올해도 S&P 글로벌 ESG 지수 퇴출
투명성, 리스크 관리 부족이 이유
ESG 등급에도 영향 미칠 것이라 전망
메타는 최근 강화되는 개인정보 관련 규제에 따라 이용자의 정보를 활용하기 위해 지난 5월 개인정보처리방침을 수정했다. 서비스 이용 조건으로 제시된 것은 ▲개인정보 수집 및 이용 ▲개인정보 제공 ▲개인정보의 국가 간 이전 ▲위치 정보 ▲개인정보 처리 방침 업데이트 ▲서비스 약관 등 6개 항목이다. 하지만 실제로 이와 같은 정보가 서비스 이용에 ‘필수적’인지 명확하지 않고, 정보 이용 방침에 대해 명확하게 설명이 되지 않았다는 점에서 논란이 커지고 있다. 개보위가 이러한 개인정보 수집이 위법이라고 판단한다면 메타의 국내 영업이 큰 타격을 입을 것으로 예측된다.
메타는 개인정보 투명성 부족 및 유출 사고 다량 발생 등을 이유로 끊임없이 주의를 받아왔다. 결국 메타는 2019년 S&P 글로벌 ESG 지수에서 퇴출됐다. 2020년 지배구조 점수의 향상으로 재진입했으나 올해는 다시 제외됐다. S&P 글로벌은 “페이스북(메타)은 150개 이상의 기업이 공개된 것 이상으로 고객의 개인정보에 접근할 수 있도록 허용했다. 또한 고객들이 5000만 개 이상 계정 해킹 문제에 노출되도록 만들었다”고 그 이유를 설명했다.
이러한 사고가 지속적으로 일어남에도 리스크 관리 프로세스의 효과가 나타나지 않았으며 회사가 그것을 어떻게 관리하는지조차 알 수 없었다는 점 역시 ESG 지수 퇴출의 주요 요인이 됐다.
과징금 부담, ESG 등급 저하로 이어져
메타는 국내에서도 관련 사건에 대한 징계 처분을 받았다. 개보위는 당사자 동의를 받지 않고 다른 사업자에게 회원 정보를 제공하는 등 6개 사항을 위반한 페이스북에 지난해 64억4000만원의 과징금을 부과했다.
메타가 보유한 이러한 리스크는 IT기업이 마주한 문제점이기도 하다. 현재 EU는 일반개인정보보호법(GDPR)을 채택해 개인정보의 국외 이전, 활용에 대한 엄격한 보호와 제재를 가하고 있다. 일반사항 위반 시 전세계 매출액 2%, 혹은 1000만 유로(약 125억원) 가량의 과징금이 부과된다. 중요사항을 위반할 경우 전 세계 매출액의 4%, 혹은 2000만 유로(약 250억원)이 벌금으로 부가된다. 한국은 지난해 12월 적정성 결정을 통과하며 국외 정보 활용에 대한 절차는 간소화됐지만, 준수 의무는 여전히 남아있다. 기준 미달에 따르는 과징금에 대한 부담도 그대로 남았다.
관련 과징금, 혹은 영업 제재 등이 기록으로 남으면 ESG 평가 지표에 영향을 줄 가능성도 커진다. 글로벌 ESG 평가 기관인 MSCI는 ‘프라이버시 및 데이터 보안’을 주요 사회(S) 부문 평가 지표로 두고 있다. 관련 지표는 통신 서비스, 금융, IT 분야 순으로 가중치가 높다. 한국기업지배구조원(KCGS) 역시 정보보안 거버넌스 구축, 개인정보 수집 및 활용, 개인정보보호 활동 공개 등을 주요 모범규준으로 채택하고 있다. 지난해 12월 발표된 K-ESG 가이드라인에서도 ESG 진단 항목 중 하나로 정보보호 시스템을 두고 있다.
조수빈 기자 subinn@hankyung.com
© 매거진한경, 무단전재 및 재배포 금지