지난 글에서는 CBPR(Cross Border Privacy Rules)의 장점과 함께 적용 사례를 살펴보았습니다. CBPR은 ‘국경 간 프라이버시 규칙’이라는 의미로, 회원국 간 데이터 활용을 장려하기 위한 개인정보보호 자율인증제도입니다. 

이번 글에서는 CBPR과 ISMS-P(개인정보 보호관리체계 인증제도)의 차이점과 CBPR 인증 심사 절차에 관해 알아보겠습니다.

CBPR 인증기준, ISMS-P와의 차이는?

인증기준은 아래와 같습니다. CBPR은 개인정보 항목만 다루고 있습니다. ISMS-P에서 개인정보 관련 부분이 CBPR과 유사한데요. 실제로 CBPR을 신청할 때 ISMS-P 획득 여부를 기입하도록 하고 있습니다. CBPR 인증기준이 ISMS-P 보다 낮기 때문에 ISMS-P 인증기업이라면 CBPR도 어렵지 않게 인증 받을 수 있는데요,

CBPR 인증 심사 절차는?

인증 심사를 신청하기 위해서는 인증기관에 필요한 서류를 준비해 이메일로 제출해야 합니다. 서류는 개인정보보호 국제협력센터에서 다운로드(https://www.privacy.go.kr/pic/cbpr_reference.do) 받을 수 있습니다.

CBPR 인증 심사 절차

향후 전망은?

미국은 CBPR 인증제도의 참여를 확대하기 위해 글로벌 포럼 발족 추진을 주도해왔습니다. 이를 위해 2020년 6월 APEC 실무자 회의에서 CBPR를 APEC에서 독립시켜 APEC 비회원국들도 참여할 수 있도록 제안했습니다.

멕시코와 호주를 제외한 7개국은 CBPR은 APEC에서 분리하기로 합의했는데요. APEC은 중국과 러시아가 참여하고 있어 이 두 나라에 데이터가 흘러갈 가능성이 우려가 있다는 이유 때문입니다. 창설 이래 10년 이상 유명무실하던 CBPR은 이제 ‘글로벌 CBPR’을 향해 국경을 넘어서 자유로운 개인정보 이전을 향해 다시 한번 발돋움하고 있습니다.

CBPR의 확대를 위해 한국인터넷진흥원에서도 노력하고 있습니다. 한국인터넷진흥원은 올해까지 CBPR의 수수료를 한시적으로 면제하는 것도 그 일환입니다.

CBPR 인증은 인증 범위에 따라 조금씩 다르지만, 일반적으로는 인증심사원 3인이 약 3일간 진행합니다. 하지만 매년 자격갱신을 해야 하는 불편한 점이 있는데요. ISMS-P보다 상대적으로 쉬운 편이기 때문에 CBPR 회원국으로 개인정보를 이전하는 경우, CBPR 인증을 고려해 보는 것도 좋은 선택이 될 것입니다.

[출처] 대외경제정책연구원(https://www.kiep.go.kr/gallery.es?mid=a10102040000&bid=0005&list_no=9726&act=view) CBPRs(http://cbprs.org/compliance-directory/cbpr-system/) 김법연, “글로벌 개인정보 이전 환경에서 CBPR 인증의 의의” 개인정보보호 국제협력센터(https://www.privacy.go.kr/pic/cbpr_info.do)

글 ㅣ LG CNS 사이버시큐리티팀 김휘재 선임