과거에는 ‘정보보안(information security)’ 논의는 IT 분야의 전유물이었다. 하지만 최근 몇 년 사이에 새로운 법과, 규제, 행정기관의 집행, 민사소송 등이 이어지면서 정보보안 문제는 모든 기업들이 관심을 기울이는 중요 이슈로 부각되었다. 이제 기업의 정보보안(corporate information security) 문제는 상장기업 뿐만 아니라 비상장기업에게도 매우 중요한 문제가 되었다. 정보보안은 더 이상 IT 논의에만 머무르지 않고, 기업지배구조 차원에서도 매우 중요한 이슈로 자리매김 하고 있다. 이를 반영하듯 미국에서는 최근 들어 기업의 고객정보 및 데이터 보호와 관련한 소송이 봇물을 이루고 있다. 이러한 소송은 대개 집단 소송과 같은 대규모 소송으로 진행된다. 소 제기 사유는 주로 고객정보 남용 부분, 그리고 해당기업이 제3자의 고객정보 남용을 제대로 보호하지 못한 책임에 대한 것이다. 기업의 직원들도 자신들의 정보를 사측이 불법적으로 수집하거나 이를 남용하여 부적절한 감시를 하는 행위에 대해서 소송을 제기하는 빈도가 점점 증가하고 있다. 이러한 소비자와 노동자들을 대신하여 규제기관에 의한 소의 제기도 전반적으로 늘어나고 있는 추세이다. 특히, 환자들의 개인의료정보를 남용하거나 부적절하게 관리한 책임에 관한 소송도 급증하였다. 근래 들어 각 분야의 연방법에서 정보보안과 관련하여 예전과는 다르게 특정 과정중심(‘process-based’) 정보보안을 중요시 하는 the Children's Online Privacy Protection Act (COPPA), the Gramm-Leach-Bliley Act(GLBA), the Health Insurance Portability and Accountability Act (HIPAA) 등과 같은 법률이 제정되었다. 이러한 과정중심 접근은 기업의 정보보호를 위해서 합리적인 기술 표준뿐만 아니라, 정보보안을 위하여 안전장치가 제대로 작동하는 지에 대한 특정한 과정의 적절성도 포함하는 것이라 할 수 있다. 이 법안들은 정보보안을 매우 구체적으로 정의하기 시작하였다. 이러한 흐름은 앞으로 우리의 입법 과정에도 시사하는 바가 매우 크다. 기업이 직면하는 다른 리스크와 마찬가지로 이사들과 경영진은 기업의 정보보안 리스크를 충분히 인지하고, 이러한 리스크와 관련한 변화를 예의 주시하고, 조직이 이러한 리스크를 관리하기 위해서 합리적인 적절한 절차를 시행하고 있음을 확인해야 할 중요한 책임이 있다.

Information security was once the domain of IT departments. However, what has happened in the past several years is that new regulations, statutes, agency enforcement actions, and private litigation actions have made information security a core concern for almost all corporations. As businesses have become more reliant on technology, the resulting risks have become far more complex and potentially harmful. Threats from hackers, thieves, third-party contractors, competitors and employees, as well as inadvertent misuse or loss of data, present potentially catastrophic financial and reputational risks to companies today. Even the most vigilant company can be a victim of a data breach or other cyber loss. Class action lawsuits, huge forensic and mitigation costs, notification and credit monitoring services and data restoration efforts can result in tens or even hundreds of millions of dollars of loss to a company. Like any other major risk exposure, information security is a corporate governance issue critical to the future of corporations. Directors should monitor the company’s cyber risks and confirm that reasonable steps are being taken to identify, prevent, mitigate, and respond to cyber-related problems when they arise. Because these risks can damage not only the company but its customers, suppliers, other constituents, and even the public, extra caution is necessary. Directors are not expected to fully understand all of the risks, and all of the company’s risk management reponses, in this highly technical area. However, directors should at a minimum comply with laws expressly applicable to them, should ask informed questions to gauge the company’s focus and preparedness in this area, and should generally understand the general parameters of the company’s cyber risks, monitor developments relating to those risks, and confirm the company is implementing reasonable procedures to manage those risks.

Corporate Governance, Corporate Information Security, Internal Control, Cyber Risk, Liability of Corporate Officers and Directors, Processed-based Approach