CBPR 인증심사 후기

CBPR은 APEC 프라이버시 보호 원칙에 기반해 APEC 회원국 간 자유롭고 안전한 개인정보 이전을 지원하기 위해 개인정보 보호체계를 평가하는 글로벌 인증제도다. 국내에서는 아직 CBPR 인증서를 받은 기업이 6개뿐이며 인증 준비 기업이 많지 않음에도 최근 운좋게도 CBPR 인증심사에 참여할 수 있는 기회를 얻어 심사를 하고 왔다.

CBPR 인증심사에 참여해본 결과 ISMS 인증심사와는 다음과 같은 차이점이 있다.
1) 인증심사가 끝나고 3일간 신청기업의 이의제기 절차를 갖는다.
 - 종료회의때 결함여부에 대한 옳고 그름을 따지지 않는다.
 - 마지막날 결함보고서에 심사원 사인을 하지 않는다.(이의제기 절차 후 결함확정 시 서명 후 메일로 제출)
 - 이의제기에 대한 답변은 심사원이 아닌 KISA에서 한다.

2) 향후 결함 개선이 적절히 되었는지에 대한 심사원의 검토 절차가 있다.
 - 3일간 온라인으로 검토하면 1일 치의 자문료를 지급한다.

3) CBPR은 조치 기한내에 모두 조치해야 한다.
 - 경영진 승인을 받은 조치 계획 등을 인정하지 않는다.(정확하게 기억이 나지않아 틀린 정보일 가능성 있음)

4) CBPR 인증 심사 경험이 있는 심사원을 대상으로 인증위원회에 참여할 수 있는 기회를 부여한다.

 

5) ISMS 인증기준과는 달라 주의해서 봐야하는 인증기준 들이 일부 있다.

 - 2.3.3 수집 고지_위탁/제공 : 정보주체에게 개인정보 수집 시점에 개인정보를 위탁하여 처리 할 수 있음을 고지 필요

 - 5.2.1 수탁사에 통지, 5.2.2 제3자에 통지, 5.2.3 수탁사로부터 통지 : 개인정보가 부정확, 불완전한 경우 이 사실을 서로 간에 통지하는 체계 마련 필요

 - 6.3.3 수탁사 보호조치 요구 사항 : 개인정보 침해 발생 시 신청인에게 통지 요구

 

작년 10월에 있었던 CBPR 인증심사원 양성 교육에서 인증기준에 대한 교육을 받았으나 기억이 잘 나지 않아 개인정보보호 국제협력센터에서 'APEC CBPR 인증 안내서'를 다운로드해 정독한 게 심사에 큰 도움이 된 것 같다. 이번 인증심사원 선정을 통해 기회를 잡기위한 사전 준비의 중요성을 다시 한번 느낄 수 있었다. 틈틈이 심사에 참여해 선임심사원이 되지 않았더라면, 인증심사원 양성 교육에 참여하지 않았더라면 얻을 수 없었던 기회 들이라, 참여만으로도 큰 기쁨이었고 심사 기간 내내 즐거움을 유지할 수 있었다.