보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
CBPR(Cross Border Privacy Rule) 인증제도란?
22년 5월 3일부터, 개인카지노 입플보호위원회는 한국인터넷진흥원(KISA)와 공동으로 CBPR 인증 제도를 도입,운영한다고 밝혔습니다. 이로서, 국내 기업들이해외 기관을 통하지 않고 CBPR인증을 받을 수 있게 되었습니다.
이에 이스트시큐리티에서는 CBPR인증은 무엇이며 어떠한 효용성이 있는지 간략히 설명해 드리고자 합니다.
CBPR이란, 국경간 프라이버시보호규칙(Cross Border Privacy Rule)의 약자로 2011년 APEC이 전자상거래의 활성화와 회원국 간 안전한 개인카지노 입플의 상호 이전을 위해 개발한 글로벌 개인카지노 입플보호 자율인증제도 입니다.
APEC회원국에한하여CBPR가입신청이가능하며,현재(22년5월현재))회원국은총9개국가(미국,멕시코,일본,캐나다,한국,호주,싱가포르,대만,필리핀)입니다.
'APEC 프라이버시 프레임워크(APF)'에 포함된 9개 원칙을 기반으로 개발되었으며, 총 50개 인증 기준으로 구성되어 있습니다.
APEC Privacy Framework | 설명 | CBPR 인증 기준 (50개) |
고지 (Notice) | '사전 혹은 동시'에 고지를 제공할 것을 규정하고 있고, 경우에 따라 '사후 고지' 가능 | 개인카지노 입플보호 정책 고지 항목, 고지 방법 등 |
수집제한 (Collection Limitation) | 수집 목적에 관련된 카지노 입플를 합법적이고 공정하게 수집하고, 적절한 경우 동의를 받아야 함 | 개인카지노 입플 수집 방법, 수집 최소화, 합법적 수집 등 |
개인카지노 입플 이용 (Uses of Personal Information) | 수집 목적과 양립 가능하거나 관련된 목적으로 이용 | 수집 목적 내 이용,위탁,제3자 제공 등 |
선택 (Choice) | 적절한 경우 카지노 입플주체에게 수집, 이용, 제공에 대한 선택권 부여 | 카지노 입플주체의 수집, 이용, 제공에 대한 선택권 제공방법 등 |
개인카지노 입플의 무결성 (Integrity of Personal Information) | 카지노 입플의 정확성, 완정성, 최신성 확보 | 개인카지노 입플의 최신,정확,완전성을 위한 정정, 수탁자 통지 등 |
보안조치 (Security afeguards) | 위험 발생 가능성과 심각성, 카지노 입플의 민감성에 비례하여 적절히 조치 * 구체적 보호조치 기준 없음 | 개인카지노 입플의 민감성, 침해가능성 및 침해의 심각성에 비례한 보호조치, 보호조치에 대한 평가 등 |
열람,정정 (Access and Correction) | 카지노 입플주체의 요청이 있을 시 개인카지노 입플의 열람,정정 등이 가능하나, 과도한 비용이 수반되거나 상업적 비밀로 보호되어야 하는 경우 제외 | 카지노 입플주체의 열람, 정정, 삭제 요청에 대한 절차 등 |
책임성 (Accountability) | 개인카지노 입플를 이전하는 경우, 동의를 받거나 개인카지노 입플를 이전받는 기관(개인)의 보호 수준을 실사하고 합리적 조치 이행 | 책임자 지정, 민원처리 및 피해구제 절차, 수탁자 및 제3자에 대한 관리,감독 방법 등 |
피해 구제 (Preventing Harm) | 구제조치는 피해의 개연성과 심각성에 비례하여 취해져야 함 | (책임성 등 다른 항목에 '피해 구제'에 대한 사항 내포) |
GDPR은 유럽연합(EU)의 개인카지노 입플보호 법령으로, 회원국 간 개인카지노 입플보호 법제가 달라 기업들의 활동에 문제가 발생하자 강력하고 통일적인 개인카지노 입플보호 규제를 하기 위하여 제정하였습니다.
GDPR은 유럽 내 기업에만 적용되는것이 아니라, EU역내에 자회사를 두었거나 EU에 서비스를 제공하고 개인카지노 입플처리에 대한 위탁을 받은 모든 기업들에게 적용됩니다.
▶
CBPR과 GDPR의 주요 개념을 비교해 보자면 다음과 같습니다.
구분 | CBPR | GDPR |
목적 | 회원국 간 카지노 입플 흐름을 원활하게 하고 지속적인 무역 및 경제 성장을 보장하기 위한 효과적인 개인카지노 입플 보호를 목표로 함 | 자연인들의 기본적 권리와 자유, 특히 개인카지노 입플보호건의 보호와 개인카지노 입플의 자유로운 이동의 보장을 목적으로 함 |
적용범위 | APEC 회원국 법률 범위 내 | EU 회원국 법률 범위 내 |
개인카지노 입플의 수집, 보유, 처리, 사용, 전송 또는 공개하는 공공 및 개인 또는 민간 조직에 적용 | - 자동화된 방법으로 전체/부분적으로 개인카지노 입플를 처리하는 경우 적용 - EU 역내 처리 여부에 관계없이 EU 내의 카지노 입플처리자 또는 수탁처리자의 사업장의 활동에 따른 개인카지노 입플 처리에 적용 - 특히 EU내에 설립되지 않은 카지노 입플처리자 또는 수탁처리자의 경우라도, EU 역내에 거주하는 카지노 입플주체에게 재화나 서비스를 제공하는 경우나 카지노 입플주체의 행동을 모니터링 하는 경우 적용 | |
개인카지노 입플 | 식별되거나 식별 가능한 개인에 관한 모든 카지노 입플 | 식별된/식별 가능한 자연인과 관련된 일체의 카지노 입플 |
개인카지노 입플처리자 | 개인카지노 입플의 수집, 보유, 처리, 사용, 전송 또는 공개하는 개인이나 조직 | 개인카지노 입플의 처리목적 및 수단을 결정하는 자연인 또는 법인, 공공 기관, 기타 단체 |
수탁처리자 | 적용되지 않음 | 적용됨 |
CBPR은 개인카지노 입플처리자에게 적용되고 수탁처리자에게는 적용되지 않음 | - 제28조(수탁처리자) - 제29조(카지노 입플처리자 및 수탁처리자의 권한에 따른 처리) |
CBPR 인증은 글로벌 인증으로, 인증획득을 통해 APEC 기준의 개인카지노 입플보호 체계를 갖췄다는 인정을 받을 수 있습니다.
또한일본, 싱가포르의 경우 CBPR을 자국의 개인카지노 입플보호법과 동등한 수준의 보호체계로 인정하였으며, 이에 CBPR인증 기업은 이러한 국가들에서 카지노 입플주체 동의 등 추가적인 절차 없이 개인카지노 입플의 국경간 이전이 가능하여 업무 효율성 증대가 기대됩니다.
CBPR의 인증 기준 중 대부분이 국내의 개인카지노 입플보호법에 포함되어 있는 내용이기 때문에, ISMS-P 의무 인증 기업이라면 인증심사를 통과 하는데 큰 어려움이 없을 것으로 예상됩니다.
참고 :
KIEP기초자료21-13APECCBPR운영및논의동향과시사점.pdf
2017년해외개인카지노 입플보호동향분석.pdf