© Shutterstock.com

사이버 규제 강화: 아시아 태평양

최근 들어 사이버 규제에 대한 관심이 특히 아시아 태평양 지역에서 높아지고 있습니다. 이 지역에 있는 많은 국가들이 기업의 사이버 복원력을 강화, 소비자의 데이터 보호, 그리고 개인정보 침해 통지를 필수 사항으로 도입하는 등의 전반적인 규제 강화에 초점을 맞추고 있습니다. 규제가 강화됨에 따라 사이버사고 및 규정 미준수로 인한 벌금과 과징금 역시 증가할 것으로 예상되며, 이는 사이버 공격으로 고통을 겪는 기업의 잠재적 손실 증가로 이어질 것으로 보입니다.

이러한 규제의 강화로 인하여 종합적인 사이버 솔루션 (데이터 침해, 벌금 및 과징금에 대한 보상, 사업 중단에 대한 보장 등)을 제공하는 사이버 보험에 대한 수요가 증가할 가능성이 높습니다. 이번 뉴스레터 에서는 아시아 태평양 지역의 전반적인 규제 변화와, 이러한 변화가 사이버 보험을 제공하는 보험회사 및 일반 기업들에 미칠 수 있는 영향에 대해 요약해 드립니다.

인도

주요 규정

  • 2019 데이터 보호 법안 (데이터 보호 요건 강화를 제안한 2018 법안의 개정안)이 현재 국회에서 검토 중입니다. 일반 데이터 보호 규칙 (General Data Protection Regulation)과 유사하게 구성된 새 법안은, 개인 정보에 대한 각 개인의 권리를 규정하며 개인 정보 관리 방법에 관한 지침을 조금 더 자세하게 설정할 것으로 예상됩니다. 이 법안에는 인도의 독립된 데이터 보호 기관 설립에 대한 내용도 포함됩니다. 
  • 2018년 법안과 비교하여 2019년 개정안의 주요 변경 사항은 다음과 같습니다:
    • 특정 행위에 대한 형사 처벌 축소
    • 데이터의 현지화 및 전송 요건 범위 축소
    • 익명의 정보에 대해 법안에서 논의되며, 정부는 필요한 경우 이러한 익명의 정보에 대한 접근을 요구할 수 있는 권한을 가지게 됩니다
  • 개정안이 시행되면 특히 아래의  내용에 영향을 미칠 것으로 예상됩니다:
    • 데이터 수집 시 동의 요건 및 소비자가 이러한 동의를 철회할 수 있는 권리,
    • 데이터 보호 법안 위반시, 해당 기업의 전체 매출액의 최고 4% 또는 1억 5천만 인도 루피(INR) 중 많은 기준 금액의 벌금
    • 기업이 준수해야 하는 전반적 데이터 보호 요건 강화
  • 이러한 개정법은 인도 내에서 운영되는 대부분의 기업에 적용될 것으로 예상되며, 일부 예외 조항은 법안이 통과될 때 확정될 것입니다.

법률 개정과 사이버 보험

  • 데이터 보호 및 개인 정보 보호법에 대한 규제 감독 강화로 인해, 개인정보 보호 준수 및 사이버 보안을 개선하기 위한 관심과 노력이 증가할 것입니다.
  • 이는 사이버 리스크에 대한 인식 증가와, 사이버 보험 등의 솔루션에 대한 수요 증가로 이어질 것입니다.

 

일본

주요 규정

  • 이전의 개인 정보 보호법(APPI)에 대한 개정안으로, 새로운 법률 초안이 제출되었습니다. 이 법안은 데이터 침해에 대한 침해 통지를 필수 사항으로 도입하고 있습니다. 또한 이 초안은 개인 정보 등의 수집 시, 동의 요건 준수 강화 등을 시행할 가능성도 있습니다. 해당 개정안은 회사가 위원회의 명령을 준수하지 않을 경우 최고 1억엔의 벌금을 부과하는 것을 제안하고 있습니다. 일본의 암호 화폐에 대한 규제 체계를 수정하는 결제 서비스법 개정안(PSA) 및 금융 상품 거래법(FIEA) 개정안 역시 2020년 5월 1일 발효되었습니다. 새 개정안은 일본의 암호 화폐 소유자 보호 강화를 약속하고 있지만, 동시에 사이버 보안 관리 요건의 강화에 대한 지침을 강화하는 등 균형 잡힌 태도를 취하고 있습니다.

법률 개정과 사이버 보험

  • 데이터 침해 통지가 필수 사항으로 도입됨에 따라 개인 정보를 대량으로 처리하는 산업 (예: 의료, 소매, 데이터 처리) 들은 데이터 침해로 인해 기업의 손실 비용이 증가할 수 있으며,  이는 데이터 침해에 잠재적인 영향을 받을 수 있는 소비자들의 인식을 증가시켜 잠재적으로 데이터 침해에 대한 배상책임 청구 증가로 이어질 수 있습니다.
  • 위에 언급된 리스크의 증가로 인해 기업들은 데이터 침해 및 이와 관련된 잠재 비용에 대한 대비를 고려하게 될 것이며, 사이버 보험에 대한 수요 역시 증가 할 것입니다.

대한민국

주요 규정

  • 2020년 1월 1일 기업에 대한 사이버 보험 의무를 포함한 정보통신망법 준수 유예 기간이 만료되었습니다. 개인 정보를 취급하는 회사는 정보통신망법의 적용을 받으며, 제3자의 개인정보 유출에 대한 보장이 필요합니다.
  • 2020년 1월, 개인 정보에 대한 개념(개인 정보, 가명 정보, 익명 정보 구분 포함)과 이러한 정보의 취급 및 처리 허용 범위를 명확히 하기 위해 개인 정보 보호법이 개정되었습니다. 법이 명확한 체계를 갖춤으로써, 회사들은 데이터 관리 방법을 더욱 면밀하게 숙고할 수 있으며, 또한 요건에 따라 사이버 리스크 관리 체계에 잠재적으로 투자할 것으로 보입니다.

법률 개정과 사이버보험

  • 사이버 보험에 대한 수요 증가가 예상되었습니다. 하지만 규제법이 아직 시행 초기 단계이고 시장의 인식 수준도 비교적 낮아, 사이버 보험의 증가폭은 아직 기대에 부응하지 못하고 있습니다.
  • 최근 데이터 보호 감독 책임이 국무총리실 소속 중앙 기관인 개인정보 보호 위원회(“PIPC”)에 통합되었습니다. PIPC 는 앞으로 데이터 개인정보 보호 규제 기관으로 활동할 것 입니다. 이러한 변화와 함께 PIPC는 개인 정보 데이터 보호와 관련하여 더욱 적극적인 법 집행 조치를 취할 것으로 예상되며 더 많은 권한을 가지게 될 것으로 보입니다.

동남아시아

주요 규정

  • 싱가포르: 개인 정보 데이터 유출 방지를 위한 개인 정보 보호 위원회(PDPC)의 법 집행. 2020년 PDPC 개정 법안 (추후 변경 가능):
    • 1백만 SGD(싱가포르 달러) 또는 매출액의 10%
    • 3일 이내에 PDPC와 유출된 개인들에게 해당 내용 통지
    • 데이터 유출 의심 사례에 대한 평가 실행
  • 태국: 2020년 5월 유예 기간이 종료되고, 새로운 규정(PDPA) 및 사이버보안 법이 적용될 예정이었으나 코로나로 인해  법 집행이 1년 연기 되었습니다. 일반 데이터 보호 규칙(General Data Protection Regulation)과 유사하게 데이터 유출 통지 기한은 72시간이며, 이에 따른 벌금과 과징금도 부여됩니다.

법률 개정과 사이버보험

  • 데이터 침해 통지가 필수 사항으로 도입됨에 따라 데이터 침해로 고통을 겪는 기업의 손실 비용이 증가할 것 입니다.
  • 데이터 침해에 대한 과징금이 증가 됩니다 (싱가포르 및 태국)
  • (싱가포르 및 태국) 데이터 보호 및 개인정보 보호법에 대한 규제 감독 강화로 인해 일반 개인 정보 보호 준수 및 사이버 보안을 개선하기 위한 관심과 노력이 증가할 것입니다.

중국

주요 규정

  • 새로운 보안법을 통해 국가 차원의 사이버 보안 기준- 다중보호방안 (Multi-level Protection Scheme) “MLPS 2.0”을 도입 하였습니다. MLPS 2.0은 과거 주요 인프라에만 중점을 두었던 기존 MLPS 1.0의 업데이트로서, 네트워크 ( 광범위하게 정의되어 데이터를 처리/전송하기 위해 연결된 모든 컴퓨터를 포괄) 를 운영하는 모든 회사가 포함됩니다.
    • 영위하는 산업의 특성과 기업이 취급하는 정보 유형에 따라 5가지 주요 수준의 최소 보안 요건이 설정되어 있습니다. 각 수준별 상이한 평가 요건이 적용되며, 제1 수준에서는 자체 평가만 필요하고 상위 수준에는 제3자의 평가가 필요합니다.
    • 중요한 데이터가 침해되는 경우 최고 벌금 1백만 CNY 에 이를 수 있습니다.
    • 이는 중국 본토에서 운영되는 모든 회사에 적용됩니다.

법률 개정과 사이버보험

  • 중국은  벌금 및 과징금에 대해 보험으로 보상을 받는 것이 불가능하지만, 사고 조사 및 상위 보고를 위해 들어가는 비용은 보험으로 보장 가능합니다
  • 최소 보안 요건에 대한 규제 감독 강화로 인해 개인정보 보호 준수 및 사이버 보안을 개선하기 위한 관심과 노력이 증가할 것입니다.
  • 이는 리스크에 대한 인식 증가와 사이버 보험 등의 솔루션에 대한 수요 증가로 이어질 것입니다.

호주

주요 규정

  • 2020년 의회에 제출될 호주의 개인 정보 보호법 개정 초안.  현재 제안된 변경 사항:
    • 개인정보 보호법 위반에 대한 과징금 증가
    • 세부정보 및 온라인 식별자 (예: IP 주소, 장치 식별자, 위치 데이터)를 수집하기 위한 개인정보 정의 확대
    • 개인정보 이용 동의 통지에 관한 변경 사항 一 평이한 영어로 간결 명료하고 쉽게 이해할 수 있어야 합니다
    • 개인 정보가 침해되는 경우 호주의 개인 정보 보호 원칙(APPs)이 적용되는 법인에 대해 개인이 소송 및 집단 소송을 제기할 수 있는 직접적 권리 허용
    • 디지털 플랫폼 (특히 소셜 미디어) 에 대한 새로운 개인 정보 보호 실행 - 특히 어린이 등 취약 그룹에 초점을 맞춤
  • 또한 정부는 2021년 개인 정보 보호법을 종합적으로 검토하고, 소비자의 정보 삭제권을 고려하겠다고 밝혔습니다.

법률 개정과 사이버보험

  • 기존의 개인 정보 보호 체계와 호주 정보 위원회의 권한을 강화하여, 사이버 사고에 대한 복원, 대응 및 복구 능력을 가질 수 있도록 기업에 추가적인 압력을 행사할 것입니다. 
  • 규제 및 고액의 과징금으로 인한 하방 위험 증가로 인해 많은 기업들이 IT 보안, 사이버 보호 수준 및 사이버 보험에 대한 기존 예산을 검토하게 될 것입니다. 
  • 기존의 사이버 포트폴리오의 경우, 이처럼 더욱 까다로워진 개인정보 보호법으로 인해 손실이 증가할 수 있습니다.

뉴질랜드

주요 규정

  • 2020년 12월 1일 발효 예정인 2020년 뉴질랜드 개인정보 보호법. 주요 변경 사항:
    • 개인에게 심각한 피해를 입힐 위험이 있는 데이터 침해에 대한 통지를 필수 사항으로 도입
    • 개인정보 보호 의회의 권한 강화, 기업이 개인에게 개인 자신의 데이터에 대한 액세스 권한을 제공해야 하는 의무
    • 본사와 데이터를 공유하는 해외 법인 역시 본사와 유사한 수준의 개인정보 보호 시스템을 준수해야 한다는 요건
    • 개인정보 침해를 신고하지 않거나 개인정보 보호 의회를 방해하는 경우 형사 범죄 처리
    • 새로운 법은 뉴질랜드에서 운영되는 기업에 적용됩니다. 이는 해당 기업이 뉴질랜드에 물리적 실체가 없는 경우에도 해당됩니다

법률 개정과 사이버보험

  • 개인정보 침해에 대한 뉴질랜드의 최고 벌금은 1만 뉴질랜드 달러 (NZD) 정도로 다른 국가에 비해 여전히 적은 편이지만, 개인정보 침해 통지가 필수 사항으로 도입됨에 따라 기업들은 사고에 따른 잠재 비용에 대한 대비를 고려하게 될 것입니다.  
  • 기존의 사이버 포트폴리오의 경우 침해 통지가 필수 사항으로 도입됨에 따라 개인 식별 정보(PII)를 대량으로 수집하여 처리하는 산업 (특히 소매, 접대, 의료, 금융 기관 등)에서 에서의 손실의 빈도와 심각성이 모두 증가할 것입니다. 

Munich Re의 사이버 솔루션

사이버는 Munich Re의 전략적 성장 영역입니다. 전 세계를 선도하는 글로벌 재보험사로서 보험회사와 긴밀히 협력하여, 세일즈 및 언더라이팅 교육, 자동 견적 및 가계약 시스템, 사고 후 서비스 까지, 프로그램 전체에 이루는 포괄적 사이버 서비스를 제공해 드리고 있습니다.

또한 시장의 특성, 그리고 보험회사의 상황에 따라 다양한 맞춤형 서비스를 제공하여,  보험회사들이 시장 및 고객사에 최적화된 서비스 모델을 적용할 수 있도록 도와 드립니다. 저희가 제공해 드리는 서비스는 고객사가 사이버보험 시장에 진출하는 것을 도와 드리는 것에 그치지 않고, 기존 보험 계약에 내재하는 감춰진 사이버 위험(Silent Cyber)을 명확히 보여 드리기 위해 지속적으로 노력하고, 그 외에 여러가지 내재된  위험을 다방면으로 평가합니다.

저희의 목표는 고객사와의 협력을 통해 사이버 리스크를 보험으로 부보 가능하게 만드는 것이며, 동시에 현실적 시나리오 축적을 통해  우수한 언더라이팅을 유지하는 “지속가능한 사이버보험” 시장을 개척하는 것 입니다. 전 세계 120명의 사이버 전담 언더라이터 및 사이버 사고 대응을 위한 협력사와의 네트워크를 통해 보다 기술적인 측면도 보강 하였습니다.

Munich Re의 궁극적 목표는 보험회사가 역동적이고 끊임없이 변화하는 사이버 리스크에 대한 올바른 대응책을 찾고, 동시에 지속가능한 방식으로 이를 실행할 수 있도록 지원하는 것 입니다. 이는 기업의 리스크를 담보하는 사이버보험 뿐만 아니라, 개인을 위한 사이버보험 상품을 통해서도 이루어 질 것이며 이 외의 추가적인 다양한 솔루션도 제공해 드립니다.

면책조항
이 기사는 Munich Re 전문가의 가정 및 분석에 기반한 미래 예측에 대한 내용을 포함합니다. 알려진 및 알려지지 않은 위험, 불확실성 및 기타 요인으로 인해 본문에서 제공되는 미래 예측 진술과 실제 아시아 태평양에서의 시장개발 간에 실질적 차이가 있을 수 있습니다. 당사는 이러한 미래에 대한 예측 진술을 업데이트하거나, 미래의 사건 또는 진행 상황에 이를 일치시킬 책임이 없습니다.
Munich Re 의 사이버 솔루션
Harprit Singh Narang
아시아사이버리스크스페셜리스트
Paul Merriman
사이버언더라이터
전자 메일
PMerriman@munichre.com
명함
다운로드
Andreas Schmitt
Andreas Schmitt
아시아 사이버 대표
전자 메일
ASchmitt@munichre.com
명함
다운로드

함께 볼만한 콘텐츠