지난 9월 23일, 미국 법무부(US Department of Justice; 이하 “DOJ”)는 기업 컴플라이언스 평가 지침(Evaluation of Corporate Compliance Program, 이하 “ECCP”)[1] 5차 개정안을 발표하였습니다.
이번 개정안에서는 (1) 인공지능(Artificial Intelligence; 이하 “AI”) 사용에 따른 리스크 완화, (2) 내부 제보자 보호 및 내부 제보 장려, (3) 컴플라이언스를 위한 데이터 접근 강화의 세가지 주요 변경 사항[2]이 제시되었으며, 아래에서는 주요 내용과 시사점을 안내해 드리고자 합니다.
개정 ECCP의 주요 내용 및 시사점
|
1.
|
AI과 같은 신규 기술 사용에 따른 리스크 관리
2024년 3월, DOJ는 AI과 관련된 리스크에 초점을 맞추겠다는 의도를 밝혔는데, 빠르게 발전하는 기술로 인하여 발생할 수 있는 새로운 형태의 리스크를 예측하고 대비하여야 한다는 것이 골자입니다. 예컨대, AI에 의하여 생성된 허위 정보가 사업에 활용됨에 따라 발생할 수 있는 법률 위반 리스크를 방지하기 위하여 기업이 어떠한 노력을 기울이고 있는지 고려하여야 한다는 것입니다. 구체적으로 개정안은 다음과 같은 주요 요소를 제시하고 있습니다.
기술활용
-
기업이 운영 과정에서 어떤 유형의 AI 기술을 활용하며, 이러한 기술이 비즈니스에 어떻게 통합되는지?
-
기술이 의도된 목적으로만 사용되도록 하기 위한 통제장치가 있는지, AI를 평가하는 데 사용되는 인간 의사 결정 기준(baseline)은 무엇인지?
리스크 평가
완화 전략
-
식별된 리스크를 완화하기 위하여 기업은 어떤 조치를 취하는지? 예컨대, 기업 내부자를 포함하여 기업이 고의적이거나 무분별하게 기술을 오용할 가능성을 어떻게 완화하고, 신규 기술 활용에 대해 직원들을 어떻게 교육하는지?
-
기업이 사업에 AI 및 이와 유사한 기술을 사용하거나 컴플라이언스 프로그램의 일환으로 활용하는 경우, 관련 법률 및 기업의 행동강령을 준수함에 있어 그 신뢰도를 모니터링하고 보장하기 위한 통제수단이 마련되어 있는지?
|
|
2.
|
내부 제보자 보호 및 내부 제보 장려
실효적인 내부 제보자 보호 프로그램은 직원들이 안심하고 위법 행위를 신고할 수 있도록 장려함으로써 기업의 윤리적 선순환을 촉진하는데 중요한 역할을 합니다. 2024년 8월 발표된 DOJ의 내부고발자 보상 파일럿 프로그램은, 신뢰할 수 있는 정보를 제보한 경우 재정적 보상을 제공하여 연방법 위반을 내부적으로 제보하도록 장려하고 있습니다. 즉, 기업이 직원들에게 위법행위를 제보하도록 장려하고 있는지, 아니면 이를 위축시키는 관행이 있는지에 초점을 두어 점검을 하겠다는 것으로, 이와 관련하여 개정안에 추가된 주요 요소는 다음과 같습니다.
-
직원들에게 내부 또는 외부의 제보시스템과 그 규정 체계에 대하여 교육을 하는지? 기업이 잠재적 비위행위 또는 기업 정책 위반에 대한 제보를 장려하고 인센티브를 제공하는지? 기업은 직원들의 비위행위 제보 의지를 어떻게 평가하는지?
-
기업에 내부제보에 대한 보복방지 정책이 있으며, 직원들에게 보복방지 정책과 내부제보자 보호 관련 법령에 대하여 교육을 하는지? 기업이 비위행위에 연루된 직원들에 대하여 징계를 하는 경우 내부제보를 한 직원들은 다른 처우를 받는지?
|
|
3.
|
컴플라이언스를 위한 데이터 접근 강화
개정안은 컴플라이언스 담당자가 컴플라이언스 프로그램의 효과를 평가하기 위하여 필요한 데이터에 적절히 접근할 수 있는지 여부를 고려하도록 요구하면서, 다음과 같이 규정하고 있습니다.
-
컴플라이언스 프로그램의 성공 여부 및 효과성을 어떻게 어떤 빈도로 평가하는지? 회사가 데이터를 활용하여 회사의 컴플라이언스 프로그램의 효과성에 대한 통찰을 확보하고 윤리적 행위와 준법의지를 고취하는 조직 문화를 증진하려고 하는지?
-
컴플라이언스 담당자가 컴플라이언스 프로그램의 결함 또는 잠재적 비위행위를 확인하기 위해 어느 정도까지 데이터 및 정보(여기에는 재무 데이터, 운영 지표 및 과거 컴플라이언스 위반 관련 정보가 포함)에 접근할 수 있는지? 최대한 이른 시일 내에 컴플라이언스 프로그램의 결함 또는 비위행위를 선제적으로 파악하고 있음을 입증할 수 있는지?
-
사업 운영 내지 컴플라이언스 프로그램에 AI와 같은 신규 기술을 사용하는 경우, 해당 기술이 의도한대로 기능하고 있는지, 회사의 행동강령에 부합하는지 평가할 수 있도록 모니터링 및 테스트를 하고 있는지? 회사의 가치에 반하는 신규 기술에 의한 결정을 얼마나 신속하게 탐지하고 바로잡고 있는지?
|
디지털 트랜스포메이션을 통해 대부분의 업무가 전자적 방식으로 수행되며, 방대하게 누적되는 데이터 분석을 위해 AI의 활용이 날로 가속화되는 최근의 기업 환경을 고려하면, 금번 개정안이 기업 컴플라이언스에 갖는 의미에 대하여 주목할 필요가 있습니다. 아울러, 국내 기업으로서는 내부 또는 외부의 데이터 접근 과정에서 개인정보 보호법, 신용정보법, 인사노무 관계 법령상 요건뿐 만 아니라 각 업권별 정보보호 및 보안 규제 역시 준수해야 하므로, ECCP에 따른 컴플라이언스 프로그램의 업데이트 과정에서 국내 법령 및 규제와의 조화도 충분히 고려해야 하겠습니다.
[1] ECCP란 미국 법무부(US DOJ)의 행정지침으로서, 기소, 합의, 구형 등 기업 형사 사건의 처리에 있어, 컴플라이언스 현황에 대한 평가시 고려해야 하는 일반적 기준을 안내하고 있습니다. 미국 수사기관은 ECCP의 기준을 기업 처벌의 수위 조절에 적극적으로 활용하고 있어 글로벌 기업들의 준법경영상 참고하여야 할 주요지침으로 인정받고 있습니다.
[2] 참고로, 개정안은 앞서 설명드린 3가지 주요 내용 이외에도 정책 및 절차, 교육 및 커뮤니케이션, 제3자 관리 프로세스, 컴플라이언스에 투입하는 자원과 관련한 평가 요소를 추가로 제시하고 있습니다.
