung@fnnews.com 이승연 기자

[파이낸셜뉴스] 네이버가 국내 최초로 아시아태평양경제협력체(APEC) 국경간 프라이버시 규칙(CBPR) 인증을 취득했다. CBPR은 회원국 간 자유롭고 안전한 개인정보 이전과 전자상거래의 활성화 등을 지원하기 위해 APEC이 개발한 글로벌 개인정보보호 인증 제도다. 23일 관련 업계에 따르면 미국, 일본, 한국, 싱가포르 등 9개국이 CBPR 인증에 참여하고 있으며, 애플, 시스코, IBM, HP, 야후재팬 등 40여 개 기업이 해당 인증을 취득한 바 있다. CBPR은 △개인정보 관리 체계 수립 △개인정보 수집 △개인정보 이용, 제공, 위탁 △정보주체 권리 △무결성 △보호 대책 등을 종합적으로 평가해 인증한다. 네이버는 일반 사용자 및 사업자 회원을 대상으로 하는 △포털 △비즈니스 △밴드 △마이스마트스토어 △아티클 등 대부분 서비스에 대해 CBPR 인증을 부여 받게 됐다. 이번 CBPR 인증을 통해 네이버는 일본, 싱가포르 등 CBPR을 자국의 개인정보 보호 규범과 동등한 수준의 보호체계로서 인정하는 국가에 진출하거나 해당 국가의 기업과 제휴 체결 시, 별도 절차를 거치지 않고서도 네이버 시스템에서 안전하고 효율적으로 개인정보를 관리할 수 있다. 이진규 네이버 개인정보보호책임자는 “세계 각국의 법제 간 차이에도 불구하고 네이버가 구축한 개인정보 보호 및 관리체계가 견고한 수준이며, 네이버가 소비자 프라이버시를 적극 보호하고 보장하는 기업임을 인정받았다는 점에서 의미가 남다르다”고 전했다.  soup@fnnews.com 임수빈 기자

연내 국가간 프라이버시 규칙(CBPR) 인증을 받는 국내 기업이 나올 전망이다. CBPR은 개인정보 보호 관리 체계에 대한 글로벌 인증으로 취득 시 기업의 데이터 국외 이전 사업이 더욱 쉬워진다. 20일 한국인터넷진흥원(KISA)에 따르면 현재 국내 기업 2~3곳이 KISA로부터 CBPR 인증 심사를 받고 있다. CBPR은 지난 2011년 아시아-태평양경제협력체(APEC) 회원국들이 APEC의 프라이버시 9원칙을 근거로 공동 개발한 개인정보 보호 인증 체계다. 한국은 CBPR에 지난 2017년에 가입, 아직 인증을 받은 국내 기업은 없다. 정태인 KISA 개인정보협력팀장은 "CBPR 인증제도는 개인정보를 국가 간 자유롭게 이전해서 활용하려는 경우, 최소한의 개인정보 보호를 위해 일정 요건을 정해서 운용하는 제도"라며 "(개인정보가) 안전하게 관리되고 있다는 정보를 주는 개념으로 볼 수 있다"고 설명했다. soup@fnnews.com 임수빈 기자

[파이낸셜뉴스] 연내 국가간 프라이버시 규칙(CBPR) 인증을 받는 국내 기업이 나올 전망이다. CBPR은 개인정보 보호 관리 체계에 대한 글로벌 인증으로 취득 시 기업의 데이터 국외 이전 사업 진행 등이 더욱 쉬워진다.  20일 한국인터넷진흥원(KISA)에 따르면 현재 국내 기업 2~3곳이 KISA로부터 CBPR 인증 심사를 받고 있다.  CBPR은 지난 2011년 아시아-태평양경제협력체(APEC) 회원국들이 APEC의 프라이버시 9원칙을 근거로 공동 개발한 개인정보 보호 인증 체계다. 회원국 간 신뢰할 수 있는 개인정보 이전 체계 마련, 데이터 경제 활성화를 목표로 한다.  정태인 KISA 개인정보협력팀장은 "CBPR 인증제도는 개인정보를 국가 간 자유롭게 이전해서 활용하려는 경우, 최소한의 개인정보 보호를 위해 일정 요건을 정해서 운용하는 제도"라며 "(개인정보가) 안전하게 관리되고 있다는 정보를 주는 개념으로 볼 수 있다"고 설명했다.  CBPR 참여국은 △한국 △미국 △싱가포르 △대만 △일본 △캐나다 △호주 △멕시코 △필리핀 등이다. 최근 글로벌 CBPR 포럼 출범 등으로 APEC에 한정되지 않는 글로벌 CBPR 체제 전환도 준비하고 있다.  지금까지 총 51개 기업이 CBPR 인증을 취득했다. 한국은 CBPR에 지난 2017년에 가입, 2019년 KISA가 인증기관으로 선정됐으며 아직 인증을 받은 국내 기업은 없다.  오용석 KISA 개인정보정책단장은 "KISA는 올해 5월부터 실질적인 인증 신청을 받기 시작했고, 연내 인증을 취득한 기업이 나올 것으로 예상된다"고 전했다.  soup@fnnews.com 임수빈 기자

[파이낸셜뉴스] 외교부와 개인정보보호위원회는 미국 상무부와 공동으로 서울에서 오는 2일~4일까지 글로벌 국경간 프라이버시 규칙(CBPR) 포럼 워크숍을 개최한다고 1일 밝혔다.  아시아태평양경제협의체(APEC) 내에서 논의되던 CBPR의 개선·발전과 국제적 확산을 위해 올해 4월21일 출범한 글로벌 CBPR 포럼은 하와이에서 첫 워크숍을 개최한 후 회원국간 협의를 거쳐 두번째 워크숍 개최지를 서울로 결정했다. 이번 워크숍은 개인정보보호에 대한 인식 공유와 개인정보의 안전한 국외이전에 대한 산업계 의견 수렴을 목적으로 포럼 참여국·관심국 및 기업 관계자 70여명이 참석해 CBPR의 비전 등에 대해 논의한다. 윤성덕 외교부 경제외교조정관은 개회사를 통해 개인정보의 안전하고 자유로운 국경간 이동을 위한 체계 확립에 지속적으로 협력할 것임을 강조하면서, 지난 하와이 워크숍에 이은 생산적 논의를 당부할 예정이다. 최장혁 개인정보위 부위원장은 기조연설을 통해 CBPR의 발전·확대 필요성을 강조하며 디지털시대 자유롭고 안전한 개인정보 이전이라는 공통된 목적을 달성하기 위한 국제협력의 중요성을 당부할 예정이다. syj@fnnews.com 서영준 기자

[파이낸셜뉴스] 뉴스킨 코리아가 직접판매 업계 최초로 글로벌 개인정보보호 인증인 'APEC CBPR' 인증을 취득했다. 18일 뉴스킨은 온라인몰 서비스에서 처리하는 고객의 개인정보 보호 체계가 글로벌 CBPR 인증 기준을 만족하는 수준으로 수립 및 운영되고 있음을 공인 받게 됐다고 밝혔다. APEC CBPR은 아시아태평양경제협력체(APEC)가 발급하는 국경간 프라이버시 규칙(CBPR) 인증이다. 프라이버시 보호 원칙을 기반으로 기업의 개인정보 보호 체계를 평가하며 애플, IBM 등 70여 개 글로벌 기업들이 인증을 취득했다. 9개의 프라이버시 원칙을 기반으로 개인정보 관리 체계 수립, 개인정보 수집, 개인정보 이용/제공/위탁, 정보주체 권리, 무결성, 보호 대책 등 50개의 인증 기준 항목을 종합적으로 평가해 인증을 발급한다. 한국에서는 개인정보보호위원회와 한국인터넷진흥원(KISA)이 2022년부터 APEC CBPR 제도를 정식 운영하고 있으며, 뉴스킨은 직접판매 업계 중 최초이자 국내 기업 중 13번째로 인증을 받았다. 이외에도 뉴스킨은 한국인터넷진흥원 주관의 보안관리 체계 인증 ISMS(정보보호 관리체계)를 유지하는 등 고객 정보보호에 앞장서고 있다. 뉴스킨 관계자는 "개인정보보호 체계 운영에 대한 그간 노력의 결실이자 업계 최초 인증이라는 점에서 의미가 크다"며 "앞으로도 뉴스킨은 국내외 정보보안 인증 체계를 준수하며 안전한 고객 정보 처리를 최우선 경영과제로 삼아 신뢰할 수 있는 서비스를 제공하겠다"고 말했다. wonder@fnnews.com 정상희 기자

[파이낸셜뉴스]  지난해 9월 개인정보보호법 내 데이터 국외이전에 대한 조항이 개정되었다. 개인정보보호법 제28조8에 의하면 국내외의 모든 기업들은 개인정보를 국외로 이전할 수 없으며, 불가피하게 국외로 개인정보를 이전해야 할 경우에는 국가가 정한 규정에 의거하여 적정한 보호체계 보장과 개별적인 동의 여부 등을 준수해야 한다. 이러한 국외이전에 대한 조항이 개정되고 난 후 가장 먼저 이슈가 된 것은 알리와 테무와 같은 중국 E커머스 업체들이었다. 최근 중국 직구의 규모가 미국을 제치고 1위로 올라서면서 국내 유저 개인정보의 수집과 처리에 대한 문제가 기사화되었다. 특히 3자 제공 동의 등의 약관을 통해 중국 업체로의 무분별한 이전 여부가 문제되어 해당 중국 플랫폼에 대한 개인정보보호위원회의 조사가 예정되어 있다. 하지만 개인정보의 국외이전에 대한 규제는 외국계 대형 플랫폼만의 문제가 아니다. 큰 이슈에 가려져 있지만 국외이전에 대한 규제 개정은 국내 기업의 해외 주재원이나 파견자, 현지 채용 인력에 대한 개인정보 국외이전에도 영향을 미칠 것으로 예상된다. 기업들은 안정적인 해외 근무 환경 조성을 위한 현지의 업체를 활용하여 다양한 인사 서비스를 제공하고 이를 위해 개인정보를 해외 제휴 업체나 현지 법인에 이전하게 되는 경우가 많다. 이 때 기업은 반드시 개인정보보호법의 규정을 준수하여야 하며, 이전 대상 국가의 개인정보 보호 수준이 한국 수준과 동등하다는 것을 증명해야 한다. 단순히 근로계약서 등에 개인 정보의 국외이전 동의를 명시한 것으로는 해결되지 않는다. 개정된 시행령에 의하면 이러한 동의는 고용주와 피고용인 사이에 동등한 관계가 성립된 명시적 동의로 인정받기 어려우며, 개인의 건강 등과 연관된 민감데이터의 경우 변동 시에 매번 개별 동의 확보가 필수적이기 때문이다. ■국내 대형 건설사 등 EPC 매출의 최대 3%의 과징금 우려 대표적인 예를 들어 보자. 대형 건설사들은 해외 EPC 프로젝트를 수주하면서 현지의 채용자와 파견자들을 대상으로 해외 의료비 지원과 긴급 이후송 서비스를 제공하고 있다. 현행의 중대재해법 하에서는 본사의 지배운영관리를 받는 해외 현장에서 본사의 책임을 강구하기 위하여 안전과 보건 조치는 필수적인 사항이다. 그러나 현지 근로자의 건강관리를 위해 한국에서 받은 검진 결과 등을 해외 업체에 전달하거나 의료비 지원을 위해 진료 결과를 첨부한다면 문제가 된다. 또한 안전상, 건강상의 긴급 상황이 발생하여 본국으로 이후송하기 위해 항공권을 제공하거나 에어 앰뷸런스를 부르는 것도 문제가 된다. 개인정보보호법상 개인의 의료 정보나 여권정보는 모두 추가적인 동의가 필요한 민감 정보이거나 고유 식별 정보이다. 이를 위반할 시엔 즉각적인 개인정보의 국외 이전이 중단되고 과실의 경중에 따라 전체 매출의 최대 3%의 과징금이 부과되며 매출이 없는 경우 최대 20억까지 정액 과징금이 부과될 수 있다. 위탁 업체를 통해 해당 업무를 처리해도 회수 파기에 대한 관리가 이뤄지지 않는다면 정보 제공자인 본사의 책임을 회피할 수 없다. 기업 내 관리부서를 분리하여 인적사항에 대한 정보와 보건 안전에 대한 정보를 별도 분리 보관한다 할지라도 개인정보의 민감도는 낮아지지 않는다. ■ISMS-P 인증을 통해 안전한 관리 필요 이러한 문제를 피하기 위해서는 어떻게 해야 할까? 김앤장 법무법인의 이병남 고문은 “개인정보보호위원회에서 고시한 ISMS-P 인증을 획득하였다면 개정된 법 28조의8에 의한 개인정보의 국외 이전에 대한 적법요건을 갖추게 된 것이다.”라고 코멘트하며 개인정보보호법 안에 해답이 있다고 말한다. 실제로 개인정보 보호 위원회는 ISMS-P 인증을 획득하였다면 북미의 CBPR보다 상위의 안정성을 보유하고, 유럽의 GDPR과 동등한 안정성 보호 조치를 보유한 것으로 본다. ISMS-P 인증은 개인정보 보호 체계, 정보주체 권리보장 범위 측면에서 적어도 글로벌 스탠다드와 동등한 수준 이상의 관리체계를 갖춘 경우에만 부여하기 때문이다. 해외 임직원의 안전과 보건을 위탁 관리하기 위해서는 적법한 업체를 선정하는 것도 방법이다. 특히 개인정보를 빈번하게 다루는 주재원 보험, 해외 의료지원, 항공 발권에 관련된 업체와는 반드시 개인정보 관리에 관한 별도의 계약을 체결하여 유출을 방지해야 한다. 특히 여권 사본이나 의료기록 같은 정보가 회수 파기되어 있는지 관리 감독이 필요하다. 최근 생성형 AI 기술이 급격히 발달하면서 전 세계가 다양한 경로로 개인정보를 취득하기 위하여 경쟁하고 있다. 생성형 AI 모델은 실제 데이터를 기반으로 학습하기 때문에, 모델 학습에 사용되는 데이터에 개인 식별 정보가 담긴 여권 정보나 의료 기록 같은 개인정보가 포함되어 있을 경우 악의적인 사용자에 의한 정보 유출 가능성이 높다. 개인정보의 국외이전 제한은 이러한 부작용을 막고 글로벌 데이터 경쟁력을 제고하기 위한 장치이다. 기업들은 이러한 법의 변화를 가장 먼저 대응하여 경쟁력을 높여야 한다.

[파이낸셜뉴스] 네이버클라우드가 싱가포르에서 초대규모 인공지능(AI)인 ‘하이퍼클로바X’ 글로벌 전략을 제시했다. 네이버클라우드는 최근 싱가포르 마리나베이샌즈 엑스포 컨벤션 센터에서 열린 ‘빅데이터 & AI 월드’의 ‘한국-싱가포르 디지털 이노베이션 세미나’에 참가해 싱가포르 현지 정부 기관 및 ICT 관계자 등을 대상으로 자사 클라우드 및 AI 기술을 소개했다고 18일 밝혔다. 한국-싱가포르 디지털 이노베이션 세미나는 대한무역투자진흥공사(코트라), 인베스트코리아, 양재 AI 허브가 주관해 싱가포르 현지 기업의 한국 투자 유치 및 정보를 공유하기 위해 개최됐다. 이 자리에서 네이버클라우드는 싱가포르 진출의 대표적 성공사례로 선정돼 ‘네이버클라우드의 글로벌 확장 및 싱가포르에서의 AI 발전계획’을 주제로 발표를 진행했다. 네이버클라우드 동남아시아 사업개발 안홍석 이사는 “네이버클라우드 싱가포르 리전(복수의 데이터센터)에서 한국과 동일한 수준의 클라우드 서비스를 구현할 수 있다”고 밝혔다. 또한 하이퍼클로바X를 활용해 다양한 AI 서비스 개발이 가능하다고 강조했다. 네이버클라우드는 싱가포르 정부와 산업 전반에 걸친 시너지 효과를 창출하는 것을 목표로 AI 기반 싱가포르 디지털 혁신을 지원할 계획이다. 앞서 네이버클라우드는 싱가포르 리전 기능을 확충하고 싱가포르 사무실도 개소하는 등 동남아 시장에서 영향력을 확대하기 위해 노력하고 있다. 또 싱가포르 클라우드 보안인증(MTCS)과 국경 간 프라이버시규칙(APEC CBPR) 인증을 취득하는 등 글로벌 사업 경쟁력을 강화하고 있다. 안 이사는 “네이버클라우드는 한국 뿐 아니라 싱가포르를 중심으로 동남아 시장에 클라우드와 AI 기술 도입을 가속화하기 위해 지속적으로 문을 두드리고 있다”며 “네이버클라우드의 모든 서비스가 글로벌 시장을 목표로 하는 만큼 동남아 시장의 AI 혁신을 이끌 수 있도록 더 노력하겠다”고 말했다. 코트라 동남아대양주 이희상 지역본부장은 “네이버클라우드의 싱가포르 사업 진출은 동남아 진출을 꿈꾸는 한국 기업들에게 영감을 주는 사례로 세미나에 참석한 한국기업들과 싱가포르 ICT 관계자들에게 높은 호응을 받았다”라며 “코트라도 정부 차원에서 한국기업들에게 실질적으로 도움이 될 수 있는 다양한 방안들을 모색해 나가겠다”고 전했다. elikim@fnnews.com 김미희 기자

[파이낸셜뉴스] 엔씨소프트(엔씨)가 지속가능경영보고서 '엔씨소프트 환경·사회·지배구조(ESG) 플레이북(PLAYBOOK) 2022'를 발간했다고 29일 밝혔다.  이번 지속가능경영보고서를 통해 엔씨는 △고객과 직원 측면에서 '함께 만드는 즐거움' △기술 개발과 적용 측면에서 '디지털 책임' △사회 구성원으로 책임 측면에서 '사회 질적 도약' 등 3가지 ESG경영 핵심가치를 기반으로 한 2022년 이행 내용 및 성과를 공개했다. 윤송이 엔씨 ESG경영위원회 위원장은 "다변화하는 글로벌 환경 속에서 ESG경영은 지속가능성을 담보하기 위한 필수 불가결한 요소이기에 다양한 노력을 기울여 왔다"며 "올해에도 '올바른 목표와 진정성 있는 실천'을 기반으로 한 지속가능경영에 더욱 집중하고자 하며 해당 성과를 투명하게 공개하고 이사회를 비롯해 이해관계자들과의 소통도 지속적으로 확대하겠다"고 밝혔다. 구체적으로 '함께 만드는 즐거움'에서는 콘텐츠와 서비스 내에서 다양성 및 포용성 제고를 위한 활동과 개발 단계부터 이어지는 고객 소통 문화를 소개했다. 엔씨는 세계 각국의 다양성을 이해하고 적용하는 '컬처럴라이제이션' 활동을 진행하고 있고 개발 단계부터 이용자와 소통하고 피드백을 반영하는 '엔씽'을 통해 고객과의 접점을 확대하고 있다. '디지털 책임'에서는 △정보보안 및 개인정보보호 △인공지능(AI) 윤리 △서비스 안정성과 관련된 노력과 성과를 공개했다. 국내 게임업계 최초로 글로벌 개인정보보호 인증 'CBPR'을 취득했으며 다양한 국제 정보보안 인증을 유지 및 갱신하며 보안관리 수준을 지속적으로 개선하고 있다. '사회 질적 도약'은 환경경영, 미래세대, 지역사회와 관련된 활동을 포함한다. 엔씨는 환경경영을 위한 실행체계를 갖추고 기후변화 관련 재무정보공개 협의체(TCFD) 권고안 기반으로 기후변화 관련 위험 및 기회요인을 평가한 후 이에 대한 대응 활동을 수행하고 있다. 직원들과 함께하는 사회공헌 프로젝트를 시작해 미래세대, 환경 등 다양한 주제의 공헌 활동을 진행해왔다.  아울러 엔씨는 지난 2021년 국내 게임사 최초로 ESG경영위원회를 신설하고, 지속가능경영보고서를 발간하는 등 ESG경영 노력을 지속하고 있다. 2022년에는 다우존스 지속가능경영지수(DJSI) 코리아 지수에 국내 게임사 최초로 편입됐고 국내외 ESG 평가기관으로부터 국내 게임사 중 가장 우수한 등급을 획득했다.  soup@fnnews.com 임수빈 기자