기업과 고객 모두를 위해, 고객 데이터를 열심히, 신중하게 보호하고 통제하는 한 기업이 있다고 생각해보자. 이 기업이 노력한 만큼 고객들은 상품과 서비스의 구매에 있어서, 또 관련 데이터를 본래 용도와는 무관한 새로운 목적으로 활용하도록 공유하는 것에 있어서 이 기업을 우선적으로 선택할 것이다. 한편, 이와는 정반대의 행동을 함으로써, 즉 고객들의 허락을 받지 않거나, 심지어 고객들이 눈치채지 못한 상황에서, 고객들이 불편하게 느끼는 방식으로 데이터를 수집하고 사용함으로써, 신문의 머리기사를 장식하고 소비자들을 비롯한 이해관계자들에 의해 그에 따른 응분의 대가를 치러야 했던 수많은 기업들도 생각해 보자.
어떤 기업이 이 중 어디에 속하는가는 날로 가용성이 커지고 있는 빅데이터의 활용에 달려 있다. 빅데이터는 아군이 될 수도 적군이 될 수 있다. BCG의 보수적인 예측에 따르면, 빅데이터와 고급 분석기술이 신뢰받으며 사용될 경우 2020년가지 연간 1조달러 이상의 가치를 창출할 것으로 전망된다. (2012년 11월 BCG 기사, ‘디지털 정체성의 가치(The Value of Our Digital Indentity’ 참조.) 하지만, 최근 BCG 소비자 조사에 따르면 이 어마어마한 기회를 성공적으로 실현시키는 데 있어서 이전에는 드러나지 않았던 숨겨진 장애물이 발견됐다. 데이터의 오남용이 바로 그것이다.
소비자들이 생각하는 데이터 오남용은 법적인 문제가 아니고 신용카드, 휴대폰, SNS 등을 가입할 때 거의 아무도 읽지 않는 계약내용에 등장하는 데이터의 사용에 대한 것도 아니며, 심지어 데이터의 사용으로 인해 소비자들이 실제로 손해를 봤는지 여부와도 무관하다. 보기 1이 보여주듯이, 데이터 오남용은 소비자들이 그들의 개인정보가 새로운 방식-즉, 애초에 정보가 수집된 본래 목적과는 다른 방식-으로 수집되고 활용되었다는 것을 뒤늦게 알게 되어 불쾌함을 느낄 때, 이런 관행이 피해로 연결될 가능성이 있고, 기업이 그런 관행에 연루되어서는 안 되는 것이라고 소비자들이 느낄 때 발생하는 것이다. (한 예로, 한 기업이 거래를 완료하기 위해서나 잠재고객을 우수고객으로 만들기 위해 수집했던 정보를 제3자(third party)에 판매하거나 마케팅 목적으로 사용함으로써 소비자들의 심기를 건드리는 등이다.) BCG 연구에 의하면, 데이터 오남용-이런 식으로 정의된-에 대한 소비자들의 반발로 해당 기업에 대한 소비가 약 3분의 1 가량 감소될 수 있음을 알 수 있다.
보기 1. 데이터 오남용은 기업들에게 숨겨진 지뢰이다.
빅데이터가 창출할 수 있는 수조 달러 가치의 기회가 사라질 위기에 처해 있다.
기업들이 어차피 소비자들이 제대로 살펴보지도 않을 계약 조항을 더욱 상세하고 복잡하게 작성하거나 법이나 계약에 저촉되지 않기 위해 더욱 열심히 노력하는 것으로는 소비자들의 반발을 누그러뜨릴 수 없다. 정말로 필요한 것은, 현재 대부분의 기업들처럼 데이터 관련 논의를 법률 팀이나 IT팀에 국한하지 않고, 기업의 최고임원들이 데이터를 관리하고 활용하는 새로운 방식을 수립하는 것이다. 고객정보를 순전히 합법적으로, 공개된 목적으로만 활용하는 조직들도 고객들과의 충돌에서 완전히 자유로울 수는 없다. 기업들이 이 리스크를 평가하고 적절히 대응하며, 그 과정에서 관련 이해관계자들을 참여시키기 위해 지금 취하는 조치들은 결국 장기적으로 의미 있고 지속가능한 경쟁우위로 연결될 것이며 매출실적 하락으로 이어질 수 있는 위기를 방지하는 데 도움이 될 것이다.
본 보고서에서는, 데이터 오남용의 위험성-데이터 오남용은 보통 데이터 유출보다 훨씬 더 신랄한 비난의 대상이 됨-과 많은 기업들이 자체적으로 정립하지 못하고 있는 방법들을 살펴본다. 기업들은 데이터 오남용이라는 실수를 범하는 동시에, 데이터를 효과적으로 활용함으로써 고객의 신뢰를 확보할 수 있는 기회도 놓치고 있다. 지금 당장은 신뢰도가 바닥이지만, 본 보고서에서 정리한 베스트 프랙티스를 실행한다면, 얼마든지 회복할 수 있다. (본 보고서의 챕터들은 bcg.com의 개별 보고서로 발간된 바 있다.)
다시 기업의 분류와 고객데이터의 활용으로 돌아가보자. 스펙트럼의 한편에 있는 기업들은 매출하락의 위기에 있는 반편 반대편의 기업들은 노력의 보상을 거둬들이려고 하고 있다. 당신의 기업은 어디에 있는가? BCG가 최근 개발한 신뢰 및 개인정보보호 진단 툴(Trust and Data Privacy Best-Practice Diagnostic Tool)이 이 문제에 대한 해답의 도출에 도움이 될 것이다.
빅 데이터의 숨은 지뢰
사실상 이것은 매우 간단하고 논리적인 공식이다. 고객들이 기업이 자신들의 정보를 오남용하고 있다고 생각한다면, 그 기업은 고객의 신뢰를 잃은 것이다. 따라서, 이미 공공연하게 알려진 많은 정보오남용 사례들이 전반적인 소비자 신뢰도 하락에 직격탄이 된 것은 당연한 일이다.
그리고, 소비자들의 신뢰가 하락하면, 소비자지출도 함께 하락한다. 소비자신뢰를 잃은 기업들은 상당한 매출손실을 겪게 된다.
2013년과 2016년 두 번에 걸친 소비자 조사를 통해, BCG는 소비자 데이터의 적절한 활용에 대해 기업과 소비자간의 격차가 커지고 있음을 확인했다. 또한, 소비자데이터의 오남용은 실제로 경제적인 파급효과가 있다. 빅데이터 역량은 기업의 고객데이터에 대한 접근성과 그 데이터의 활용방식을 확장시킨다. 이런 확장은 기회의 문을 열어주지만, 연구결과에 따르면 그와 동시에 소비자데이터의 오남용 가능성 역시 가중시킨다.
소비자 신뢰도 약화 현황
개인정보보호와 신뢰도는 소비자들이 최우선으로 생각하는 문제이다. 사실상, 이 문제들에 대한 소비자들의 입장은 시간이 지남에 따라 더욱 강력해졌다.
2013년 20개국의 다양한 연령대의 소비자들을 조사한 결과, 소비자들이 ‘그들의’ 데이터 사용이 확대되는 것에 대해 매우 조심스러운 입장임이 확연히 드러났다. (2013년 11월, BCG 포커스 ‘신뢰도 우위: 빅 데이터로 어떻게 성공할 것인가(The Trust Advantage: How to Win with Big Data)’ 참조) 예를 들어, 대부분의 국가의 모든 연령대에서, 자신들에게 해로운 방식으로 데이터를 사용하지 않을 것이라고 믿는 조직에 대해서는 소비자들이 개인정보를 공유할 가능성이 5배에서 10배 더 높은 것으로 드러났다. 또한, 미국 소비자의 83%가 온라인상의 개인정보 공유에 대해 주의해야 한다고 입을 모았다. 이 비율 역시 조사대상 국가 대부분과 전 세대에 걸쳐 아주 미세한 차이만을 보였다.
미국과 유럽 5개국의 8천명의 소비자를 대상으로 한 새로운 BCG 서베이에서, 이런 우려가 상품과 서비스 대부분의 분야에서 여전히 높은 수준인 것으로 드러났다. 1 (보기 2 참조.)
온라인상에서 개인정보를 공유하는 것에 대한 우려를 표명한 소비자 비율은 미국에서 83%에서 86%로 증가했다. 미국 밀레니엄 세대 5명 중 4명 역시 비슷했다. (보기 3 참조.) 기업이 새로운 방식으로 데이터를 활용하는 것을 기꺼이 허락한다는 소비자들의 수는 기업이 피해가 되는 사용을 막을 것이라고 믿는 경우가, 그렇지 않은 경우에 비해 약 5배에서 10배 더 높은 수치를 보였다.
더욱 우려되는 것은, 서베이 응답자의 절반 가량이 기업들이 데이터 사용에 대해 정직하지도 않고 데이터 보호를 위한 적절한 조치를 취하지도 않고 있다고 생각한다는 점이다. 실제로, 모든 국가의 서베이 대상자들 중 약 20%의 소비자들만이 기업들이 데이터 관련 ‘적절한 활동’을 하고 있다고
믿었으며, 약 30%가 기업들이 적절한 활동을 하지 않을 것이라고 믿고 있었다. (보기 4 참조.) 71%에서 79%의 응답자들이 신뢰할 수 없는 기업이 자신들의 데이터를 공유하거나 활용하도록 좌시하지 않을 것이라고 답했다는 점이 특히 우려되는 부분이다. (보기 5 참조.)
소비자들은 이미 기업이 현재 소비자 데이터를 사용하는 방식에 대해 정직하거나 데이터를 잘 보호하고 있거나, 올바른 조치를 취하는 가에 대해 회의적인 입장이기 때문에, 데이터의 새로운 활용을 상당한 불신을 갖고 바라보거나 심지어는 오남용될 가능성을 있을 것이라고 생각할 수 밖에 없다.
보기 2. 신뢰가 형성되면 데이터 접근성이 최소 5배 이상 증가한다.
신뢰는 고객데이터에 대한 접근을 지속적으로 확대시킨다.
보기 3. 모든 연령층의 미국소비자들은 온라인 상의 개인정보 공유에 대해 우려하고 있다.
영 밀레니엄 세대들의 우려는 가장 빠른 속도로 상승 중이다.
보기4. 소비자들은 데이터 오남용의 가능성을 우려하고 있다.
미국과 유럽 소비자들의 불신이 팽배하다.
선을 넘는 것의 비용
고객정보를 가지고 불법을 자행하는 기업들은 어마어마한 대가를 치르게 된다. 신뢰를 얻는데 성공했으면 활용할 수 있었을 5배에서 10배에 달하는 데이터를 잃게 되는 것이다. 최근 BCG연구조사에서 새롭게 발견한 것은 이런 신뢰의 상실이 실제 매출에 미치는 영향이다.
소비자들은 이제 특정 기업이 자신들의 혹은 다른 소비자들의 정보를 오남용했다고 판단되면, ‘퇴장함으로써 의사표시를 할 것임’을 즉, 소비를 중단하거나 급격히 줄일 것임을 보여주고 있다. 앞서 언급했듯이, 이는 극단적인 결과로 이어질 수 있다. 미국에서 데이터 오남용을 인식하고 우려한 고객들은 첫 번째 해에 소비를 약 3분의 1가량 줄인다. 전체적으로, 이는 이 고객들이 소비를 줄이거나 중단하기 시작한 첫 번째 해에 기업의 총 매출에 약 5-8%의 매출손실이 되며 이 수치는 그 다음 해에 3-5%로 하락한다. (보기 6 참조.) (전체 매출 손실은 더 큰 규모의 총 사용자 인구와 함수관계에 있다.) 그러나, 소비자들의 인식과 우려의 목소리가 커짐에 따라, 데이터 오남용으로 인해 총 매출이 1차년도에 10-25%, 2차년도에 5-15% 가량 감소할 가능성이 있다. 미국과 서베이 대상 유럽국가간에 차이가 존재한다고는 해도, 매출손실은 거의 비슷할 것으로 보인다.
보기 5. 불신으로 인해 개인정보에 대한 접근이 대폭 제한 받고 있다.
소비자들은 기업을 신뢰하지 못할 때 정보를 훨씬 더 조금 제공한다.
보기 6. 개인정보 오남용에는 큰 대가가 뒤따른다.
개인정보 오남용의 영향을 받은 미국 소비자들의 매출은 1차년도에 3분의 1 감소한다.
데이터 오남용에 대한 소비자의 이 같은 반응은 데이터 유출이나 기타 사이버 보안 사건들보다 훨씬 더 강력하다. 실제로, 데이터 유출보다 데이터 오남용에 대해 소비를 중단하거나 감소하는 방식으로 반응한 소비자들이 25% 이상 더 많았다.
데이터 오남용이 기업에 미치는 영향은 몇 가지 요소들과 함수 관계가 있다.
• 영향을 받은 사람들의 규모. BCG 조사에 따르면, 미국 소비자의 20%가 데이터 오남용으로 인해 영향을 받았다고 생각하고 있다. 이들 중 14%는 자신들의 정보와 관련한 오남용이 있음을 알게 된 경우(‘직접적으로 영향을 받은’ 경우)이며, 6%는 다른 소비자들의 정보와 관련한 오남용이 있음을 알게 된 경우(‘간접적으로 영향을 받은’ 경우)이다. 우리는 이 두 경우를 합한 사람들의 수가 앞으로 대폭 증가할 것으로 전망한다. (보기 7 참조.)
보기 7. 미국 소비자들의 20%가 데이터 오남용을 인지한 적이 있다.
향후 5년간, 영향 받은 소비자의 수는 두 배 이상으로 증가할 수 있다.
• 영향 받은 소비자들의 행동. 미국 응답자 들 중 직접적으로 영향을 받았다고 생각하는 소비자들의 76%는 행동에 나섰다. 이 중 절반은 지출을 평균 56% 감소시켰으며, 나머지 반은 해당 기업의 서비스 이용을 전면적으로 거부했다. 직접적인 영향을 받은 이 두 그룹 소비자들의 행동이 합쳐져, 이 기업의 매출은 1차년도에 33% 하락했다. 간접적으로 영향을 받은 응답자 들 중에는 71%가 행동을 취했다. 이 중 5분의 3은 지출을 평균 48% 줄였으며, 5분의 2는 해당 기업의 서비스를 완전히 중단했다. 간접적인 영향을 받은 이 두 그룹 소비자들의 행동으로 1차년도에 지출의 30%가 감소했다.
• 시간의 경과. 1차년도 말이 되면, 문제의 기업을 떠났던 소비자들의 대다수가 마음을 돌려 2차년도에는 영향이 줄어들게 된다. 미국에서 2차년도 말까지 이어진 매출감소는 직접 영향을 받은 소비자들로 인한 것이 8%, 간접 영향을 받은 소비자들로 인한 것이 7% 였다. 3차년도에 접어들면, 물론 이 기업이 또다시 고객데이터를 오남용하지 않았다는 전제하에, 기업은 다시 원래의 균형을 되찾을 것으로 보인다.
• 영향 받은 지역. 이것은 지리적으로 한 지역에 국한된 현상이 아니다. 앞서 언급한 바와 같이, 기업들은 미국과 유럽에서 데이터 오남용으로 인해 비슷한 수준의 경제적인 피해를 입는다. 직, 간접적으로 영향을 받은 소비자들의 매출 중 3분의 1 이상이 1차년도에 감소하며, 미국보다는 유럽에서 그 파급효과가 다소 더 강력한 것으로 보인다. 2차년도에는 이 소비자들로 인한 매출의 약 10분의 1이 줄어들며, 유럽과 미국간의 격차는 거의 사라지기 시작한다. (보기 8 참조.)
선을 넘는 비용은 왜 증가할 것인가
한가지 걱정스러운-그리고 데이터 오남용으로 인한 영향을 아마도 증가시킬- 경향은 이 현상에 대한 전통적인 언론 및 소셜 미디어의 관심이 날로 커지고 있다는 점이다. 우버(Uber)가 ‘갓뷰(Godview)’ 기능을 사용한 것이 밝혀졌을 때의 거센 논란을 한 예로 들 수 있다. 이 소프트웨어 기능을 통해 우버는 실시간으로 운전자의 위치를 추적해 그 데이터를 승객에게 전송할 수 있다. 이 기능이 차량관리 차원에서는 비교적 무해한 것처럼 보일 수 있지만, 많은 이들이 우버의 내부데이터공유 관행을 사생활 침해라고 간주했다. (심지어 우버가 신규서비스 출시를 기념해 주최한 도시의 파티에서는 대형 스크린에 이 데이터를 전송했다는 주장이 제기되기도 했다.) 물론, 우버의 데이터 수집과 활용의 대부분은, 데이터 오남용이라고 간주되는 다른 수많은 사례들과 마찬가지로, 합법적인 테두리에서 우버의 개인정보보호 정책에 따라 이루어졌음을 주목할 필요가 있다.
개인정보 오남용 문제를 다루는 것이 전통적인 미디어와 소셜 미디어의 새로운 기준이 되고 있는 상황에서, 본인의 정보가 새로운 방식으로 수집 및 사용되고 있음을 인지하고, 이 사용방식이 잠재적으로 피해로 연결될 수 있다고 생각하며, 기업들이 이런 관행에 연루되어서는 안 된다고 느끼는 소비자들의 수는 증가할 것으로 보인다. 또한, 그에 대한 대응으로 소비자들이 보인 지출 감소로 인한 경제적인 파급효과도 함께 증가할 것이다.
보기 8. 데이터 오남용은 미국과 유럽에서 비슷한 수준의 경제적 손실의 원인이 된다.
유럽 소비자들이 미국 소비자들보다 데이터 오남용에 대해 약간 더 심한 반응을 보인다.
새로운 방식의 데이터 활용의 이면에 숨겨진 지뢰를 간파한 기업은 거의 없다. 끊임없이 변화하는 강도 높은 규제환경에서 필수요건이 되어 버린 개인정보보호에만 집중하느라 이 리스크를 간과하는 것이 대부분이다. 하지만, 그러다 보니 데이터 오남용을 법률규제나 법적 계약이 아니라, 옳고 그름에 대한 인식을 기준으로 판단하는 고객들의 니즈 역시 간과되고 있다. 실수를 해서는 안 된다. 이 같은 전략의 무지몽매함은 결국 매출손실과 고객이탈이라는 뼈아픈 결과로 이어질 것이다.
다음 챕터에서 논하겠지만, 대부분의 기업들은 새로운 데이터 사용에 실패할 상황에 처해 있다. 사실상 기업들은 스스로 무모할 정도로 보수적인 경로를 설정했다. 이로 인해 불필요하게 기회를 제한하고 있을 뿐 아니라, 피하는 것이 좋을 고객들의 부정적인 반응을 야기시키고 있는 것이다. 기업들이 개인정보보호와 데이터 관리(stewardship)관행에 있어 빅데이터와 고급 분석기술과 관련한 규제와 지침-대부분이 소비자보호 목적으로 고안된-에 중점을 둠에 따라, 소비자들과의 격차는 더욱 커지고 있다. 그 결과 초래되는 경제적인 피해는 어떤 고위층 임원들도 무시할 수 없을 만한 것이다.
따라서, 기업들은 데이터 관리에 대한 접근자체를 근본적으로 변화시킬 필요가 있다. 확실한 데이터 관리의 4대 요소-내부 정책 및 관행, 기존 및 신규데이터 사용법, 기존 관행의 투명성, 사용 공지 및 허가-를 획기적으로 개선시켜 소비자 신뢰도를 향상시킬 수 있다. 이 영역에서 베스트 프랙티스를 실시함으로써 기업들은 데이터 오남용이라는 인식의 함정에 빠지지 않을 수 있고, 기업들이 펼칠 수 있는 기회의 범위는 확장될 것이다. 결국, 기업들은 보다 폭넓고 깊은 수준의 소비자 신뢰를 확보할 수 있을 것이다.
1. 이 서베이는 2015년 11월, 12월에 프랑스, 독일, 이탈리아, 스페인, 영국, 미국에서 실시됐다.
기업들은 왜 빅데이터 활용에 실패할 상황에 처해 있는가
기업들의 데이터관리 관행과 소비자들의 기대치는 근본적으로 상충할 수 밖에 없다. 대부분의 기업들은 개인정보보호와 데이터 사용을 법이나 규제의 협의의 개념에서 접근한다. 데이터 수집과 관리행태가 법과 규제에 부합하고 공시요건을 충족하는지 확인한다. 하지만, 안타깝게도, 소비자들은 이 문제에 있어 보다 광범위하고 훨씬 덜 법리적인 접근을 취한다. 소비자들은 기업이 자신들에 대한 데이터를 어떻게 수집하고 보호하는지에 대해 알고 싶어하며 기업이 개인정보를 활용하는 다양한 방법을 이해하고 싶어한다. 또한, 이 정보가 명확한 언어로 전달되기를 원한다.
개인정보보호에 대한 기업과 소비자들의 관점의 차이는 실질적인 파급효과를 초래한다. 소비자들은 데이터 오남용을 인식한 경우, 즉 예상치 못하게 이루어진 개인정보의 수집이나 새로운 활용을 알게 되어 불쾌함을 느낀 경우, 지출을 급격하게 줄이거나 그 기업의 상품과 서비스를 아예 구매하지 않을 것이다.
이번 챕터에서는, 8개 산업, 140개 기업의 데이터 관리관행에 대한 최근의 글로벌 서베이 결과를 집중 조명한다. 서베이 데이터에 따르면, 대부분의 기업들은 무조건적일 정도로 보수적이다. 소비자들이 실제로 개방적인 입장을 보이는 데이터의 새로운 활용을 하지 못하고 있다. 기업이 데이터를 새로운 방식으로 활용하고자 할 때, 보통 고객들에게 그 내용을 알리고 설명하거나 허락을 요청해야 하는 필요성을 깨닫지 못하고 있는데, 이는 대부분의 소비자들이 분명히 원하는 것이다. 이런 실수를 한번 할 때마다, 기업들은 서서히 하지만 확실히 스스로를 빅데이터 활용 실패의 늪으로 몰아넣고 있는 것이다.
데이터 관리 구도
데이터 관리요건은 크게 네 가지 분야로 나누어 생각해볼 수 있다. 각 분야에서 좋은 점수를 기록하는 것은 허용할 수 있는 새로운 데이터 활용에서 기대할 수 있는 가치를 찾아내고 데이터 오남용으로 인한 실질적인 경제적 피해를 방지하는 데 있어서 매우 중요할 것이다. 하지만, 한 두 분야에서 좋은 성적을 보이고 있는 기업들은 많으나, 모든 영역에서 좋은 성적을 보이는 기업은 –혹시 있다고 하더라도 -거의 없다.
내부 정책 및 절차. 많은 경우 기업들은 데이터 취급방식을 문서화하기 위해, 정보수집, 관리 및 활용에 대한 공개된 개인정보보호 정책 및 내부 절차를 통해 많은 노력을 기울인다. 하지만 개인정보보호정책 및 절차를 정립하고 실행하는 데 있어 고위임원진의 적극적인 개입은 턱없이 부족한 실정이다. 이는 고객들이 추후에 이런 결정에 대해 보일 수 있는 부정적인 반응이 초래할 수 있는 심각한 비즈니스적인 영향을 고려할 때 중요한 문제이다.
우선, 좋은 소식을 말하자면, 서베이 대상 기업 중 76%가 고객데이터 수집, 관리, 활용방법을 설명하는 개인정보정책을 갖추고 있으며, 54%의 기업들이 이 정보의 사용에 대한 별도의 내부 지침을 마련하고 있다. 보험사들은 개인정보보호정책(94%) 및 내부지침(76%)을 모두 가장 잘 갖추고 있는 반면, 소비재기업들은 개인정보보호정책(64%)을 갖춘 비율이 가장 낮고, 에너지 기업은 내부지침(38%)을 갖춘 비율이 가장 낮게 나타났다.
그러나 이러한 정책 및 지침을 갖추고 있는 기업 중 최고위 경영진이나 임원급이 개입된 경우는 거의 없다. 이들은 법률 및 기술 관련 리스크는 적절하게 관리하고 있을지 모르나 가장 크게 요동칠 수 있는 잠재력을 가진 리스크 원천인 소비자 리스크는 관리하고 있지 않고 있는 셈이다.
개인정보보호정책을 갖춘 기업들 중 73%에서 법무 팀이나 IT 팀이 개인정보 관련업무를 담당하고, 운영 팀이나 임원진이 이 업무를 맡고 있는 기업은 22%에 불과했다. 내부지침을 갖춘 기업들 중에서는 59%가 법무 팀이나 IT 팀이 해당업무를 하고 있으며, 34%만이 담당업무를 운영 팀이나 임원진에 할당하고 있다. 산업재 기업 및 보험사들은 내부지침 담당업무를 운영 팀이나 임원진에게 가장 덜 책임지게 했으며(각각 22%와 23%), 소비재, 헬스케어, 에너지, 기술, 미디어, 텔레콤(TMT) 업종에서는, 서베이 대상 기업 중 최소 40%가 내부지침을 운영 팀이나 임원진의 업무로 지정하고 있다.
데이터 사용 및 수집 관행. 이번 서베이에서 가장 뜻밖의 결과 중 하나는 소비자들이 허용할 수 있다고 느끼는 데이터의 사용에 비해 기업들이 훨씬 더 조금 데이터를 사용하고 있다는 점이었다. (보기 9 참조.)
보기 9. 기업들은 데이터사용에 대해 지나치게 보수적인 태도를 보이고 있다.
기업들은 소비자들이 허용하는 용도에 대해서도 데이터를 활용하지 못하고 있다.
우리는 소비자들에게 상품과 서비스의 내부 개선, 상품 및 서비스의 개인맞춤화, 제 3자 상품 마케팅, 제 3자의 데이터 익명사용(소비자 개인의 이름을 특정하지 않음), 제3자의 데이터 비익명 사용(소비자 개인의 이름이 특정됨) 이라는 5가지 유형의 기업의 개인정보 활용에 대해 그 허용여부를 질문했다. 대다수의 소비자들이 기업이 소비자들에게 효과적으로 내용을 공지(투명성)하고, 일정한 형식의 통제를 제공(허가)한다면(그리고 그럴 경우에만), 기업의 데이터 사용을 모든 활용유형에 대해 허용할 수 있다고 답했다. 가장 부정적인 반응을 보였던 사용-제 3자의 비익명 데이터, 즉 소비자의 이름이 드러난 데이터 사용-도 응답소비자들의 73%가 허용 가능하다고 답했다.
동일한 유형의 데이터사용방식에 대해 기업측의 의견도 조사했다. 일반적으로 기업들은 내부적으로 고객데이터를 활용하는 것에 대해서는 거리낌이 없는 편으로, 88%가 내부개선 목적의 데이터 사용은 허용가능하다고 생각하고, 80%는 개인맞춤제안을 위한 데이터의 사용이 가능하다고 생각했다. 하지만, 제 3자의 사용에 대해서는, 기업들은 극도로-반론의 여지가 있겠지만, 과도하게-신중한 입장이다. 고객정보의 제 3자 사용을 허용할 수 있는가 하는 항목에서 기업은 소비자들보다 25-34 %포인트 낮은 비율을 보였다. 예를 들어, 기업응답자의 50%만이 고객데이터가 제 3자 상품의 마케팅에 사용될 수 있다고 답한 반면, 동일한 용도에 대해 허용할 수 있다고 답한 소비자는 80%였다. 이런 신중한 태도는 산업 전반에 걸쳐 나타나고 있다. 조사대상 산업 모두에서, 최소 40%의 기업들이 일반적으로 제 3자의 데이터 사용을 허용할 수 없다고 답했다.
제 3자의 사용에 대해,
기업들은
과도하게 신중한 태도를 보인다.
우리가 생각하기에, 기업들은 데이터의 새로운 활용에 대해 보수적인 것이 그들을 리스크에서 안전하게 보호해 줄 것이라고 믿고 있다. (똑 같은 결과가 데이터 수집에도 적용된다.) 하지만, 이는 소비자들의 인식을 잘못 파악한 것이다.
현재 관행에 대한 투명성. 기업들은 보유중인 데이터와 그 활용에 대해 소비자과 주요 이해관계자들이 제대로 알고 정확히 이해하도록 하는데 실패하는 경우가 종종 있다. 기업들은 고객정보 관리 관행에 대한 중요한 내용을 때때로 공개하지만, 그 방식이 효과적이지 못한 경우가 많다. 보통, 소비자들이 알아서 내용을 살펴봐야 하며, 소비자들이 실제로 그 정보를 찾아본다 해도, 그 세부내용에 대한 이해도는 기업들이 생각하는 혹은 희망하는 것에 턱없이 모자라는 수준이다.
대부분의 기업들은 고객들에게 정보를 알리고 고객들의 참여를 유도할 때, 고객들에게 개인정보보호에 대한 중요한 정보를 알아서 찾거나 요청하도록 하는 ‘풀(pull)’ 방식을 압도적으로 많이 사용한다. 기업의 41%는 고객의 요청이 있을 경우, 개인정보보호정책에 대한 내용을 찾아볼 수 있게 하고 있으며, 62%는 홈페이지에 개인정보보호정책을 게시하고 있다. 기업보유 개인 정보의 경우에는 이 수치가 각각 44%와 62%이며, 기업의 개인정보사용현황정보에 대해서는 각각 49% 와 24%이다.
중요한 정보를 적극적으로 고객에게 전달하는 ‘푸시(push)’ 방식으로 고객들의 참여를 유도하는 기업들은 이보다 훨씬 더 적다.
• 조사한 기업 중 이메일이나 우편으로 개인정보보호정책이나 기업이 보유하고 있는 고객정보에 대해 정기적으로 업데이트를 하는 기업은 하나도 없었다.
• 고객정보사용현황에 대해 단지 8%의 기업들만이 정기적으로 우편을 발송하고, 겨우 4%만이 정기적으로 이메일을 보내고 있다. (주로 금융, 보험, TMT 업종의 기업들이다.)
• 개인정보보호정책에 변동이 있을 경우 16%만이 우편으로, 15%만이 이메일로 변경사항을 공지하며, 이 비율은 고객관련 기업보유 데이터의 경우 각각 6%와 8%로, 해당정보의 사용현황에 대해서는 각각 5%와 6%로 감소했다.
• 서베이 참여기업 중 14%가 고객들이 개인정보보호정책을 열람하도록 하는 수단을 마련하지 않고 있다고 답했으며, 이 수치는 기업이 보유한 고객정보와 고객정보사용현황의 경우 각각 38%와 33%로 증가했다.
결과적으로, 기업들은 기업의 데이터 관리행태에 대해 상세히 이해하고 있는 소비자들의 수를 실제보다 평균 두 배나 더 높게 평가하는 셈이다. (보기 10과 11 참조.) 기업 추정치와 고객의 추정치는 단순히 개인정보보호정책을 인지하는 고객의 비율에 관해서는 일치하지만, 그 수치가 50% 미만이라는 사실은 기업들이 이 정보를 고객들에게 전달하는 데 있어서 얼마나 효과적이지 못한지를 보여주는 것이다. 더욱 실망스러운 것은 기업들은 36%의 소비자들이 기업이 보유한 고객데이터에 대해 알고 있다고 생각하지만, 실제로는 겨우 10%의 소비자들만이 이에 대해 알고 있다는 점이다.
보기 10. 소비자들은 개인정보보호 정책의 내용을 읽지 않는다.
알기 쉬운 언어로 설명된 개인정보보호정책은 소비자 지출을 상승시킬 수 있다.
보기 11. 소비자들은 개인정보보호 정책의 내용을 읽지 않는다.
알기 쉬운 언어로 설명된 개인정보보호정책은 소비자 지출을 상승시킬 수 있다.
이 같은 정보의 부족은 기업들에게 심각한 문제가 된다. 체감상의 데이터 오남용의 주 원인이 소비자들이 불쾌하게 예상치 못한 사실을 알게 되는 것임을 감안할 때, 현재의 소비자 이해 부족은 심각한 리스크로 풀이된다. 실제로, 투명성을 제고하기 위한 적극적인 노력이 없는 것은 가히 무모한 일이다.
현재, 조직들의 보수적인 데이터 활용은 알려져 있지도 않고 인정받고 있지도 않다. 겨우 11%의 기업들만이 제 3자의 익명방식 데이터 사용을 허용하고, 4%만이 비익명방식의 데이터 사용을
허용한다고 말했지만, 소비자들은 각각21%와 19%의 기업들이 이런 사용을 허용하고 있다고 생각했다. 기업들이 고객데이터 사용방식에 대해 고객들에게 성공적으로 설명하지 못한다면, 소비자들이 새로운 방식의 고객정보사용을 발견할 때마다 모두 오남용이라고 여기는 세상에서 살게 될 것이다.
새로운 데이터 사용방법에 대한 통지 및 허용. 마지막으로, 개인 정보의 새로운 활용에 대해 적극적으로 고객들과 소통하거나, 고객들이 기업의 개인정보 사용방식에 영향을 미치도록 하는 기업은 거의 없다. 이 영역에 있어 기업성적을 평가하기 위해 우리는 상품과 서비스의 내부적 개선, 상품제안의 개인맞춤화, 제 3자의 상품 마케팅, 제 3자의 데이터 익명사용, 제 3자의 데이터 비익명 사용이라는 동일한 5가지 데이터사용방식에 대해 질문했다. 옵트인(opt-in) 허용, 옵트아웃(opt-out) 허용, 통지, 데이터 접근 비용 지불, 통지나 허용 불필요의 5가지의 허용 혹은 통지 방법 중 하나를 선택하도록 했다.
서베이 대상 기업 중, 26%에서 56%는 이5가지 유형의 데이터 사용 전에 어떤 조치도 취할 필요가 없다고 생각했다. (이런 입장은 특히 소비재 산업과 TMT 산업에서 가장 강하게 나타났다.) 이는 같은 태도를 취한 소비자들의 비율이 6%에서 15%인 것과 대조된다. 실제로, 대다수의 소비자들은 기업이 통지하고 허락을 구하기 위한 적극적인 대책을 펼치기를 원하고 있다. (보기 12 참조.)
60% 이상의 소비자들이 5가지 정보사용 방식 모두에 대해 옵트인 동의나 옵트아웃 동의가 필수적이라고 생각했다. 내부 개선 및 개인맞춤형 제안이라는 2개 유형의 데이터 사용에 대해서만 10% 이상의 소비자들이 기업측이 사전조치 없이 진행하는 것을 허용할 수 있다고 답했다.
옵트인 방식은 제3자 상품 마케팅과 제 3자의 비익명 소비자 데이터 활용을 허용하는 기업들이 가장 많이 선택했다. 데이터 사용에 대해 고객들에게 비용을 지불하는 것은 가장 덜 선호되는 방안으로, 3%미만의 기업들만이 이 방법이 필수적이라고 생각했다.
보기 12. 기업들은 데이터 사용에 대해 고객들에게 투명하게 밝히지 않고 있다.
소비자들이 원하는 내용 공지 및 고객 동의 요청을 간과하는 것은 무모한 일이다.
기업들이 새로운 방식의 데이터 활용을 고객들에게 어떻게 알리는지 살펴보기 위해, 기업이 고객들에게 수집된 정보 및 그 사용방식을 변경하거나 통제할 수 있는 방법을 제공하는지를조사했다. 겨우 4%의 기업들만이 소비자들에게 그들이 수집하고 관리하는 데이터에 대한 통제권을 부여하고 있고, 4%는 개인정보 사용방식에 대한 통제권을 주고 있다.
데이터 사용방식을 고객들이 바라는 방식으로 알려주지 못하는 것은 한 기업이 데이터를 오남용하고 있다고 생각하게 만들고 결국 상당한 사업적 손실로 이어지는 지름길이다. 물론, 옵트인, 혹은 옵트아웃 허용방식을 통해 소비자들이 적극적으로 개입하게 되면 소비자들이 아니라고 말할 수 있는 기회가 생기는 셈이다. 하지만, 우리의 연구조사가 분명히 보여주듯이, 특히 정보활용의 내용이 기술적인 용어나 법률용어가 아니라 알아듣기 쉬운 말로 정확하게 설명되어 있다면, 대부분의 고객들은 자신들의 정보에 대해 대부분의 사용을 승낙할 것이다.
미흡한 데이터 관리의 결과
기업은 벼랑 끝에 서 있다. 소비자들에게 기업이 신뢰와 개인정보보호 문제를 얼마나 진지하게 다르고 있는지를 보여주지 못하고 있다. 소비자들이 받아들일 수 있는 수익성 있는 데이터 활용을 못하고 있을 뿐 아니라, 소비자 데이터 사용방식에 대해 고객들에게 적극적이고 투명하게 알리는 것을 게을리 하고 있다. 마지막으로, 새로운 데이터 활용에 대해 소비자들이 기대하는 방식으로 소비자들과 소통하지 않고 있다. 보기 13과 14는 그 간극을 여실히 드러낸다.
놀라운 것은 현재 소비자들 중 20%가 어떤 종류의 데이터 오남용을 인지하고 있다는 것이 아니라 오히려 그 수치가 지금보다 훨씬 더 높지 않다는 점이다. 데이터 오남용은 주관적인 것이다, 즉 기업들은 개인정보보호 문제를 경쟁업체보다 더욱 잘 관리해야 할 뿐만 아니라 소비자기대를 반영한 가시적인 대책을 실행해야 한다는 의미이다. 다음 챕터에서는, 기업들이 소비자들의 기대에 부응할 수 있도록 돕는 베스트 프랙티스에 대해 논의해 본다. 소비자들의 기대에 부합함으로써 확보하는 경쟁우위를 통해 기업들은 빅데이터가 약속하는 잠재가치를 극대화하고 데이터 오남용이라는 인식의 덫에 빠지지 않을 수 있을 것이다.
보기 13. 하지만 데이터 관리는 많은 기업에서 심각한 결함이 있다.
소비자 기대치와 기업 관행 사이에 격차가 있다.
보기 14. 소비자들은 기업들이 실제로 어떻게 데이터를 사용하는지 모르고 있다.
소비자들은 제3자가 개인정보를 취급하는 빈도수를 과대평가하고 있다.
기업은 어떻게 하면 신뢰할 수 있는 데이터 관리자가 될 수 있는가
단지 20%의 소비자들만이 기업이 그들의 개인정보를 갖고 적절한 조치를 취하고 있다고 답했으며, 절반 이상의 기업들이 데이터 사용에 정직하지 못하다고 생각하고 있다. 이런 불신은 브랜드 평판에 타격을 입히고 매출의 실질적인 하락으로 이어진다. 앞 챕터에서 살펴봤듯이, 기업이 데이터를 오남용했다고 생각하는 소비자들은 해당기업 제품의 소비를 하지 않거나 줄일 것이기 때문이다.
기업들은 신뢰할 수 있는 데이터 관리자가 되어야 하지만,
실제로 이런 지위를 확보한 기업은 거의 없다.
하지만, 반대의 경우를 생각해보자. 우리의 연구조사는 기업과 소비자 모두를 상대로 서베이를 실시했으며, 소비자들은 자신들의 데이터를 잘 관리한다고 믿는 기업들의 상품과 서비스를 더 선호한다는 사실을 발견했다. 사실상, 신뢰하지 않는 기업과 관련된 소비를 줄인다면, 신뢰하는 기업의 소비를 늘리는 것이 당연한 일이다. 따라서, 데이터 관리 미흡으로 인한 부정적인 영향을 방지하고 최적의 데이터 사용으로 인한 긍정적인 가능성을 확실히 하기 위해, 기업들은 반드시 고객들에게 데이터를 잘 관리할 수 있음을 입증해야 한다. 즉, 기업들은 반드시 신뢰할 수 있는 데이터 관리자가 되어야 한다.
그러나, 실제로 그런 지위를 확보한 기업은 거의 없다. 이를 위해, 기업들은 일련의 베스트 프랙티스를 정립하고 고객데이터 사용에 대해 새로운 태도로 임해야 한다. 즉, 기업 스스로가 고객과 다른 이해관계자들(규제당국 등)이 고객정보 수집과 사용에 대해 제대로 이해할 수 있도록 하는 책임을 가지고 있음을 명심해야 한다. 이 챕터에서는 신뢰할 수 있는 데이터 관리자가 되기 위해 필요한 베스트 프랙티스를 간략히 살펴본다. 기업이 데이터를 수집, 관리, 사용하는 방식을 정의하는 내부 집중 프랙티스와, 기업이 데이터 수집과 사용에 대해 이해관계자들과 소통하는 방식을 정립하는 외부 집중 프랙티스를 모두 다룬다. (보기 15 참조.) 뿐만 아니라, 경쟁업체 및 최신데이터관리기준 대비 기업의 위치를 평가하는 데 사용할 수 있는 진단 프로그램을 개발했다. (‘신뢰할 수 있는 데이터 관리자란 무엇인가? 우리 기업은 어디쯤에 있는가?’ 참조.)
보기 15. 내부 및 외부 베스트 프랙티스가 중요하다.
성공적인 실행을 통해 지속가능한 신뢰도 우위를 확보할 수 있다.
신뢰할 수 있는 데이터 관리자란 무엇인가? 우리 기업은 어디쯤에 있는가?
기업이 신뢰할 수 있는 데이터 관리자라면 소비자 데이터의 수집을 심지어 수집이 실제로 일어나기도 전에 관리한다. 어떤 데이터를 어떤 이유에서 수집할 것인가? 어떻게 소비자들이 데이터 수집을 이해하고 허용하도록 할 것인가? 데이터관리는 지속적으로 정밀하게 수정되어야 한다. 수집된 데이터는 적절히 보관, 확보, 다른 용도로 변경되는데, 항상 데이터 접근, 공지, 허가를 관장하는 정책과 절차에 준해 투명하게 진행 돼야 할 것이다. 또한, 신뢰할 수 있는 데이터 관리자는 실제 혹은 인식상의 소비자 데이터 오남용을 해결할 준비태세를 갖추고 있어야 하며 다방면에 걸쳐 관련 성적을 평가하고 공유해야 한다.
이와 관련해BCG의 온라인 진단프로그램인 신뢰 및 개인정보보호 베스트프랙티스 진단 툴(Trust and Data Privacy Best-Practice Diagnostic Tool)’ 을 이용하면, 기업의 데이터 관리 강점 및 약점을 평가하고 경쟁업체 대비 자사의 성적을 비교할 수 있다. 몇 가지 질문에 답을 하면서, 잠재적인 신뢰도 리스크와 보상을 가늠할 수 있을 것이다.
내부 집중 프랙티스
신뢰할 수 있는 데이터 관리자가 되는 것은 내부에서부터 시작한다. 기업들은 몇 가지 방식으로 내부적으로 베스트 프랙티스를 수립하거나 개선할 수 있다.
고위급 라인 임원의 참여 보장. 고위급 라인부문 임원들은 정책과 원칙 확립에 적극 관여해야 한다. 전반적인 정책을 결정하고 법률용어와 일반용어 버전을 모두 승인해야 한다. 일반용어 버전은 매우 중요한데, 소비자들이 간결하고, 명확하며, 이해하기 쉬운 버전의 개인정보보호정책을 제시하는 기업의 상품과 서비스를 소비할 가능성이 56% 더 높기 때문이다. (2016년 10월 BCG 슬라이드쇼, ‘수치로 본 데이터 오남용과 데이터 관리’ 참조.)
그러나, 대부분의 기업에서, 고위 라인 임원들은 정책과 절차수립에 깊이 개입하지 않는다. 이 업무는 법률 팀과 IT 팀에 할당된다. (보기 16과 17 참조.) 물론 이 두 팀은 각각 법률 및 규제관련 이슈들과 사이버 보안 등의 문제를 해결하는 전문성을 갖추고 있으므로 관여하는 것이 당연하다. 하지만, 고객데이터의 수집과 사용은 소비자와 이해관계자들이 이 행동들을 어떻게 생각하느냐를 통해 브랜드 가치, 시장점유율, 매출성장에 직접적으로 영향을 미친다는 점에서, 라인의 조언과 의사결정을 적극 필요로 한다.
구글 맵스(Google Maps)가 실제로 포함하는 영역이 밝혀졌을 때 구글(Google)이 맞닥뜨렸던 상황을 생각해보자. 구글 차량은 스트리트뷰(Street View)의 데이터를 수집하면서, 암호와 이메일 등을 포함한 홈 와이파이(Wi-Fi) 네트워크의 데이터도 수집하고 있었으며, 개별적으로 식별가능한 소비자 프로필을 생성하고 있었다. 구글은 그 후, 고객데이터를 수집하고 이를 이용해 프로필을 만들고 있음을 공지했어야 함을 인정했지만, 더 큰 허점이 드러났다. 임원들이 이런 행동을 인지조차 하지 못하고 있었던 것이다. 임원진이 알았다면, 아마도 이를 승인하지 않았을 것이다.
보기 16. 개인정보보호정책에 대해 임원급 관리감독이 이루어지는 기업은 거의 없다.
IT 팀과 법무 팀에 그 책임을 전담하고 있다.
보기 17. 개인정보보호에 대한 지침 원칙을 갖춘 기업은 거의 없다.
임원진들은 내부 베스트 프랙티스 개발에 적극 개입해야 하지만, 실제로는 거의 그렇지 못하다.
이와 같은 프로젝트들은 조직 내의 여러 팀들과 여러 레벨의 전문지식을 필요로 한다. 이 경우에, 새로운 데이터 수집과 사용에 대한 정확한 지침이나 새로운 프랙티스를 관련 임원진에 보고하는 의사결정 체계가 없는 상황에서, 그 데이터를 수집하고 프로필을 만든 결정은 이 업무를 담당하는 팀이 단독으로 한 것이었다. 후폭풍을 촉발한 것은 이 프로젝트의 본래 의도-구글 맵스의 기능 만들기-가 아니라 정확히는 구글 맵스의 일부가 아니고 공식적으로 논의되고 승인된 적이 없는 새로운 사용을 위한 새로운 데이터의 수집이었다. 구글은 이후 데이터 수집 방법을 제한했고, 해당 프로필은 파기했으며, 이 사태로 인해 여러 주에서 소송을 해결해야 했다. 하지만 구글 사태의 원인이 된 이러한 종류의 소통의 단절은 거대조직에서 흔히 볼 수 있는 일이다. 분명한 지침을 마련하고 고위 라인부문 임원진들이 거버넌스 프로세스에 적극 개입해야 하는 필요성을 다시 한번 강조해 준다.
기업들은 ‘누가’, ‘무엇을’, ‘왜’ 가 명시된
명확한 데이터 접근 프로토콜을 만들어야 한다.
확실한 데이터 접근 프로토콜 생성- 과 사용. 기업이 일단 정책, 원칙 거버넌스 구조를 확립하면, 이 내용을 기업이 수집한 데이터의 접근 통제 방법에 반영해야 한다.
다행히도, 많은 기업들이- 우리의 서베이 결과에 따르면 71%가 – 데이터 접근을 관장하는 프로토콜을 만들었다. 이 프로토콜은 어떤 개인이 어떤 유형의 데이터에 접근권한을 갖는지를 –프로토콜의 ‘누가’, ‘무엇을’ 에 대한 부분을 – 규정한다.
하지만, 진정으로 데이터를 보호하고 허가받지 않은 사용이라는 함정에 빠지지 않기 위해서, 기업들은 ‘왜’ 라는 요소, 즉 어떤 직원이 접근 승인을 받은 데이터를 사용하는 방식 또한 규정해야 한다. 대부분의 기업들은 사용목적 기준의 통제조치를 갖추고 있지 않다. 기업들은 포괄적이고 용도를 기준으로 한 데이터 통제 접근을 위해, ‘누가’, ‘무엇을’, ‘왜’를 고려하는 프로토콜을 만들어야 한다.
대중의 이목을 집중시킨 데이터 사용 통제의 전형적인 문제 중 하나로 에드워드 스노든(Edward Snowden)이 NSA(미국 국가안보국)의 프리즘(PRISM)이라는 전자 데이터 수집 프로그램의 기밀 정보를 폭로한 사건을 들 수 있다. 당시 불거진 문제 중 하나는 적절한 접근권한을 가진 사람들이, -사용목적 기준의 통제 없이- 정보를 오남용하고 있다는 것이었다. 프리즘의 본래 의도-테러방지목적-와 그 정도에 찬성하건 반대하건 간에, 그 누구도 수집된 정보가 이웃의 사생활을 침해하거나 소중한 사람을 감시하는 목적으로 사용되어야 한다고 주장할 수는 없을 것이다.
기업의 세계에서 찾아볼 수 있는 또 다른 사례는 우버(Uber)의 경우로, 우버의 직원들이 고객데이터에 접근해서 고객의 위치를 추적할 수 있으며, 이 데이터가 자동차 서비스 개선 외의 목적으로 사용되고 있었다는 사실이 밝혀졌고, 이후 여러 대책이 추진됐다. 앞으로 이와 같은 오남용 사례를 방지하기 위해, 우버는 위치데이터를 암호화하고 암호로 보호했다. 또한 데이터 접근과 사용에 대해 누가-무엇을-왜 접근법을 도입해, 데이터 접근 권한을 소수의 직원들에게만 제한적으로 부여해, 합법적인 비즈니스 목적으로만 운전자 및 고객과 관련한 정보를 열람하고 사용할 수 있도록 하고 있다.
실시간 모니터링과 적극적인 대응 실시. 완벽한 세상이라면, 모든 사람들이 사용지침의 의도를 따르고, 사용목적 기반 접근 프로토콜이 아무 문제 없이 운영되겠지만, 현실에서는, 직원들이 규칙을 준수하고 접근권한이나 규칙의 취지를 해치지 않도록 확인하는 것이 매우 중요하다. (보기 8의 서베이 결과를 보면 개인정보보호정책을 실시하는 기업의 비율을 볼 수 있음.)
보기 18. 기업들은 소비자들의 신뢰여부를 알지 못한다.
그리고 미흡한 내부실행기제로 인해 신뢰받을 자격이 없을 수도 있다.
이를 위해서는 실시간 데이터 모니터링을 통해 데이터 접근 프로토콜을 지원해야 한다. 모니터링은 접근기반 프로토콜이 다루는 것과 동일하게 반드시 누가-무엇을-왜 요소를 집중적으로 살펴야 한다. 즉, 데이터에 접근한 개인, 접근할 수 있는 데이터, 데이터 접근 용도. 하지만, 현재 겨우 5개 중 1개 기업만이 실시간 데이터 모니터링 프로토콜을 갖추고 있고, 사용목적을 반영한 비율은 훨씬 더 낮다. 이는 80%이상의 기업들이 데이터 오남용에 매우 취약함을 의미한다.
직원들이 부적절하게 데이터에 접근하거나 데이터를 사용하는 경우를 대비한 대응책을 준비함으로써, 기업들은 불가피하게 발생하는 위반사항들이 이해관계자들에게 피해를 주고 결국 기업 브랜드 가치와 재무 실적에 타격을 주기 전에 이를 해결할 수 있다.
현재로서는, 데이터 오남용(실질적이건 인식상의 문제이건 간에)이 보통 소비자 혹은 언론의 철저한 감시로 밝혀지는 경우가 많다. 데이터 오남용을 내부가 아니라 외부에서 발견하게 되면 두 가지 부정적인 결과가 뒤따른다. 이 데이터 오남용이 유통된 상품과 서비스에 반영되기 전에 발견되어 중단됐을 경우에 비해, 외부에서 발견되면 사태가 더 오래 지속되고 고객들에게 더 심각한 영향을 미친다는 점이다. 기업이 자체적으로 오남용 사태를 찾아내면, 그 대응은 여론의 뭇매 대신 내부적으로 관리될 수 있다. 우리의 연구조사가 보여주듯이, 개인정보 오남용에 대한 여론의 반응이 시사하는 것은 매우 부정적이다. 기업매출은 실질적 혹은 인식된 데이터 오남용이 있은 후 첫째 해에 5%에서 7% 감소한다. 우리는 소비자들의 인식이 확대되고 우려가 커짐에 따라 1차년의 손실이 더 심각해져 10%에서 25%에 달할 수도 있다고 생각한다.
하지만, 고객과 기타 이해관계자들의 부정적인 반응을 불러일으킬 수 있는 모든 개인정보 수집 및 사용에 대해 기업들이 사전에 완벽하게 파악할 수는 없을 것이다. 따라서, 기업들은 사전에 프로토콜을 준비해 이런 사태에 대비해야 한다. 구체적인 정보 수집 및 사용 문제를 해결하고 소비자 및 기타 이해관계자들과 효과적으로 커뮤니케이션 할 수 있는 방법을 미리 수립한다면, 이런 사건들이 발생한다 해도 브랜드 가치 손상과 매출 손실로 어려움을 겪기 보다는 이전과 같은 수준의 -혹은 더 커진- 신뢰를 유지할 수 있을 것이다.
허용가능한 사용 체계 수립. 새로운 의사결정프로세스를 정립해 새로운 데이터 사용을 평가해 이를 승인하거나 거절할 수 있도록 하는 것 역시 중요하다. 보기 19에 나타난 것과 같은 허용가능한 사용 체계를 참조해 베스트 프랙티스를 수립할 수 있다. 이런 체계는 새로운 데이터 사용을 고민하는 이들에게 다음의 4 가지 주요 요소를 고려할 것을 제안한다.
• 소비자 태도. 이 같은 새로운 데이터 사용을 인지했을 때, 각각의 소비자 세그먼트는 어떤 반응을 보이는가?
• 경쟁업체 공개. 새롭고 혁신적인 용도인가? 이미 시장에서 널리 쓰이는 용도인가?
• 규제 환경. 새로운 사용이 현행 법규와 계약상 허용되는 것인가?
• 사업성. 이 새로운 사용으로 인해 기업이 누리는 직, 간접적인 혜택은 무엇인가?
이 4가지 요소를 바탕으로, 임원진들은 새로운 데이터 사용과 관련한 리스크와 가치에 대해 충분한 지식을 갖고 결정을 할 수 있다. 이 관점은 임원들이 새로운 데이터 사용의 허용여부를 결정하는데 도움이 될 뿐만 아니라 베스트 프랙틱스를 어떻게 외부로 확대할 것인지를, 즉 소비자와 다른 이해관계자들을 참여시키는 최선의 방법을 판단할 수 있다.
외부 집중 프랙티스
부정적 반응이 발생할 가능성을 최소화하기 위해 내부조치를 취하는 것과 더불어, 기업들은 외부 베스트 프랙티스를 통해 소비자 및 기타 이해관계자들과 적극적으로 소통해야 한다. (소비자를 이해하는 것이 핵심이다. 보기 20과 21은 데이터 유형과 산업 신뢰도에 대한 소비자 태도에 대한 서베이에 근거한 기초 자료들이다.) 훌륭한 데이터 관리자가 되기 위한 이 요건들은 내부 베스트 프랙티스 못지 않게 중요하지만, 그 내용은 더 모호하다. 현재, 이는 소비자 데이터를 사용하려는 기업들에게 가장 큰 걸림돌이자 실패의 원인이다.
투명성 확대. 우리의 서베이 결과는 분명하다. 소비자들은 기업들이 어떤 데이터를 수집하고 있으며 그것을 어떻게 사용할 것인지를 알고 싶어한다. 하지만, 이런 종류의 투명성은 흔히 찾아볼 수 있는 것이 아니다.
대부분의 기업들에게 높은 수준의 투명성을 보장하는 것은 기본적인 마음가짐과 문화적 전환이다. ‘정보를 가용하게 하는 것’ 과 ‘정보공개의 법적 요건을 준수하는 것’ 에서 보다 근본적으로, 소비자들과 기타 모든 이해관계자들에게 기업의 개인정보 사용에 대해 알리는 책임을 지겠다는 태도로의 전환이다. 이것은 중요한 중심 축이 되지만 문제점을 내포하고 있으며, 기업은 그 외에도 또 다른 장벽에 부딪힌다. 강화된 투명성으로 인해, 새롭다고 생각되는 데이터 관행이 있음을 알게 되어 놀란 일부 소비자들이 단기적으로 부정적인 반응을 보일 수 있다.
보기 19. 허용가능한 사용 체계의 예
이 체계를 통해 팀들은 내용을 충분히 알고 결정을 내릴 수 있다.
보기 20. 미국과 유럽 소비자들 모두 데이터 오남용에 대해 민감하다.
금융, 가족, 건강 정보 데이터는 보호해야 하는 가장 중요한 데이터로 간주된다.
보기 21. 소비자들의 우려의 심각도는 산업별로 매우 다양하다.
금융, 기술, 정부기관에서의 사용이 가장 큰 우려를 낳고 있다.
하지만, 중장기적으로는 이런 전환을 통해 얻는 혜택이 매우 크다. 소비자들은 기꺼이 기업이 생각하는 것보다 훨씬 광범위한 개인정보의 사용을, 물론 그 내용이 충분히 고지될 경우에 한해서, 기꺼이 허락할 것이다. 소비자들을 이해하지 못하고 소비자들에게 정보를 공유하지 않으면서, 기업들은 현재 ‘무모할 정도로 보수적’인 상황을 자초하고 있다.
불투명성에서 투명성으로의 전환의 성공여부는 새로운 참여유도 관행-‘풀’에서 ‘푸시’로의 전환-을 받아들이는 것에 달려 있다. 현재의 고객참여 행태는 풀 방식이 압도적이다. 소비자들이 데이터 사용관행을 주도적으로 조사하고 이해하려고 하면 이를 지원하는 방식이다. (보기 22 참조.) 불행히도, 그렇게 하는 소비자들이 거의 없다 보니, 대부분의 소비자들이 ‘새로운’ 데이터 사용활동에 대해 뜻밖에 알게 되어 불쾌하게 놀랐을 때 우려를 할 수 밖에 없다.
보기 22. 기업들은 고객들과 적절히 소통하지 못하고 있다.
기업들은 커뮤니케이션에 있어 ‘푸시’ 방식보다는 ‘풀’ 방식에 훨씬 더 많이 의존하고 있다.
물론 바람직한 풀 방식은 중단할 필요가 없다. 기업이 해야 하는 것은 푸시 기반 방식을 추가하는 것이다. 즉, 기업이 먼저 적극적으로 정보에 대해 고객들의 주의를 환기시키는 것이다. 이를 위해서는 적합한 커뮤니케이션 메시지, 프로세스, 배포양식 및 수단을 마련해야 한다. 푸시와 풀 방식의 적절한 균형점은 기업, 산업, 사용사례, 혹은 전달하고픈 메시지에 따라 각기 다를 것이다. 그렇지만, 기업의 핵심 목표가 항상 데이터 수집과 사용을 모든 관련 소비자-와 기타 이해관계자들-이 완전히 알 수 있도록 하는 것임에는 변함이 없다.
분명히, 투명성은 소비자 이슈만은 아니다. 데이터 사용 관행을 더 많은 이해관계자들에게 분명하게 전달하는 것은 굉장한 혜택으로 이어진다. 일례로 규제당국은 소비자 언론이나 경제 언론보도 이후 사후조치로 대책을 마련하지 않기 위해, 기업이 언제 새로운 활동을 할 것인지를 미리 알고 있을 필요가 있다. 투자자들, 업계 연합, 비즈니스 파트너들에게도 이런 투명성이 도움이 될 것이다.
명확성과 투명성은 전체 ‘데이터 사용 생태계’에 유용하다. 예를 들어, 어떤 기업이 데이터 관행을 규제당국에 투명하게 공개한다면, 규제당국은 새로운 데이터 사용이나 소비자 의견을 긍정적으로 해석할 가능성이 크다. 왜냐하면, 내용을 투명하게 공유한 덕분에 끊임없이 변화하는 복잡한 데이터 사용과 법 규제 분야에 대해 유용한 지식과 통찰력이 생겼기 때문이다. 한 예로, 우리는 최근 한 금융기업에 규제당국과 분기별로 이슈 중심의 비거래성 논의를 실시할 것을 권고했다. 논의의 목표는 규제당국이 현재 부상하고 있는 프랙티스와 이슈에 대해 전반적으로 이해할 수 있도록 돕는 것으로. 이런 방식을 통해 기업은 관련논의에 대해 단순히 반응을 보이는 것이 아니라 논의를 주도할 수 있다.
용도의 구체적인 공지 및 동의 구하기. 새로운 데이터 사용이 있을 때마다, 기업은 반드시 동의를 얻고, 구체적인 용도를 명확히 해야 한다. 어떤 경우에는, 고객들에게 단순히 공지하는 것만으로 충분하고, 또 어떤 경우에는 분명한 옵트인 응답이 필요할 것이다. (신용카드 신청서에 서명하거나 디지털 사용동의 계약서에 클릭하는 함으로써 ‘깨알 같은 글씨’로 적힌 내용에 동의하는 것과는 다른 것이다.)
기업은 이를 더욱 효과적으로 할 필요가 있다.
예를 들어, GPEN(Global Privacy Enforcement Network)은 2014년 1200개가 넘는 스마트폰 앱을 조사해 85%가 데이터의 용도를 공개하지 않고 있으며 대부분의 경우 개인정보사용의 목적과 방법을 설명하지 않고 정보사용에 대해 광범위한 동의를 받고 있음을 발견했다.
소비자 신뢰에 대한 지표 측정과 발행. 모든 의미 있는 변화와 중요한 운영활동이 그렇듯, 신뢰할 수 있는 데이터 관리자가 되기 위해서는 적극적인 현황 파악이 필수적이다. 그리고, 투명성이라는 맥락에서, 주요 지표들은 소비자를 비롯한 이해관계자들과 공유되어야 한다. (앞서 보기 18에서 살펴봤듯이, 이렇게 하고 있는 기업은 거의 없다.) 이를 실행하는 것은 한 기업의 데이터 관행을 차별화함으로써 지속가능한 경쟁우위를 만들어내는 출발점이다.
투명성은 소비자에게만
국한된 이슈가 아니다.
모든 이해관계자를 고려하라.
기업들은 신뢰도를 모니터할 수 있는 지표를 만들고, 정기적으로 그리고 일상적으로 이해관계자들의 인식을 추적하는 것에서부터 시작해야 한다. 지표는 기업마다의 독특한 역학구조에 맞게 적절히 구성되어야 하지만, 일반적으로 다음 사항들을 포함해야 한다.
• 기업의 데이터 보호에 대한 전반적인 믿음
• 기업의 새로운 목적의 정보사용을 기꺼이 허용하는 정도
• 기업의 데이터 관행에 대한 이해
• 특히 민감하고 우려되는 부분
이 지표들은 몇 가지 기능이 있다. 소비자가 기존의 조치들에 대해 어떻게 반응하는 지, 공지 및 동의를 구하는 방식은 어떤 것이 어떤 소비자 층에 가장 효과적인지를 판단하는 데 도움이 된다. 또한, 성별과 연령층에 따라 각기 다른 트렌드를 분석함으로써, 동의를 구하는 사용 체계를 구성하는 데에도 이용된다. 예를 들어, 신뢰도 데이터에 따라 밀레니엄세대가X세대보다 기업을 더 신뢰함이 드러난다면, 전자 그룹에는 옵트아웃 동의가 더 효과적인 방법인 반면 후자 그룹에는 옵트인 허가가 더 적합할 것이다. 이런 분석결과를 도출할 수 있다는 점에서, 신뢰도 지표는 임원진들이 정책방향을 결정하는 데 도움이 된다.
일반적으로, 이런 차원의 데이터 관리를 능숙하게 하기 위해서는 아직 기업들이 갈 길이 멀다. 현재, BCG 서베이에 따르면, 겨우 6%의 기업들만이 내부 소비자 신뢰도 지표를 갖추고 적극적으로 소비자 신뢰도를 측정하고 있으며, 신뢰도 지수를 정기적으로 발표하는 기업은 4%에 불과했다.
이런 지표가 없으면, 기업은 눈뜬 장님이나 다름없다. 스스로가 어떻게 인식되고 있는지를 모른다면, 무엇을 바꿔야 하는지 아는 것은 근본적으로 불가능하다. 이렇게 상황을 제대로 보지 못하는 기업은 신뢰할 수 있는 데이터 관리자가 될 가능성이 매우 낮을 것이며 예기치 못한 지뢰를 건드려 기업의 평판과 실적에 피해를 보게 될 위험에 빠지게 된다.
신뢰의 책임과 보상
기업은 소비자 정보와 신뢰도 문제를 관리함에 있어 어느 방향으로 나아갈 것인지 결정해야 한다.
소비자 개인정보를 제대로 지켜내지 못한다면 그 기업은 악순환의 고리에 빠져, 관리미흡으로 인해 신뢰도와 매출에 타격을 받고, 재무 실적은 하락세에 접어들게 된다.
이와는 반대로, 베스트 프랙티스를 수립하고, 신뢰를 얻기 위해 개인정보보호와 데이터 관리를 대하는 마음가짐을 근본적으로 변화시키는 결정적인 행동을 통해 선순환 구조를 만들 수도 있다. 이 선순환 구조에서는, 소비자 정보를 제대로 관리하고 데이터 사용에 관해 이해관계자들을 적극적으로 개입시키는 것이 소비자 신뢰로 이어진다. 기업을 신뢰하는 소비자들은 더 많은 데이터의 사용을 허용한다. (우리 조사가 보여주듯이 소비자들은 신뢰하는 기업에 대해 개인정보의 사용을 허용할 가능성이 최소 5배 더 높다.)
이 길을 택해 소비자들에게 개인정보사용의 내용을 잘 고지해, 그들의 신뢰를 얻은 기업들은 소비자 정보를 통해 더 많은 가치를 창출할 수 있을 것이다. 현재 사용하는 것보다 더 많은 데이터에 접근할 수 있으며 상대적으로 신뢰도가 떨어지는 경쟁업체들이 사용하지 못하는 새로운 용도로 정보를 활용할 수 있을 것이다. 우리는 이것이 지속가능한 경쟁우위를 만들어 낼 것이라고 생각한다. 훌륭한 데이터 관리는 브랜드 가치를 높이고, 데이터관리 역량은 쉽게 모방할 수 없는 것이며, 시간이 지남에 따라 데이터관리에 대한 기준은 더욱 높아질 것이기 때문에, 선두주자들은 새로운 시장 기준을 수립하면서 전체 그룹에서 훨씬 앞질러 나갈 수 있을 것이다.
어느 길을 선택해야 하는 지는 분명해 보인다. 선택의 시간은 바로 지금이다.