인사이트

APEC 진출을 원한다면 필수!

표지_CBPR

안녕하세요. 개인정보보호 파트너 캐치시큐입니다.

혹시, CBPR에 대해 들어본 적이 있으신가요? GDPR은 아는데, CBPR은 무엇인지 잘 모르시겠다고요?

 

CBPR은 Cross Border Privacy Rules의 줄임말로, EU의 개인정보 보호법인 GDPR과 달리 APEC(아시아-태평양 경제 협력체) 회원국이 공동으로 개발한 기업의 개인정보 보호 체계를 평가하는 글로벌 인증제도입니다.

2022년 12월, 국내에서 만 3년만에 처음으로 CBPR 인증을 받은 기업이 나왔는데요. 이처럼 APEC에서 사업을 펼치고자 하는 기업들이 CBPR 인증에 관심을 가지고 있다고 합니다.

오늘은 CBPR 인증이 무엇인지, 인증 취득 절차와 참고 사항에 대해 알아보겠습니다.

 

 

Check!

  1. CBPR 인증 자세히 알아보기
  2. 인증 대상 및 기준
  3. 인증 심사 절차
  4. CBPR 특징 및 효용 (feat. ISMS-P와 무엇이 다른가요?)
  5. 마치며

 

1. CBPR 인증 자세히 알아보기

 

앞서 간단히 설명했던 CBPR 인증에 대해 자세히 알아보겠습니다.

APEC CBPR이란 APEC Privacy Framework에 포함된 *9가지의 개인정보보호 원칙을 기반으로 기업의 개인정보 보호 체계를 평가하여 인증하는 글로벌 인증제도입니다.

* 9가지 개인정보보호 원칙이란?

고지, 수집 제한, 목적 내 이용, 선택권, 무결성, 보호대책, 열람·정정, 책임성, 피해 구제

 

APEC 회원국 간 신뢰할 수 있는 개인정보 이전 체계를 마련하여, APEC 권역 내 디지털 경제의 활성화를 도모하기 위해 마련되었는데요. 현재는 한국·대만·멕시코·미국·싱가포르·일본·캐나다·필리핀·호주 총 9개의 국가가 APEC CBPR 참여국으로 지정되어 있습니다.

 

또한 CBPR은 비대체성, 자발성, 유연성 그리고 활용중심성이라는 4가지의 특징을 가지고 있습니다.

CBPR은 개인정보의 국경 간 이동 등의 활동을 장려하기 위해 만들어진 보호체계라 활용성이 높습니다. 또한 강제성이 없기 때문에 각 국의 법·제도를 대체하지 않으며, 각 국가의 기업이 자발적으로 인증을 취득하는 형태를 취하고 있어요. 또한 각 국의 법·제도 환경에 맞게 제도를 운영할 수 있기도 합니다.

 

 

2. 인증 대상 및 기준

 

CBPR의 인증 신청 대상은 개인정보 보호법의 적용을 받는 기업으로 한정되는데요.

인증을 받고자 하는 기업은 CBPR 인증 기준에 따른 개인정보보호 관리체계를 수립하여야 합니다.

 

그렇다면, CBPR의 인증 기준은 어떻게 될까요?

CBPR의 인증 기준은 크게 6가지, 총 50개로 이루어져 있습니다.

 

표_CBPR 인증 기준

출처 : KISA 한국인터넷진흥원

또한, CBPR의 정책에 따라 인증 신청 기업은 주로 사업 기반을 둔 관할권 소재 인증기관에 인증심사를 신청하여야 합니다. 공통의 프라이버시 정책을 갖는 다국적 기업은 본사가 인증 신청 기업이 되며, 계열사 또는 자회사를 인증 범위에 포함하게 됩니다. 다만, 외국 소재 자회사는 현지 인증기관을 통해 인증심사의 신청이 가능하나, 이 경우에는 인증범위에 본사를 포함할 수 없게 됩니다.

추가로, 단순 개인정보 수탁 업무를 인증범위로 한 CBPR 인증심사 신청은 불가하니, 참고하시기 바랍니다.

 

 

3. 인증 심사 절차

 

총 50가지의 인증 기준을 지닌 APEC CBPR은 다음과 같이 이루어져 있는데요.

그림_CBPR 인증절차
출처 : KISA 한국인터넷진흥원

인증을 위해서는 준비단계 → 심사단계 → 인증단계 총 3가지의 단계를 거쳐야 합니다.

 

기업이 CBPR 인증을 받기 위해서는 인증 기준에 맞는 관리체계를 최소 1개월 이상 운영한 상태여야 합니다. 관리체계를 운영하고 있는 경우, APEC CBPR 인증 심사를 신청할 수 있게 되는데요. 준비 단계에서는 CBPR 신청서·명세서·인증기준 자가평가지 등을 작성하여 제출해야 합니다. 이후 인증 기관인 KISA 한국인터넷진흥원측에서 인증 범위 및 준비상태에 대한 예비점검을 시행하여 심사 진행 여부를 결정합니다.

 

심사 단계에서는 서면심사·담당자 인터뷰 2가지로 나누어 진행되는데요. KISA에서 약 3일에 걸쳐 인증 기준 충족·관리체계 수립 및 이행 여부를 심사하여 결함 보고서를 작성합니다. CBPR 신청 기업은 보고서를 확인하여 보완조치 및 보완 내역서를 제출하여 보완조치를 완료하여야 합니다.

마지막인 인증 단계에서는 KISA 측에서 심사결과 보고서를 작성하고, 인증위원회를 개최하여 CBPR 인증서를 발급해줍니다. 이때, 신청 기업은 인증서를 수령하게 되는데요.

CBPR의 유효기간은 1년으로, 만일 갱신을 희망할 경우 만료 3개월 전 갱신심사를 신청하여야 합니다.

 

만일 기업에서 CBPR을 취득하게 되면, 의무적으로 CBPR 인증 유효기간 내 개인정보 보호 관리체계를 유지·관리하여야 하며, 인증 취득 범위와 관련한 개인정보 민원이 발생할 경우 민원 관리와 더불어 민원 해결을 위해 협력하여야 하는데요. 인증을 취득할 경우 APEC CBPR 홈페이지 국별 인증 취득 현황에 취득 내역이 게시되기도 합니다.

 

 

4. CBPR 특징 및 효용 (feat. ISMS-P와 무엇이 다른가요?)

 

마지막으로, CBPR의 특징과 그 효용에 대해 짚어보도록 하겠습니다.

아무래도, CBPR이 글로벌 개인정보 인증체계이기 때문에, 국내에서의 중요도가 높은 정보보호 및 개인정보보호 관리체계인 ISMS-P와 자주 비교되는데요.

CBPR은 ISMS-P와 비교했을 때 아래와 같은 특징을 지니고 있습니다.

그림_CBPR, ISMS-P 비교
출처 : KISA 한국인터넷진흥원

 

CBPR 요건 중 아직까지 국내법과 상이한 부분도 있지만, ISMS-P와 비교했을 때 상대적으로 취득 난이도가 낮기 때문에, 어렵지 않게 인증 취득이 가능할 것으로 보입니다.

📌 아직 ISMS-P가 무엇인지 모르시나요? ISMS-P 알아보러 가기

 

CBPR 인증 취득을 취득할 경우, 크게 3가지의 효용을 기대할 수 있습니다.

  • 개인정보 보호체계에 대한 기업의 글로벌 신뢰도 제고
    • APEC 기준의 개인정보보호 체계를 갖추었음을 대외적으로 알리게 되어, 개인정보보호 신뢰 기업에 대한 이미지를 제고할 수 있습니다.
  • 개인정보 보호 수준 확인 비용 절감
    • 해외 제휴사, 수탁사 등을 선정할 경우 CBPR 인증 여부를 통해 기업의 개인정보보호 수준 확인을 위한 비용과 시간이 절감됩니다.
  • 개인정보의 자유로운 국외 이전 처리 (일부 국가 적용)
    • 일본과 싱가포르의 경우 자국법에 따라 CBPR 인증 기업의 경우 보호 수준을 인정하여 개인정보에 대한 이전을 허용합니다.

 

 

5. 마치며

 

이번 글에서는 CBPR이 무엇인지, CBPR 인증 취득에 대한 사항들을 알아보았습니다.

저희 캐치시큐는 해외를 대상으로 하는 서비스에도 즉각적으로 대응할 수 있도록 영문 버전의 동의서와 처리방침 또한 제공하고 있습니다.

 

관련하여 궁금한 점이 있으시다면, 개인정보 전문가와의 무료상담을 신청하시기 바랍니다.

APEC 국가로의 진출도, 캐치시큐와 함께하세요!

감사합니다.

 

 

           

 

# 인사이트

관련 최신글

표지_CBPR

안녕하세요. 개인정보보호 파트너 캐치시큐입니다.

혹시, CBPR에 대해 들어본 적이 있으신가요? GDPR은 아는데, CBPR은 무엇인지 잘 모르시겠다고요?

 

CBPR은 Cross Border Privacy Rules의 줄임말로, EU의 개인정보 보호법인 GDPR과 달리 APEC(아시아-태평양 경제 협력체) 회원국이 공동으로 개발한 기업의 개인정보 보호 체계를 평가하는 글로벌 인증제도입니다.

2022년 12월, 국내에서 만 3년만에 처음으로 CBPR 인증을 받은 기업이 나왔는데요. 이처럼 APEC에서 사업을 펼치고자 하는 기업들이 CBPR 인증에 관심을 가지고 있다고 합니다.

오늘은 CBPR 인증이 무엇인지, 인증 취득 절차와 참고 사항에 대해 알아보겠습니다.

 

 

Check!

  1. CBPR 인증 자세히 알아보기
  2. 인증 대상 및 기준
  3. 인증 심사 절차
  4. CBPR 특징 및 효용 (feat. ISMS-P와 무엇이 다른가요?)
  5. 마치며

 

1. CBPR 인증 자세히 알아보기

 

앞서 간단히 설명했던 CBPR 인증에 대해 자세히 알아보겠습니다.

APEC CBPR이란 APEC Privacy Framework에 포함된 *9가지의 개인정보보호 원칙을 기반으로 기업의 개인정보 보호 체계를 평가하여 인증하는 글로벌 인증제도입니다.

* 9가지 개인정보보호 원칙이란?

고지, 수집 제한, 목적 내 이용, 선택권, 무결성, 보호대책, 열람·정정, 책임성, 피해 구제

 

APEC 회원국 간 신뢰할 수 있는 개인정보 이전 체계를 마련하여, APEC 권역 내 디지털 경제의 활성화를 도모하기 위해 마련되었는데요. 현재는 한국·대만·멕시코·미국·싱가포르·일본·캐나다·필리핀·호주 총 9개의 국가가 APEC CBPR 참여국으로 지정되어 있습니다.

 

또한 CBPR은 비대체성, 자발성, 유연성 그리고 활용중심성이라는 4가지의 특징을 가지고 있습니다.

CBPR은 개인정보의 국경 간 이동 등의 활동을 장려하기 위해 만들어진 보호체계라 활용성이 높습니다. 또한 강제성이 없기 때문에 각 국의 법·제도를 대체하지 않으며, 각 국가의 기업이 자발적으로 인증을 취득하는 형태를 취하고 있어요. 또한 각 국의 법·제도 환경에 맞게 제도를 운영할 수 있기도 합니다.

 

 

2. 인증 대상 및 기준

 

CBPR의 인증 신청 대상은 개인정보 보호법의 적용을 받는 기업으로 한정되는데요.

인증을 받고자 하는 기업은 CBPR 인증 기준에 따른 개인정보보호 관리체계를 수립하여야 합니다.

 

그렇다면, CBPR의 인증 기준은 어떻게 될까요?

CBPR의 인증 기준은 크게 6가지, 총 50개로 이루어져 있습니다.

 

표_CBPR 인증 기준

출처 : KISA 한국인터넷진흥원

또한, CBPR의 정책에 따라 인증 신청 기업은 주로 사업 기반을 둔 관할권 소재 인증기관에 인증심사를 신청하여야 합니다. 공통의 프라이버시 정책을 갖는 다국적 기업은 본사가 인증 신청 기업이 되며, 계열사 또는 자회사를 인증 범위에 포함하게 됩니다. 다만, 외국 소재 자회사는 현지 인증기관을 통해 인증심사의 신청이 가능하나, 이 경우에는 인증범위에 본사를 포함할 수 없게 됩니다.

추가로, 단순 개인정보 수탁 업무를 인증범위로 한 CBPR 인증심사 신청은 불가하니, 참고하시기 바랍니다.

 

 

3. 인증 심사 절차

 

총 50가지의 인증 기준을 지닌 APEC CBPR은 다음과 같이 이루어져 있는데요.

그림_CBPR 인증절차
출처 : KISA 한국인터넷진흥원

인증을 위해서는 준비단계 → 심사단계 → 인증단계 총 3가지의 단계를 거쳐야 합니다.

 

기업이 CBPR 인증을 받기 위해서는 인증 기준에 맞는 관리체계를 최소 1개월 이상 운영한 상태여야 합니다. 관리체계를 운영하고 있는 경우, APEC CBPR 인증 심사를 신청할 수 있게 되는데요. 준비 단계에서는 CBPR 신청서·명세서·인증기준 자가평가지 등을 작성하여 제출해야 합니다. 이후 인증 기관인 KISA 한국인터넷진흥원측에서 인증 범위 및 준비상태에 대한 예비점검을 시행하여 심사 진행 여부를 결정합니다.

 

심사 단계에서는 서면심사·담당자 인터뷰 2가지로 나누어 진행되는데요. KISA에서 약 3일에 걸쳐 인증 기준 충족·관리체계 수립 및 이행 여부를 심사하여 결함 보고서를 작성합니다. CBPR 신청 기업은 보고서를 확인하여 보완조치 및 보완 내역서를 제출하여 보완조치를 완료하여야 합니다.

마지막인 인증 단계에서는 KISA 측에서 심사결과 보고서를 작성하고, 인증위원회를 개최하여 CBPR 인증서를 발급해줍니다. 이때, 신청 기업은 인증서를 수령하게 되는데요.

CBPR의 유효기간은 1년으로, 만일 갱신을 희망할 경우 만료 3개월 전 갱신심사를 신청하여야 합니다.

 

만일 기업에서 CBPR을 취득하게 되면, 의무적으로 CBPR 인증 유효기간 내 개인정보 보호 관리체계를 유지·관리하여야 하며, 인증 취득 범위와 관련한 개인정보 민원이 발생할 경우 민원 관리와 더불어 민원 해결을 위해 협력하여야 하는데요. 인증을 취득할 경우 APEC CBPR 홈페이지 국별 인증 취득 현황에 취득 내역이 게시되기도 합니다.

 

 

4. CBPR 특징 및 효용 (feat. ISMS-P와 무엇이 다른가요?)

 

마지막으로, CBPR의 특징과 그 효용에 대해 짚어보도록 하겠습니다.

아무래도, CBPR이 글로벌 개인정보 인증체계이기 때문에, 국내에서의 중요도가 높은 정보보호 및 개인정보보호 관리체계인 ISMS-P와 자주 비교되는데요.

CBPR은 ISMS-P와 비교했을 때 아래와 같은 특징을 지니고 있습니다.

그림_CBPR, ISMS-P 비교
출처 : KISA 한국인터넷진흥원

 

CBPR 요건 중 아직까지 국내법과 상이한 부분도 있지만, ISMS-P와 비교했을 때 상대적으로 취득 난이도가 낮기 때문에, 어렵지 않게 인증 취득이 가능할 것으로 보입니다.

📌 아직 ISMS-P가 무엇인지 모르시나요? ISMS-P 알아보러 가기

 

CBPR 인증 취득을 취득할 경우, 크게 3가지의 효용을 기대할 수 있습니다.

  • 개인정보 보호체계에 대한 기업의 글로벌 신뢰도 제고
    • APEC 기준의 개인정보보호 체계를 갖추었음을 대외적으로 알리게 되어, 개인정보보호 신뢰 기업에 대한 이미지를 제고할 수 있습니다.
  • 개인정보 보호 수준 확인 비용 절감
    • 해외 제휴사, 수탁사 등을 선정할 경우 CBPR 인증 여부를 통해 기업의 개인정보보호 수준 확인을 위한 비용과 시간이 절감됩니다.
  • 개인정보의 자유로운 국외 이전 처리 (일부 국가 적용)
    • 일본과 싱가포르의 경우 자국법에 따라 CBPR 인증 기업의 경우 보호 수준을 인정하여 개인정보에 대한 이전을 허용합니다.

 

 

5. 마치며

 

이번 글에서는 CBPR이 무엇인지, CBPR 인증 취득에 대한 사항들을 알아보았습니다.

저희 캐치시큐는 해외를 대상으로 하는 서비스에도 즉각적으로 대응할 수 있도록 영문 버전의 동의서와 처리방침 또한 제공하고 있습니다.

 

관련하여 궁금한 점이 있으시다면, 개인정보 전문가와의 무료상담을 신청하시기 바랍니다.

APEC 국가로의 진출도, 캐치시큐와 함께하세요!

감사합니다.

 

 

           

 

# 인사이트
관련 최신글
인기글

개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신가요? 언제든지 문의주세요!
개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신 가요? 언제든지 문의주세요!
메뉴
error: 컨덴츠는 보호됩니다.