최근 정보보호와 ESG 경영과의 관계에 대해 자료 조사를 할 일이 있었고 관련하여 간략히 정리해 두려고 한다. 가장 아쉬운 건 ESG 공시, 평가 기준을 공개하고 있는 기관들이 자사 허락 없이는 기준을 인용, 공개 등을 못하게 하고 있어 자료 작성에 제약이 많다는 점이었고, 그 외에도 평가 상세 지표를 공개하지 않아 상세한 등급 산정 공식을 추측하기 어려운 점도 걸림돌이었다.
인터넷에 ESG 경영과 (개인)정보보호와 관련이 있다는 글을 많이 볼 수 있지만 막상 읽어보면 왜/어떤 관련이 있는지에 대해 명확한 설명을 포함한 글을 읽어볼 순 없었다. 내가 내린 결론은 ESG 관련 정보를 공시하고 ESG 경영 정도를 평가하는 기준의 사회 영역에 (개인)정보보호에 관한 내용이 포함되어 있어 사고가 발생하거나 관련 활동이 미비하다면 ESG 경영 평가에 영향을 미칠 수 있음이 가장 큰 관련성이다.(ESG 경영을 위해서는 (개인)정보보호에 신경써야 하고 신경쓰지 못한다면 ESG 평가 등급이 낮아질 수 있다.)
향후 참고하기 위해 (개인)정보보호 관련 ESG 공시/평가 기준도 간략히 정리해 둔다.
- ESG 정보 공개 가이던스 : 권고지표의 정보보안 항목에 개인정보 보호 위반 건수 및 조치 내용 포함
- GRI : 주제 기준(Topic Standards) GRI 418에 고객 프라이버시(Customer Privacy) 포함
- SASB : 산업별로 상이하지만 데이터 프라이버시 및 광고 표준(Data Privacy & Advertising Standards ), 데이터 보안(Data Security), 고객 프라이버시(Customer Privacy), 데이터 보안 및 데이터 프라이버시(Data Security & Privacy), 환자 프라이버시 및 전자 건강 기록(Patient Privacy & Electronic Health Records), 고객 프라이버시 및 기술 표준(Customer Privacy & Technology Standards), 데이터 프라이버시, 광고 표준 및 표현의 자유(Data Privacy, Advertising Standards & Freedom of Expression), 데이터 프라이버시 및 표현의 자유(Data Privacy & Freedom of Expression) 포함
- K-ESG 가이드라인 : 기본 진단항목 정보보호 범주에 '정보보호 시스템 구축', '개인정보 침해 및 구제', 추가 진단항목 정보보호범주에 '개인정보보호를 위한 자율적 노력 및 활동' 포함
- MSCI : 제품 책임(Product Liability) 주제에 프라이버시 및 데이터 보안(Privacy & Data Security) 포함