KISA "연내 CBPR 인증 기업 나올 것"…CBPR 가입 5년 만에 '첫발'

정부, 2017년 '자율인증' CBPR 가입…올5월부터 인증 접수
CBPR 인증땐 참여국서 사업추진시 대외 신뢰도 확보 용이

CBPR와 ISMS-P의 차이점 (KISA 제공)

(서울=뉴스1) 오현주 기자 = 정부가 지난 5월부터 정식 운영한 '국경 간 프라이버시 규칙'(CBPR·Cross-Border Private Rules) 제도의 인증을 받는 국내 기업이 연내 등장할 전망이다. 한국이 지난 2017년 CBPR에 가입한지 5년 만이다.

CBPR은 아시아·태평양경제협력체(APEC) 회원국 간 데이터 활용을 장려하기 위해 만든 것으로, 개인정보보호 관리체계에 대한 평가인증 제도다.

19일 한국인터넷진흥원(KISA)에 따르면, 오는 12월 말까지 인증 기업이 최소 1개 이상 나올 것으로 예상된다. 앞서 KISA는 올상반기 국내 기업들로부터 CBPR 인증 신청을 받았다.

정태인 KISA 개인정보협력팀장은 이날 "KISA는 CBPR 인증기관으로 2019년 승인받았지만, CBPR 제도는 올해부터 실질적으로 진행됐다"며 "연내 1개 이상의 인증 기관이 나올 것"이라고 말했다.

정 팀장은 "국내 기업의 (CBPR 인증에 대한) 수요가 없었던 게 아니라, 올 5월부터 신청을 받았다"며 "기관이 유럽의 GDPR(지디피알) 인증의 적정성 검사에 집중해 그간 CBPR 인증을 받은 기업이 없었다"고 말했다.

CBPR은 현재 국내에서 시행 중인 '정보보호·개인정보보호 관리체계 인증'(ISMS-P)과 유사하지만 다르다. ISMS-P는 정보통신망법 및 개인정보보호법에 근거를 둔 법정 인증 제도이지만, CBPR은 순수 자율인증제도다. 인증 난이도 역시 ISMS-P가 더 높다.

하지만 CBPR 인증을 받은 기업은 미국·일본·싱가포르·대만 등 CBPR 참여국을 대상으로 사업을 할 경우 대외 신뢰도를 높을 수 있다고 KISA 측은 설명했다. 기업의 개인정보보호 수준을 확인하는데 드는 시간과 비용도 줄일 수 있는 것도 특징이다.

현재 CBPR 인증에 관심을 보이고, 인증 심사를 받고 있는 기업에는 개인정보의 해외이전이 필요한 게임 등 정보기술(IT)·물류분야 기업도 포함된 것으로 알려졌다.

이같은 인증 취득 희망 기업에게는 체계적인 내부 개인정보 업데이트 체계가 권고된다.

정태인 팀장은 "국내법에 포함되지 않은 내용이지만, 희망 기업은 제3자·수탁사 간 개인정보 업데이트 체계를 구현해 내부 정책에 반영할 필요가 있다"고 말했다.

개인정보의 제3자 제공 이후 정정이 이뤄질 때, 이러한 정정 사실을 개인정보를 받은 사람에게 통지하는 체계를 마련해야 한다는 것이다.

수탁사가 처리하는 개인정보가 부정확·불완전하고 최신 상태가 아님을 파악할 때, 이를 수탁사로부터 통지받는 체계를 마련해야한다는 의미도 포함됐다.

KISA 측은 걸음마 단계인 국내 'CBPR' 활성화를 위해 인증심사위원 교육·해외기관 간 교류에 힘쓰겠다는 계획이다.

정 팀장은 "지난 10월 개최한 인증심사원 양성 교육은 ISMS-P 선임 심사원 자격으로 참여를 제한했는데, 이제는 심사원 및 심사원보 대상으로 자격제한을 완화할 것"이라며 "국내 인증심사 난이도는 해외 CBPR 인증기관 대비 높은 수준인 점을 고려해 인증기관과 형평성 확보를 위한 절차 표준화 등을 논의할 것"이라고 말했다.

woobi123@news1.kr