인증심사원 교육 늘리며 원활한 심사 지원…CBPR 글로벌 확대 위해 노력
[데이터넷] 한국인터넷진흥원(KISA)이 APEC CBPR 인증에 본격 나선다. KISA 국가마다 CBPR 인증심사 기준이 다소 다르며, 우리나라가 다른 나라에 비해 까다로운 편이라는 점을 감안, 해외 인증기관과 협의해 심사절차 표준화를 논의할 계획이다.
또 CBPR 인증 수요 기업이 늘어날 것에 대비해 인증심사원 교육을 확장하는 한편, CBPR 인증에 대해 적극 홍보하면서 기업의 아시아 태평양 지역 진출 시 개인정보 보호와 관련된 컴플라이언스를 지원하겠다고 밝혔다.
현재 국내에서 CBPR 인증을 받은 기업은 없지만, 여러 기업이 인증심사를 진행중이며, 연내 한 곳 이상 인증기업이 등장할 것으로 기대하고 있다. 현재 심사중인 기업은 주로 IT 기반 비즈니스를 하는 기업과 개인정보를 필수로 요구하는 이커머스, 물류, 해외이전 기업 등이다.
오용석 KISA 개인정보정책단장은 “KISA는 국내 기업의 글로벌 규제준수 지원을 위해 노력하고 있다. 지난 수 년간 국내 기업들이 가장 필요로 해 왔던 EU GDPR 적정성 결정에 집중해왔으며, 지난해 적정성 결정 통과 후 CBPR 인증체계 마련에 본격 나서게 됐다”며 “CBPR은 ISMS-P에 비해 인증심사 낮이도가 낮은 편이기 때문에 ISMS-P 인증을 받은 기업이라면 CBPR 인증에 특별한 어려움을 겪지 않을 것”이라고 말했다.
인증서 유효기간 2년 연장 논의 중
CBPR(Cross Border Privacy Rules)은 아시아태평양경제협력체(APEC) 국가들이 프라이버시 보호에 대한 9가지 원칙을 근거로 공동 개발한 개인정보 보호 인증 체계로, 2011년 처음 시작했다. 우리나라는 2017년 가입 승인됐으며, 개인정보보호위언회를 집행기관으로, KISA를 인증기관으로 선정(2019년)해 인증심사를 시작했다.
현재 CBPR 가입 국가의 인증 현황은, 미국 애플, IBM, 시스코 등 41개사, 일본 야후재팬 등 4개사, 싱가포르 알리바바 클라우드 등 6개사 등이다. 우리나라와 멕시코, 캐나다, 호주, 대만, 필리핀 등이 가입했지만 아직 인증기업은 없다.
KISA는 CBPR 인증으로 기업의 글로벌 사업 촉진을 지원할 수 있을 것으로 기대하고 있다. 해당 기업의 개인정보 보호 수준을 인정받은 것으로, 개인정보의 국외이전 과정이 쉬워지며, 해외진출 과정 상 개별 법규 대응 비용을 절감할 수 있다고 설명했다.
CBPR은 APEC 국가를 대상으로 시작했지만, 글로벌 표준으로 확대하기 위해 노력하고 있으며, 이달 초 서울에서 글로벌 포럼을 열고 구체적을 방안을 마련하기 위해 노력하고 있다. 이 포럼에 참여하는 국가는 우리나라와 일본, 미국, 캐나다, 필리핀, 싱가포르, 대만 등이며, 글로벌 확장 방안과 함께 현행 인증서 유효기간 1년을 2년 정도로 늘릴 것 등을 논의했다.
CBPR과 관련, 주목되는 부분은 중국 등 미 가입 국가에 본사를 둔 기업 중 다른 나라 지사에서 인증을 받았을 때, 지사에서 수집한 개인정보가 본사로 이전할 가능성이 있는지 여부다.
이에 대해 정태인 KISA 개인정보협력팀장은 “만일 지사에서 개인정보를 수집·처리하지 않고 본사에서 처리한다면 개인정보 수탁자 인증(PRP)를 획득해야 할 것”이라며 “CBPR은 개인정보의 국가간 이동 시 지켜야 할 최소한의 요건을 정한 것이며, 자국민의 개인정보 이전 문제만 다룬다. 해외 지사가 그 나라에 법인으로 등록돼 있고, 그 법인이 인증을 받았다면 해당 법인으로의 이전은 가능하지만, 본사로의 이전이 보장되지는 않는다”고 말했다.
개인정보 보호 규제 대응 용이
CBPR 인증은 우리나라 ISMS-P 인증 보다 쉬운 편이지만, 국내법에 포함되지 않은 내용이 있기 때문에 주의해야 한다. 예를 들어 CBPR 인증 취득 희망 기업은 제 3자, 수탁자 간 개인정보 업데이트 체계를 구현해야 하고, 내부 정책에 반영해야 한다. 개인정보 제 3자 제공 후 정정이 이뤄지는 경우, 정정 사실을 개인정보를 제공받은 사람에게 통지해야 하며, 제 3자 개인정보 보호 수준을 확인하기 위한 내부정책을 수립해야 한다.
한편 KISA는 우리나라 CBPR 인증이 다른 나라에 비해 높다는 지적을 수용, 해외 인증기관과 형평성 확보를 위한 심사절차 표준화를 논의할 계획이다. 또한 CBPR 인증 기업이 늘어날 것을 대비해 CBPR 인증심사원 양성교육 실시와 인증심사원 등급 자격 제한을 완화해 CBPR 인증심사원을 확보할 계획이다. CBPR 인증 수수료는 한시적으로 면제되고 있다.
오용석 단장은 “CBPR 인증 시 정부는 해외기업에 대한 간접적 법집행과 국가간 교역 활성화를 기대할 수 있으며, 개인은 국외 이전된 개인정보에 대한 권리 행사가 가능해진다. 기업은 글로벌 개인정보 보호 관리체계 보유 기업으로서의 신뢰를 획득하고, 해외 교역대상 기업의 개인정보 보호 수준을 확보할 수 있다”며 “CBPR은 ISMS-P에 비해 인증 획득이 용이한 편이지만, 국내법에 없는 내용도 있으므로, 잘 준비해서 인증을 획득하기를 바란다”고 말했다.
