유럽연합(EU)이 개인정보 보호법을 대폭 강화해 올 5월부터 시행하기로 하면서 글로벌 기업에 비상이 걸렸다. 새 개인정보 보호법은 유럽에서 사업을 하거나 EU 소속 국민을 고용하는 기업 등에 EU 소속 국민의 개인정보 보안을 대폭 강화하고 나선 것이 핵심이다. 법을 위반하면 최악의 경우 연간 글로벌 매출의 4% 또는 2000만유로(약 266억원)라는 거액의 벌금을 물어야 하지만 글로벌 기업 상당수는 대비가 부족한 것으로 나타났다.

니혼게이자신문은 EU에서 새로운 개인정보 보호법(GDPR)이 시행되면 빅데이터 패권을 둘러싼 글로벌 기업 간 공방이 새로운 국면을 맞을 것이라고 18일 보도했다. EU 소속국 국민의 개인정보 보호 조치가 대폭 강화되면 각종 경제적 부담 및 거액의 벌금 부과 가능성이 높아질 것이라는 전망이다.

새 규정이 적용되면 이메일 주소나 신용카드 정보 등 개인정보를 EU 역외의 제3자에게 전송하거나 열람케 하는 것이 원칙적으로 금지된다. 개인정보가 포함된 빅데이터를 다룰 전문적이고 독립적인 정보보호 책임자를 고용해야 하며, EU 국민은 인공지능(AI) 등이 자동으로 시행하는 평가 등을 거부할 권리를 지닌다. 개인은 불필요한 정보를 삭제하는 ‘잊혀질 권리’도 보유하게 된다. 출장이나 여행으로 EU 역내에 있는 본국 직원정보, 유럽 직원의 인사정보를 본국에서 관리하는 것 등도 모두 규제 대상이다.

EU에서 사업을 하는 모든 기업이 대상인 만큼 대응이 시급하지만 제도 시행을 코앞에 두고도 사실상 ‘무방비’ 상태인 기업이 적지 않다고 니혼게이자이신문은 전했다.

GDPR 대응 관련 자문기관인 일본인터넷이니셔티브(IIJ)에 따르면 유럽에 거점을 둔 일본 기업의 10%를 조금 웃도는 정도만 대응 작업에 들어간 상태다. 그나마 이제 막 검토를 시작한 기업이 대부분이다. 관련 인재 확보도 문제다. 개인정보 보호 책임자급 인력이 일본 기업에서만 1700명가량 필요할 것이라는 전망도 있다.

일본뿐 아니라 세계적으로도 준비가 부족한 기업이 많다. 글로벌 정보기술(IT) 네트워크 기업인 이피션트IP가 세계 1000개 기업을 대상으로 한 설문조사에선 조사 대상의 28%가 GDPR에 준비가 돼 있지 않다고 응답했다. 이 조사에는 비교적 GDPR 대비가 충실한 미국(대비 기업 비율 84%)과 캐나다(75%) 기업을 비롯해 독일 스페인 프랑스 등 EU 역내 기업 상당수가 포함된 만큼 비EU 지역은 무방비 상태 비율이 더 높을 것으로 추정된다. 상대적으로 준비가 잘 됐다는 미국도 중소기업은 법 개정에 관한 정보가 전무한 경우가 대부분이라는 지적이다.

도쿄=김동욱 특파원/추가영 기자 kimdw@hankyung.com