우리는 매일 컴퓨터나 스마트폰 등의 전자장비로 이메일이나 각종 확장자의 전자문서, 이미지, 동영상, 음성을 만들어 내고 있습니다. 이렇게 생성되는 전자정보는 매우 다양한 형태이며 쉽게 수정하거나 복제할 수 있고, 전세계 어디에나 존재하고 어디서든 사용할 수 있습니다. 기존에 하드카피 형태로 존재하던 정보들과는 전혀 다른 차원으로, 비슷하거나 똑같은 수백, 수천, 수만개의 문서가 다양한 지역과 장소에 위치할 수 있습니다.

 ​

클라우드, 모바일, IoT 등 정보통신의 발달로 비즈니스의 지역 경계가 희미해지고 전자정보의 양도 폭발적으로 증가하면서, 기업은 이를 효과적으로 관리하고 활용할 수 있는 방안을 고민하기 시작했습니다. 데이터의 유통에 따른 위험을 줄이고 데이터 보관 비용 및 관련 리스크를 경감하고 방대한 자료들 속에서 실제 비즈니스 가치 창출에 도움이 되는 내용들을 효과적으로 분석 및 활용할 수 있는 솔루션 도입에 나섰습니다. 데이터 관리 책임자를 정하고, 데이터의 보존 기한을 정한 후, 데이터 소유권의 범위를 설정하는 등 체계와 프로세스를 정립하기도 합니다.

이 모든 활동을 ‘정보 거버넌스(Information Governance)로 정의할 수 있으며, 전자정보들을 효과적으로 관리하고 통제하기 위한 조직내의 정책, 전략, 프로세스를 의미하며, 정보의 효과적인 활용, 정보 관련 리스크 완화, 정보 관리 비용 감소, 정보 보존 정책 수립 및 이디스커버리 요청에 효과적으로 대응하기 위한 전제 조건이 됩니다.

정보 거버넌스: 이디스커버리의 시작

정보 거버넌스가 필요한 이유: 데이터 관리의 어려움

매일 생성되고 있는 고품질의 빅데이터는 기업에게 새로운 기회를 선물하기도 하지만, 막대한 데이터 관리 비용을 초래합니다. 데이터 보관 및 처리를 위한 인프라 구성, 업무 효율성 제고를 위한 데이터 관리, 그리고 데이터 보안 및 법적 규제를 지키기 위한 많은 노력이 필요합니다. 정돈되지 않은 데이터들은 가치가 없으며, 검색도, 활용도 어렵습니다. 정보에 기반한 의사결정이나 위험을 회피하기 위한 본연의 목적으로 사용할 수 없습니다.

통계적으로 기업이 저장하는 정보 중 최대 70%가 오래되고 활용가능성이 전혀 없는 데이터로, 막대한 데이터 보관비용 및 데이터 관리 미숙에 따른 과징금 납부 및 기업 이미지 손상 등의 위험 요소를 가지고 있습니다.

또, 대부분의 데이터가 통제 및 관리가 어려운 비정형 데이터로 특성, 수량, 형태 등에 대해 파악하기 어렵기 때문에 정리를 위해 검토를 하는데도 많은 리소스를 투입할 수밖에 없습니다.

정보거버넌스의 기능: 비용 절감과 리스크 회피

정보 보유의 위험과 비용을 최소화하는 것은 정보 거버넌스의 주요 목표 중 하나입니다. 이를 위해서는 기술과 시스템, 인력에 대한 전략적인 투자가 필요합니다. 법이 정하고 있는 규제를 준수하기 위한 규정도 필요합니다. 법적으로 기업은 데이터 보호 및 개인정보 보호 의무를 지고 있으며, 기록 보관의 의무를 가지며, 이디스커버리 등 소송 관련 과정에서 정보를 보존하고 제출해야 할 의무도 있습니다.

정보 거버넌스에 충실한 조직에서는 법적 규제를 준수하면서도 효율적으로 데이터를 관리합니다. 법에서 요구하고 있는 사항을 벗어난, 더 이상 필요하지 않은 문서들이나 중복 문서 등을 지속적으로 삭제하고 처리합니다. 기업의 입장에서는 관리되지 않은 지나치게 많은 양의 데이터를 보유한다는 것은 곧 데이터의 활용성 및 처리의 효율성이 낮아진다는 것을 의미합니다.

s   데이터 처리 및 관리 비용: 데이터 관리를 위한 인적 자원 관리 및 데이터 스토리지 비용

s   정보 유출 리스크 관리 및 내부 감사, 조사 등 포렌식 활동을 위한 ‘백 엔드‘서비스 비용

s   소송 및 규제 기관의 증거개시(eDiscovery) 대응을 위한 별도의 문서/데이터 제작 비용

   *조직이 보유한 데이터 양이 기하 급수적으로 증가함에 따라 전 세계적으로 이디스커버리에 소요되는 비용은 연간 100 억 달러 규모로 성장했습니다.

이디스커버리를 위한 정보 거버넌스의 설정

1.     관리 정책과 절차: 관리 정책은 조직의 데이터 관리 체계에 대한 프레임워크로 보안; 기록 관리; 보관 및 처분 일정; 보관; 데이터 프라이버시; 정보 공유; 원격 작업 등을 포함합니다. 프로세스는 정보 처리의 워크플로우가 되며, 정보 작성 및 수신; 협업 및 정보 공유; 정보 처리; 개인 정보 관리; 허용되는 콘텐츠 유형 등을 정의합니다. 이렇게 데이터 관리 및 절차를 사전에 확립하면 이디스커버리 등 소송 대응에 매우 도움이 됩니다.

2.     백업, 복구, 암호화, 가명화: 데이터 관리상의 보안 강화, 손실 및 복구 등을 처리하기 위한 워크플로우도 필요합니다. 정보 거버넌스에는 데이터의 손실 및 보안 위반에 대한 보고 방법, 사고 관리 및 보고 절차, 자료 백업 및 복구 프로세스 등이 포함되며, 관련 위험을 사전에 대비하고 관리 책임을 명확히 해야 합니다. 이는 이디스커버리 과정에서 자료의 무결성 확보, 삭제 등과 관련된 분쟁이 발생했을 때 입증할 수 있는 근거가 되며, 자료가 소실되었을 때 보관 또는 백업 자료들을 식별하고 처리할 수도 있습니다.

3.     모니터링: 정보 거버넌스를 통해 정립된 프로세스를 지속적으로 테스트하고, 오류 및 비효율성을 체크해 개선하는 모니터링 절차는 필수적입니다. 모니터링을 통해 데이터의 손실, 조작 또는 관련 문제의 발생 여부를 미리 감지할 수 있으며, 빠른 해결을 통해 필요한 자료가 삭제되거나 왜곡 되는 등의 위험을 방지할 수 있습니다.

이디스커버리 프로세스에서 정보 거버넌스의 극복과제

이디스커버리 과정에서 정보 거버넌스는 데이터의 위치를 파악하는데 매우 중요한 역할을 합니다. 초기에 소송 관련 자료들의 위치 및 소유자를 파악하는 것에서부터, 소송 진행 과정에서 달라지는 Custodian 관련 정보를 찾는데 큰 도움이 됩니다. 아래는 원활한 이디스커버리 수행을 위해 정보 거버넌스를 활용할 때 필요한 사항들입니다.

1)    전체 데이터의 위치, 소유자, 보유기간 등을 파악하기 위한 총체적인 관리 방안이 수립되어야 합니다.

2)    다양한 데이터 소스, 컴퓨터, 모바일 등 여러 장치 사용, 원격작업, 온프레미스, 클라우드 컴퓨팅, 소셜미디어 등 다양한 방식과 형태, 환경에서 생성되는 정보들을 합법적으로 관리하기 위한 정책이 필요합니다

3)    데이터의 위치를 식별한 이후 데이터 수집을 할 때 원본성과 무결성을 유지한 채 시간 및 비용 효율적으로 자료를 처리하기 위한 방법을 고민해야 합니다.

4)    정보 거버넌스 관련 전문 인력 관리를 통해, 자료가 필요한 시점에 적절한 사람(right person)을 컨택할 수 있어야 합니다. 인력의 이동 등을 고려해 백업 인력도 고려합니다.

정보 거버넌스는 일시적으로 수행하는 것이 아니라, 비즈니스 과정에서 연속성 있게 관리가 필요한 체계입니다. 이디스커버리 과정에서도 정보 수집의 전단계로만 바라볼 것이 아니라, 이디스커버리 수행 과정 전반에 걸쳐 활용되는 중요 절차로 인식해야 합니다. 정보 거버넌스가 잘 갖춰져 있는 기업은 이디스커버리 및 소송 대응에 소요되는 시간과 비용을 줄일 수 있습니다.

만일, 정보 거버넌스 체계가 마련되지 않은 상황에서 소송이 예견된다면 미리 이디스커버리 절차에 따라 데이터를 처리해보고 체계화 해 최소한의 대비를 하는 것이 필요합니다. 예상되는 위협을 미리 파악하고 대응 전략을 수집하면 실제 소송에 휘말렸을 때 보다 빠르고 정확하게 대응하는 것이 가능합니다.