고객은 프라이버시 방침을 채택한 기업을 더 좋게 생각할 것인가?
2000년 2월, 한 해커가 시디 유니버스(CD Universe)社에서 30만명의 고객 신용카드 번호를 훔친 후 10만 달러의 ‘몸값’을 요구한 후 받아들여지지 않자 이것을 인터넷에 올렸다. 지난해 9월 다른 해커가 크레디트카즈.컴(Creditcards.com)에서 5만5천개의 신용카드 번호를 훔쳤을 때, 이 온라인 거래 회사도 몸값을 거절했다. 그 결과, 크리스마스 쇼핑 시즌 동안, 고객 2만5천명의 신용카드 번호 데이터가 웹에 출판됐다.
이런 공포담은 개인적 데이터에 일어나는 일에 대한 고객들의 공포감을 상승시키고 있다. 퓨 인터넷 앤 아메리칸 라이프 프로젝트의 2000년 조사에 따르면, 미국 인터넷 사용자의 84%가 그들 및 그들의 가족에 대한 개인적 정보를 입수하고 있는 그들이 알지 못하는 기업이나 사람들에 대해 걱정하고 있었다.
“누군가 당신의 차를 훔치면, 당신은 그 피해액이 얼마인지를 계산할 수 있다. 그러나 누군가 당신의 정보를 훔치면, 당신은 그 위험을 계산할 수 없다.”고 페퍼스 앤 로저스 그룹의 창업 파트너겸 ‘일대일 미래: 한 번에 한 명의 고객과 관계를 구축하기(The One to One Future: Building Relationships One Customer at a Time, 커렌시/더블데이 출판사, 1993년)’의 저자인 돈 페퍼스는 말한다.
소비자 운동자들은 정부에 고객 정보의 수집과 사용에 대한 표준 작업에 간여하고 확정하도록 목소리를 높이고 있지만, 고객 정보를 수집하는 비즈니스 모델에 의존하고 있는 회사들-특히 고객에 맞춘 제품이나 서비스를 제공하기 위해 웹을 통한 고객 정보를 수집하고 있는 회사들-은 이런 생각에 전율하고 있다. 이들은 정부 규제로 인해 그들의 기술적 경쟁력이 빠르게 쓸모가 없게 되지나 않을까 하고 근심이다.
퍼스널랄리제이션 컨소시엄(Personalization Consortium)에 한 번 들어가 봐라. 이 그룹은 60여개의 회사로 구성된 곳으로, 이들 기업은 모두 정부 규제가 나오기를 기다리기보다는 스스로 기본적인 방침을 만들어 사용하고 있다. 그리고 이들은 모두 개인적 정보의 남용 가능성을 걱정할 필요가 없음을 소비자들에게 확신시킬 수 있다면 더 많은 돈을 기꺼이 투자하려 하고 있다.
이 컨소시엄엔 기술 업체(브로드비전, 더블클릭, 에피파니 등)와 컨설팅 업체(프라이스워터하우스쿠퍼스, 페퍼스 앤 로저스 그룹 등)뿐 아니라 웹을 탄탄하게 운영하고 있는 회사(아메리칸 에어라인, 찰스 슈왑 등)도 포함되어 있다.
지난 1월 31일, 이 컨소시엄은 비교적 간단한 6개의 프라이버시 원칙들을 발표했다. 미연방통상위윈회(FTC)의 공정정보법(Fair Information Practices)처럼 들리는 이 원칙들은 정보 이용에 대한 분명하고 뚜렷한 통지, 필요 이상의 고객 정보 수집 금지, 적절한 보안 수단의 사용 등 기본적인 사항들을 장려하고 있다.
이 원칙 자체는 다소 예측할 수 있는 것(그리고 예상대로 모호한 것)인지 모르지만, 이 컨소시엄은 연례 정보 감사도 주장하고 있다. 이 컨소시엄은 이 원칙을 고수하는(그리고 제3자에 의해 매년 정보 수집과 처리 관행을 감사받음으로써 이것을 증명하는) 기업들은 소비자의 신뢰를 더 많이 받게 될 것이라고 말하고 있다.
“이 모델은 기업들이 회계 보고서를 작성할 때 현재 일반적으로 수용되고 있는 회계 원칙에 따라 작성한 후 제3의 독립적 감사기관들에게 제출하는 것과 같은 형태가 될 것이다.”라고 마샤 로저스와 함께 이 컨소시엄의 공동의장을 맡고 있는 페퍼스는 말한다. 지난 5월 1일 이 컨소시엄은 세부적인 감사 기준을 발표했다.
가트너의 조사이사로 프라이버시 분석가인 클라우디오 마르쿠스는 이런 원칙과 기준들이 소비자 신뢰를 획득하기 위한 정확한 방향으로 나가는데 있어 커다란 진전이라고 말한다. “널리 수용되고 적용되면, 이것들은 정보의 남용과 관련된 소비자들의 인식에 아주 긍정적인 영향을 미칠 것이다.”
그러나 프라이버시 인증 메커니즘을 만들려 했던 과거의 여러 시도들로부터 판단해 볼 때, 이것은 정말 어려운 일이다. 제3의 웹 보안 인증 서비스인 미국 CPA 연구소의 CPA 웹트러스트(CPA WebTrust, 이곳은 분기별 감사도 수행한다.)는 안정적인 시장을 찾지 못했다고 에디 슈왈츠는 말한다.(슈왈츠는 매사추세츠 왈썸 소재의 보안 및 프라이버시 컨설팅 업체인 가던트社의 전략 부사장이자, 금융회사인 네이션와이드社의 전임 최고정보보안중역이다.) 그는 대기업들이 그런 인증을 받기 위해 수천 달러의 돈을 써야하는 일의 가치를 아직 인지하지 못하고 있기 때문이라고 그 이유를 설명한다.
이로 인해 몇몇 대형 회계회사들은 이 서비스를 파는 일을 포기했으며, 현재는 각사 나름의 프라이버시 인증 서비스를 제공하고 있다.
프라이버시와 보안
따라서 퍼스널랄리제이션 컨소시엄이 그 원칙과 감사 기준들을 표준으로 만들려 한다면, 그 인증 비용이 정당화될 만큼 고객들이 그 감사 결과에 중요성을 부여할 것이란 점을 기업에 납득시켜야 한다. 정보 감사 비용은 수 천 명의 고객을 가진 소기업을 대상으로 하는 수천 달러 짜리에서 많은 사업부와 콜센터를 갖고 있는 대기업을 대상으로 하는 10만 달러 짜리까지 다양할 것이라고 페퍼스는 말한다. 확실히 이 비용은 회계감사에 비하면 아주 작은 금액이다.
그러나 이 컨소시엄이 기업들을 납득시키는 일은 생각처럼 간단한 일이 아닐 수 있다. 컨소시엄 회원인 프라이스워터하우스쿠퍼스가 연례 정보 감사의 광범위한 수용에 대해 기득권을 갖고 있기 때문이다.(가트너의 마르쿠스는 아직까지 이 일의 수익이 아직 분명하지 않음을 확실하게 지적하고 있다.)
이 컨소시엄의 표준이 확고하게 자리를 잡을 것인지 여부는 이 컨소시엄의 감사 기준이 수용될 것인지 여부에 크게 달려있다. 그러나 슈왈츠는 해석의 여지가 넓은 표준은 감사를 의미없게 만든다고 경고한다. 이 컨소시엄이 이미 출판한 일반 감사 지침들은 최소한 어느 정도는 논란의 여지가 있다.
일례로 감사를 통과하려면, 기업은 이 컨소시엄이 정의한 표준을 “상당한 수준에서 만족”시키기만 하면 된다. 하지만 이렇게 되면 정보 처리 관행에 흠이 있는 기업도 그 감사를 통과할 수 있을 것이며, 고객은 그런 흠이 무엇인지를 알지 못하게 될 것이라고 마르쿠스는 경고한다.
그럼에도 마르쿠스는 프라이버시 방침을 수용하고 감사를 받는 과정 자체가 대부분의 기업에게 커다란 가치를 주는 행동이 될 것이라고 믿고 있다. “이것은 회계감사와 아주 비슷하다.”고 그는 말한다.
“만약 기업이 세금을 낼 필요가 없거나 감사 과정이 요구하는 그런 체계적인 형태로 그들의 장부를 작성할 필요가 없다면, 기업 대부분의 장부는 아주 혼란스런 모습을 보일 것이다. 따라서 이런 행동은 사람들로 하여금 체계적인 과정을 확실하게 따르고, 그들의 약점과 어떤 부분을 주의해야 하는가를 정확하게 이해할 수 있도록 해 준다.”
가던트의 기업 미래학자겸 CAO(Chief Awareness Officer)인 쏜튼 메이는 퍼스널랄리제이션 컨소시엄의 노력에 박수를 보내면서, 이 컨소시엄의 6개 원칙이 정확한 것이란 점은 인정한다. 그러나 슈왈츠처럼 그도 다소 회의적이다. “미국의 경우, 사람들은 그들의 개인적 데이터에 대한 소유권이 없다. 소유권은 기업에 있다.”라고 슈왈츠는 말한다. 그리고 그것이 변하지 않는 한, 프라이버시 방침과 감사는 “필요로 하는 방식으로 그 정보를 이용하고자 하는 기업의 욕망을 감춰주는 장식품” 이상의 것이 되지 못한다고 그는 말한다. 메이의 말로 하자면, 이것은 “돼지 입술에 저자극성 립스틱을 바르는 일”라는 것이다.
고객의 신뢰를 진짜 얻으려는 기업들은 프라이버시와 보안을 심각하게 다뤄야만 한다. 이런 프라이버시 원칙들을 수용하고 연례 감사를 수행하는 것이 좋은 시작이기는 하지만, 궁극적으로 기업은 진심으로 고객의 이익을 생각해야만 한다. 이런 립스틱에 속아넘어가는 소비자는 없을 것이기 때문이다.
[출처] 
