미국 중심 9개 참여국, ‘글로벌 CBPR 포럼’ 발족해 APEC 역외 확대 추진
KISA, 인증기관으로 본격 인증제도 운영 계획 세워
[보안뉴스 원병철 기자] 최근 CBPR이 APEC을 넘어 미국과 일본, 싱가포르 등을 중심으로 글로벌 개인정보보호 인증체계로 발돋움을 준비하고 있다. 우리나라 역시 이 CBPR 9개 참여국 중 하나로 CBPR을 통해 디지털 경제 활성화 및 글로벌 신뢰도 확대에 나서고 있다. 한국인터넷진흥원(KISA)은 CBPR 인증제도 설명회를 온라인으로 개최하고 인증제도 및 인증제도 기준에 대해 설명했다.
[이미지=utoimage]
CBPR은 Cross Border Privacy Rules의 줄임말로 2011년 아시아-태평양 경제 협력체 ‘APEC’ 회원국이 공동으로 개발한 개인정보보호 인증체계다. 최소한의 개인정보 보호원칙을 기반으로 회원국간 신뢰할 수 있는 개인정보 이전체계를 마련해 아시아-태평양 권역 내 디지털 경제 활성화를 도모하기 위해 만들어졌다. 특히, CBPR은 각국의 개인정보보호법이 서로 다르다고 해서 법이나 제도를 바꾸는 것이 아니라, 상호간 신뢰할 수 있는 개인정보 이전체계를 마련한다는 점에서 EU의 GDPR과 다르다.
다만, 최근 미국과 중국의 관계가 악화되고, 미국을 중심으로 CBPR을 아시아-태평양을 넘어 세계에서 활용할 수 있는 시스템으로 강화하려는 움직임을 보이면서 9개국(미국, 멕시코, 일본, 캐나다, 대한민국, 호주, 싱가포르, 대만, 필리핀)이 ‘글로벌 CBPR 포럼’을 발족해 APEC 역외 확대를 추진하고 있다.
CBPR 도입 현황
CBPR은 APEC 프라이버시 9원칙을 근거로 50가지 기준을 개발했다. 9원칙은 ①고지 ②수집 제한 ③목적 내 이용 ④선택권 ⑤무결성 ⑥보호대책 ⑦열람·정정 ⑧책임성 ⑨피해 구제 등이며, 이는 국경간 데이터 이전시 기업의 개인정보보호 수준을 파악할 수 있는 척도로 활용된다.
▲CBPR 도입 현황[자료=KISA]
CBPR 인증제도를 운영하기 위해서는 국가간 분쟁, 법집행 협력체계를 구축해야 하며, CBPR을 집행할 수 있는 관련 법령 및 법 집행체계를 충족해야 한다. 인증기관 자격요건(독립성, 인증체계 수립 등) 충족 및 APEC 승인 인증기관 제도도 운영해야 한다.
현재 CBPR 도입국은 9개이며, 집행기관과 인증기관을 각각 두고 있다. 우리나라의 집행기관은 개인정보보호위원회이며, 인증기관은 한국인터넷진흥원이다. 이미 미국(애플, IBM, 시스코 등 39개사)과 일본(야후 재팬 등 3개사), 싱가포르(알리바바 클라우드 등 6개사) 3개국 48개 기업이 CBPR 인증을 받았다.
도입 현황을 보면, 일본은 개인정보보호법 제24조에 ‘외국의 제3자에게 개인정보를 제공하는 경우, 개인정보를 제공받는 자는 개인정보 취급과 관련된 국제적 기준에 근거한 인정(CBPR) 획득이 필요하다’라며 법에 CBPR을 명시해 놨다. 싱가포르 역시 개인정보보호규정 제12조에 ‘국외이전 요건으로 국외 기업의 CBPR 인증 취득 등 개인정보 보호기준 마련 법적이행 의무 요구’로 명시를 했다. 또한, 미국-멕시코-캐나다 협정(USMA)과 싱가포르-호주 디지털 경제협정(DEA)에서도 CBPR은 개인정보보호 및 국외이전을 용이하게 하는 메커니즘이라고 담았다.
인증제도 국내 운영 계획
CBPR은 개인정보보호위원회를 감독기구로, 한국인터넷진흥원을 인증기관으로 운영되며, 인증대상은 개인정보보호법 적용대상과 CBPR 인증 기준에 따른 개인정보보호 관리체계 수립·이행 기업이다.
▲CBPR 인증기준[자료=KISA]
인증기준은 ‘APEC CBPR Program Requirements 50가지’ 충족시 인증되며, 우리나라는 이를 ‘CBPR 인증기준 6대 구분(①개인정보 관리체계 수립 ②개인정보 수집 ③개인정보 이용/위탁/제공 ④정보주체 권리 ⑤무결성 ⑥보호대책)’으로 정리했다.
CBPR 인증 신청방법은 우선, 사전 준비로 ‘APEC CBPR 인증체계에 따른 운영’을 1개월 이상 해야 하며, 이어 신청 공문과 관련 서류를 제출하면 된다. 참고자료는 개인정보보호 국제협력센터 홈페이지에서 확인할 수 있다.
▲CBPR 인증절차[자료=KISA]
인증 심사는 서면심사(관련 문서, 증적자료 확인 등)와 담당자 인터뷰 중심(필요시 현장심사 진행) 심사로 이뤄진다. 인증심사 준비(1~3개월)와 인증심사(1~2개월), 인증위원회 심의 및 인증서 발급(1~2개월) 등 최소 3개월부터 최대 7개월이 걸릴 예정이다. 수수료는 한시적으로 무료로 진행되며, 유효기간은 1년이다. 인증심사원의 경우 기존 ISMS, ISMS-P 인증심사원 자격증 소지자를 별도로 교육한 후, 교육 수료자를 리스트로 정리해 심사시 활용할 계획이며, 향후 자격요건, 유지방안 등을 정리할 예정이다.
현재 CBPR은 공통으로 사용하는 번호체계나 인증마크가 별도로 없어서 우선 KISA가 준비하고 있으며, 관련 사항은 추후 포럼을 통해 논의할 방침이다. 참고로 KISA는 유효기간 역시 2년 이상으로 제안할 계획이다.
그렇다면 기업들이 CBPR을 취득할 경우 얻을 수 있는 혜택은 무엇일까? 우선 글로벌 수준의 개인정보보호 관리체계 보유기업으로 글로벌 신뢰를 얻을 수 있다. 또한, CBPR 참여국을 대상으로 사업을 영위하는 기업은 개인정보 국외이전이 용이하며, 특히 CBPR 참여국이 확대될 경우 해외진출 과정에서의 개별 법규 대응 비용절감이 가능해진다. 아울러 해외 교역 대상 기업(수탁사, 제휴사 등)과 계약시 CBPR 인증 취득 조건 요구를 통한 개인정보보호 수준 확보가 가능해진다.
KISA 정태인 팀장은 “현재 미국 주도로 CBPR 인증제도의 글로벌 확산을 위한 글로벌 포럼이 발족됐다”면서, “글로벌 체제로 전환될 경우 APEC 명칭은 사용이 어렵게 되겠지만 인증 자체는 전환과 관계없이 적용될 것”이라고 설명했다.
[원병철 기자(boanone@boannews.com)]
KISA, 인증기관으로 본격 인증제도 운영 계획 세워
[보안뉴스 원병철 기자] 최근 CBPR이 APEC을 넘어 미국과 일본, 싱가포르 등을 중심으로 글로벌 개인정보보호 인증체계로 발돋움을 준비하고 있다. 우리나라 역시 이 CBPR 9개 참여국 중 하나로 CBPR을 통해 디지털 경제 활성화 및 글로벌 신뢰도 확대에 나서고 있다. 한국인터넷진흥원(KISA)은 CBPR 인증제도 설명회를 온라인으로 개최하고 인증제도 및 인증제도 기준에 대해 설명했다.
[이미지=utoimage]
CBPR은 Cross Border Privacy Rules의 줄임말로 2011년 아시아-태평양 경제 협력체 ‘APEC’ 회원국이 공동으로 개발한 개인정보보호 인증체계다. 최소한의 개인정보 보호원칙을 기반으로 회원국간 신뢰할 수 있는 개인정보 이전체계를 마련해 아시아-태평양 권역 내 디지털 경제 활성화를 도모하기 위해 만들어졌다. 특히, CBPR은 각국의 개인정보보호법이 서로 다르다고 해서 법이나 제도를 바꾸는 것이 아니라, 상호간 신뢰할 수 있는 개인정보 이전체계를 마련한다는 점에서 EU의 GDPR과 다르다.
다만, 최근 미국과 중국의 관계가 악화되고, 미국을 중심으로 CBPR을 아시아-태평양을 넘어 세계에서 활용할 수 있는 시스템으로 강화하려는 움직임을 보이면서 9개국(미국, 멕시코, 일본, 캐나다, 대한민국, 호주, 싱가포르, 대만, 필리핀)이 ‘글로벌 CBPR 포럼’을 발족해 APEC 역외 확대를 추진하고 있다.
CBPR 도입 현황
CBPR은 APEC 프라이버시 9원칙을 근거로 50가지 기준을 개발했다. 9원칙은 ①고지 ②수집 제한 ③목적 내 이용 ④선택권 ⑤무결성 ⑥보호대책 ⑦열람·정정 ⑧책임성 ⑨피해 구제 등이며, 이는 국경간 데이터 이전시 기업의 개인정보보호 수준을 파악할 수 있는 척도로 활용된다.
▲CBPR 도입 현황[자료=KISA]
CBPR 인증제도를 운영하기 위해서는 국가간 분쟁, 법집행 협력체계를 구축해야 하며, CBPR을 집행할 수 있는 관련 법령 및 법 집행체계를 충족해야 한다. 인증기관 자격요건(독립성, 인증체계 수립 등) 충족 및 APEC 승인 인증기관 제도도 운영해야 한다.
현재 CBPR 도입국은 9개이며, 집행기관과 인증기관을 각각 두고 있다. 우리나라의 집행기관은 개인정보보호위원회이며, 인증기관은 한국인터넷진흥원이다. 이미 미국(애플, IBM, 시스코 등 39개사)과 일본(야후 재팬 등 3개사), 싱가포르(알리바바 클라우드 등 6개사) 3개국 48개 기업이 CBPR 인증을 받았다.
도입 현황을 보면, 일본은 개인정보보호법 제24조에 ‘외국의 제3자에게 개인정보를 제공하는 경우, 개인정보를 제공받는 자는 개인정보 취급과 관련된 국제적 기준에 근거한 인정(CBPR) 획득이 필요하다’라며 법에 CBPR을 명시해 놨다. 싱가포르 역시 개인정보보호규정 제12조에 ‘국외이전 요건으로 국외 기업의 CBPR 인증 취득 등 개인정보 보호기준 마련 법적이행 의무 요구’로 명시를 했다. 또한, 미국-멕시코-캐나다 협정(USMA)과 싱가포르-호주 디지털 경제협정(DEA)에서도 CBPR은 개인정보보호 및 국외이전을 용이하게 하는 메커니즘이라고 담았다.
인증제도 국내 운영 계획
CBPR은 개인정보보호위원회를 감독기구로, 한국인터넷진흥원을 인증기관으로 운영되며, 인증대상은 개인정보보호법 적용대상과 CBPR 인증 기준에 따른 개인정보보호 관리체계 수립·이행 기업이다.
▲CBPR 인증기준[자료=KISA]
인증기준은 ‘APEC CBPR Program Requirements 50가지’ 충족시 인증되며, 우리나라는 이를 ‘CBPR 인증기준 6대 구분(①개인정보 관리체계 수립 ②개인정보 수집 ③개인정보 이용/위탁/제공 ④정보주체 권리 ⑤무결성 ⑥보호대책)’으로 정리했다.
CBPR 인증 신청방법은 우선, 사전 준비로 ‘APEC CBPR 인증체계에 따른 운영’을 1개월 이상 해야 하며, 이어 신청 공문과 관련 서류를 제출하면 된다. 참고자료는 개인정보보호 국제협력센터 홈페이지에서 확인할 수 있다.
▲CBPR 인증절차[자료=KISA]
인증 심사는 서면심사(관련 문서, 증적자료 확인 등)와 담당자 인터뷰 중심(필요시 현장심사 진행) 심사로 이뤄진다. 인증심사 준비(1~3개월)와 인증심사(1~2개월), 인증위원회 심의 및 인증서 발급(1~2개월) 등 최소 3개월부터 최대 7개월이 걸릴 예정이다. 수수료는 한시적으로 무료로 진행되며, 유효기간은 1년이다. 인증심사원의 경우 기존 ISMS, ISMS-P 인증심사원 자격증 소지자를 별도로 교육한 후, 교육 수료자를 리스트로 정리해 심사시 활용할 계획이며, 향후 자격요건, 유지방안 등을 정리할 예정이다.
현재 CBPR은 공통으로 사용하는 번호체계나 인증마크가 별도로 없어서 우선 KISA가 준비하고 있으며, 관련 사항은 추후 포럼을 통해 논의할 방침이다. 참고로 KISA는 유효기간 역시 2년 이상으로 제안할 계획이다.
그렇다면 기업들이 CBPR을 취득할 경우 얻을 수 있는 혜택은 무엇일까? 우선 글로벌 수준의 개인정보보호 관리체계 보유기업으로 글로벌 신뢰를 얻을 수 있다. 또한, CBPR 참여국을 대상으로 사업을 영위하는 기업은 개인정보 국외이전이 용이하며, 특히 CBPR 참여국이 확대될 경우 해외진출 과정에서의 개별 법규 대응 비용절감이 가능해진다. 아울러 해외 교역 대상 기업(수탁사, 제휴사 등)과 계약시 CBPR 인증 취득 조건 요구를 통한 개인정보보호 수준 확보가 가능해진다.
KISA 정태인 팀장은 “현재 미국 주도로 CBPR 인증제도의 글로벌 확산을 위한 글로벌 포럼이 발족됐다”면서, “글로벌 체제로 전환될 경우 APEC 명칭은 사용이 어렵게 되겠지만 인증 자체는 전환과 관계없이 적용될 것”이라고 설명했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
