CBPR(Cross Border Privacy Rules)은 ‘국경 간 프라이버시 규칙’이라는 의미로, 회원국 간 데이터 활용을 장려하기 위한 개인정보보호자율인증제도입니다. CBPR은 개인정보 보호를 위한 법체계 개발에 고려해야 할 국제 원칙과 지침으로 USMCA(US-Mexico-Canada Agreement, 미국-멕시코-캐나다 협정), SADEA(Singapore-Australia Digital Economy Agreement, 싱가포르-호주 디지털 경제 협정)에 포함됐는데요. 국경 간 데이터 이전에 CBPR의 효율성이 인정받고 있습니다.

CBPR은 어떤 기업이 인증받는 게 좋을까요?

GDPR(General Data Protection Regulation, 일반 개인정보 보호법)은 CBPR보다 높은 요건으로 국경간 이전과 관련해 개인정보 보호의 관점에서 적정한 보호 수준을 갖춘 국가·기업으로의 이전만을 제한적으로 허용하고 있습니다. 그렇다면 어떤 기업이 CBPR 인증을 받는 것이 좋을까요?

CBPR은 국내 개인정보 보호법 적용 대상 기업이 신청할 수 있습니다. 특히 아래의 경우 고려해볼만 합니다.

– 아시아 태평양 지역을 비롯한 국외에 개인정보를 이전하거나 국외로부터 개인정보를 이전 받아 처리하는 또는 처리할 가능성이 있는 기업 
– 아시아 태평양 지역을 비롯한 다수의 국가에 계열사, 자회사 등이 위치해 전사에 적용할 통일된 개인정보 보호 체계가 필요한 기업
– 프라이버시 보호 원칙을 적용한 글로벌 기준의 개인정보 보호 체계를 수립해 인정받고자 하는 기업

CBPR 적용 사례를 살펴볼까요?

CBPR 적용 사례에 대해 알아보겠습니다. 현재 48개 기업이 CBPR 인증을 받았는데요. 그 중 미국 39개, 싱가포르 6개, 일본 3개 기업이 인증 받았습니다. 

아래 표는 CBPR 인증 받은 기업의 사례입니다. 아래와 같이 많은 기업이 고객 데이터와 직원 데이터의 이전을 위해 인증을 받았는데요. 이외에도 비자 신청을 위한 개인정보, 플랫폼, 대화, 앱, 임상 실험 데이터, 결제 서비스 등에 활용되고 있습니다.

싱가포르에 본사를 두고 있는 서울 직영 A 호텔에서는 서비스를 제공하기 위해 AWS 싱가포르 리전(Region, 데이터센터)을 활용하고 있습니다. A 호텔은 일본의 결제 프로세스와 필리핀, 인도네시아의 백엔드(Back-end, 웹 프로그래밍의 한 분야)비즈니스 프로세스를 활용해 전 세계 고객에게 서비스를 제공하고 있습니다. CBPR 인증을 받으면 이와 같은 데이터 활용이 가능해집니다.

CBPR 인증, 왜 좋을까요?

CBPR 인증의 장점을 알아보겠습니다.

–      고객에게 조직의 개인정보 보호에 대한 의지를 보여줌으로써 신뢰를 증진시킵니다.

–      개인정보 보호를 위한 로드맵을 제공합니다.

–      규제기관에 적절히 컴플라이언스(준법감시인제도)에 대응하고 있음을 입증합니다.

–      컴플라이언스 대응에 대한 부담을 줄여 국제 간 마찰을 감소시킵니다.

–      국경을 넘나드는 데이터의 흐름을 방해하지 않고 불필요한 부담을 줄입니다.

지금까지 CBPR의 장점을 적용 사례와 함께 알아보았습니다. 다음 글에서는 CBPR과 정보보호 및 개인정보보호관리체계인증(ISMS-P)제도의 차이점, CBPR 인증 심사 절차에 관해 살펴보겠습니다.

[출처] 대외경제정책연구원(https://www.kiep.go.kr/gallery.es?mid=a10102040000&bid=0005&list_no=9726&act=view) CBPRs(http://cbprs.org/compliance-directory/cbpr-system/) 김법연, “글로벌 개인정보 이전 환경에서 CBPR 인증의 의의” 개인정보보호 국제협력센터(https://www.privacy.go.kr/pic/cbpr_info.do)

글 ㅣ LG CNS 사이버시큐리티팀 김휘재 선임