정보보호 업무를 하면 하루에도 몇 번씩 듣는 단어가 "컴플라이언스"입니다.
"이번에 신규 기획한 서비스 컴플라이언스 검토 끝났나요?",
"이번에 애플이 발표한 IDFA 정책에 대해 컴플라이언스 대응이 필요합니다"
이번 포스팅을 통해 컴플라이언스란 무엇인지 알아보겠습니다. 우선 컴플라이언스의 사전적 의미를 찾아보겠습니다.
컴플라이언스란 도대체 뭔가요?
위키를 검색해보니 컴플라이언스는 "사업 추진 과정에서 기업이 자발적으로 관련 법규를 준수하도록 하기 위한 일련의 시스템"으로 나옵니다. 누군가 제게 컴플라이언스가 무어냐고 묻는다면 "회사가 비즈니스를 하기 위해 법규와 회사 내부 정책 및 사회 규범을 준수하는 일련의 프로세스"라고 대답하겠습니다. 컴플라이언스는 본래 "법규 준수"라는 의미에서 시작했으나, 현재는 회사의 내부 정책과 사회 규범 준수를 포함하는 것으로 범위가 확장되었습니다.
개념으로 들으니 컴플라이언스, 참 까다롭게 느껴집니다. 사례를 한 번 들어보겠습니다.
뉴욕의 한 클리닉에서 일하는 간호사 A 씨는 친구의 남자친구 B 씨가 클리닉에 온 것을 보았습니다. 그의 병명은 성병. A 씨는 친구에게 그의 병에 대해 경고하는 문자를 보냈고, 이를 알게된 B 씨의 항의로 A 씨는 해고되었고 해당 클리닉도 함께 고소했습니다.
위의 사례는 대표적인 HIPPA(미국의 의료정보보호법) 위반 사례입니다. 과연 A 씨 직원 개인의 잘못으로 치부할 수 있을까요? 아니면 지인의 진료 및 의료기록 접근을 통제하지 못한 클리닉의 잘못일까요? 클리닉이 환자의 개인정보 보호를 어떤 보호조치를 수행해야 했을까요? HIPPA 출범 이전과 이후의 컴플라이언스 리스크는 어떻게 달라졌을까요?
국내의 데이터 3법 개정, GDPR, CCPA 등 다양한 레귤레이션이 전 세계로 확산되면서, 다양한 컴플라이언스 리스크가 기업 내의 발생했습니다. 새로운 법과 규제의 신설로 기업이 준수해야 하는 컴플라이언스의 수준이 올라갔으며, 어느 때보다 컴플라이언스 리스크가 위협으로 기업에 다가왔습니다. 비즈니스의 발전 속도만큼 양날의 칼처럼 이에 대응하는 리스크가 존재합니다. 따라서 기업의 전략과 프로세스도 이에 발맞추어 빠르게 변화해야 합니다.
컴플라이언스 준수는 왜 중요한가요?
컴플라이언스를 준수하는 것이 비즈니스에 있어 왜 중요한지는 정말 많은 이유가 있지만, 이 중 중요한 3가지만 뽑겠습니다.
1. 컴플라이언스는 비즈니스를 올바른 방향으로 성장시킵니다.
컴플라이언스의 가장 주요한 목적은 외부 규제와 사회 규범을 준수하는 것입니다. 컴플라이언스를 이해한다는 것은 어떤 것이 외부적인 위협으로 사회와 이용자를 보호하는 것인지 아는 것입니다. 따라서 결정의 옳고 그름의 기준을 명확히 세우게 도와줌으로써 어떤 방향으로 비즈니스가 나아가야 하는 지 길잡이가 되어줍니다.
2. 컴플라이언스는 예기치 못한 위협으로부터 비즈니스를 보호합니다.
컴플라이언스를 준수함으로 법적 소송, 벌금 그리고 갑작스러운 비즈니스의 중단 위협을 경감할 수 있습니다. 웹사이트를 운영한다면 사이트 운영 및 회원관리에 대해 다양한 보안 요구사항이 있는데, 이런 보안 요구사항은 해킹의 위협과 발생 가능한 개인정보 유출 사고로부터 비즈니스와 이용자를 보호합니다.
3. 컴플라이언스는 일관성을 강화해줍니다.
컴플라이언스에 기반해서 의사결정을 했다는 것은 명확한 규정, 윤리강령 그리고 회사의 정책을 기준해서 합리적인 의사결정을 했음을 의미합니다. 컴플라이언스를 고려한다면 다양하고 독특한 사고에도 일관성 있는 기준을 통해 합리적인 해결책을 도출할 수 있습니다. 컴플라이언스를 기반하지 않은 결정은 충분한 검증 없이 단순한 추측으로 내린 잘못된 의사결정이 될 가능성이 높습니다.
컴플라이언스는 비즈니스를 더 나은 방향으로 끊임없이 발전하게 합니다. 구성원, 회사 그리고 사회 전반에 긍정적인 영향을 끼칠 수 있게 무엇을 어떻게 해야 하는 지를 알려주는 것이 컴플라이언스입니다.
이 블로그에서는 다양한 컴플라이언스 분야 중 정보보호 및 개인정보보호 컴플라이언스에 초점을 맞춰 이야기를 나누려 합니다.
---
[1] 컴플라이언스(위키백과)
https://ko.wikipedia.org/wiki/%EC%BB%B4%ED%94%8C%EB%9D%BC%EC%9D%B4%EC%96%B8%EC%8A%A4
[2] 20 Catastrophic HIPAA Violation Cases to Open Your Eyes (MedProDisposal)
https://www.medprodisposal.com/hipaa/20-catastrophic-hipaa-violation-cases-to-open-your-eyes/
[3] Importance of Compliance in Business (Chron)
https://smallbusiness.chron.com/importance-compliance-business-71173.html
[4] 8 Reasons Why the Compliance Function Is Essential for Smaller Organizations (RiskAlternatives)
https://riskalts.com/8-reasons-why-the-compliance-function-is-essential-for-organizations/