CPPG 공부 범위 기준 작성하였습니다.
1. APC CBPR이란
APEC 프라이버시 보호 원칙을 기반으로 기업의 개인정보 보호 체계를 평가하여 인증하는 글로벌 인증제도로, APEC 회원국 간 자유롭고 안전한 개인정보 이전을 지원하기 위해 APEC 회원국이 공동으로 개발
2. CBPR의 개인정보 보호 원칙
APEC은 회원국 간 자유롭고 신뢰할 수 있는 교역을 위해 ‘APEC 프라이버시 프레임워크(APEC Privacy Framework, APF)’를 개발하여 개인정보 이전 원칙과 체계를 수립하였다(2005년). APF는 고지, 수집 제한, 목적 내 이용, 선택권, 무결성, 보호대책, 열람·정정권, 책임성, 피해 구제 등 9가지 프라이버시 원칙을 담고 있다. CBPR은 개인정보 처리 시 이러한 9원칙을 이행하기 위한 50개의 인증기준(requirements)이다.
APEC 프라이버시 9 원칙
| ① 고지 | 개인정보 처리에 대한 사전 고지 |
| ② 수집 제한 | 수집 목적과 관련된 정보를 합법적이고 공정하게 수집, 적절한 경우 동의 획득 |
| ③ 목적 내 이용 | 수집 목적과 양립가능(compatible)하거나 관련(related)된 목적 내 이용 |
| ④ 선택권 | 적절한 경우 정보주체에게 수집·이용·제공에 대한 처리 제한권 부여 |
| ⑤ 무결성 | 개인정보의 정확성, 완전성, 최신성 유지 |
| ⑥ 보호대책 | 피해 발생 가능성과 심각성, 정보의 민감성에 비례한 보호조치 이행 |
| ⑦ 열람·정정 | 정보주체의 개인정보 열람·정정·삭제권 보장 |
| ⑧ 책임성 | CBPR 원칙을 이행할 수 있는 내부 및 수탁사 등에 대한 책임성 있는 관리체계 수립·이행 |
| ⑨ 피해 구제 | 개인정보 오용 방지를 위한 설계, 피해의 개연성과 심각성에 비례한 피해 구제 조치 |
3. CBPR 인증 신청 범위
- 기업이 CBPR 인증을 취득하려면 원칙적으로 CBPR 신청인이 속한 국가가 CBPR에 가입하여야 하며, 해당 국가의 인증기관을 통해 인증을 받을 수 있다. CBPR에 가입한 국가이나 인증기관이 지정되지 않는 등의 경우에는 다른 나라의 인증기관을 이용할 수도 있는데, 다만 이러한 경우에도 타국의 인증기관의 행위를 규율할 수 있는 자국의 관련 법령 등이 있어야 하며, 이에 대해 APEC의 인정을 받아야 한다.
- 또한 자국에 인증기관이 있다고 하더라도, 모든 기업이 CBPR 인증대상이 되는 것은 아니다. 해당국이 CBPR 가입 시 승인받은 관련 법령의 적용 범위에 대해 인증이 가능하며, 따라서 우리나라의 경우 현재 CBPR 가입 관련 법령인 개인정보 보호법 적용 대상 기업이 인증 신청이 가능하다. APEC의 CBPR 운영 규정에 따라 정부기관은 인증 대상이 아니다.
4. CBPR 인증심사 절차: 상세 내역 정독
5. 인증서 갱신 신청
- CBPR 체계 인증의 유효기간: 1년
- 갱신심사: 인증 유효기간 만료 약 2~3개월 이전에 신청
6. CBPR 인증 기준: 숙지
| 분야(6) | 세부 항목(50) | |
| 1. 개인정보 관리 체계 수립(2) |
1.1 정책 수립 | 1.1.1 CBPR 이행 근거 규정 |
| 1.2 책임자 지정 | 1.2.1 개인정보 보호 책임자 지정 | |
| 2. 개인정보 수집(9) |
2.1 최소 수집 |
2.1.1 개인정보 수집 경로 |
| 2.1.2 개인정보 최소 수집 | ||
| 2.1.3 합법적 수집 | ||
| 2.2 개인정보 처리방침 | 2.2.1 개인정보 처리방침 공개 | |
| 2.3 수집 시 고지 |
2.3.1 수집 고지_수집항목 | |
| 2.3.2 수집 고지_수집목적 | ||
| 2.3.3 수집 고지_위탁/제공 | ||
| 2.3.4 선택권 고지_눈에 띄게 표시 | ||
| 2.3.5 선택권 고지_쉽게 설명 | ||
| 3. 개인정보 이용/제공/위탁(7) |
3.1 이용 |
3.1.1 목적 내 이용 |
| 3.1.2 목적 외 이용 | ||
| 3.2 제공/위탁 |
3.2.1 제공 여부 | |
| 3.2.2 위탁 여부 | ||
| 3.2.3 목적 내 제공/위탁 | ||
| 3.2.4 목적 외 제공/위탁 | ||
| 3.3 자료 제출 요구대응 | 3.3.1 자료 제출 요구 대응 | |
| 4. 정보주체 권리(11) |
4.1 열람권 |
4.1.1 개인정보 보유 여부 확인권 |
| 4.1.2 열람권 | ||
| 4.2 정정/삭제권 | 4.2.1 정정/완성/삭제권 | |
| 4.3 선택권 |
4.3.1 수집 제한 | |
| 4.3.2 이용 제한 | ||
| 4.3.3 제3자 제공 제한 | ||
| 4.3.4 선택권 행사 | ||
| 4.3.5 선택권 조치 | ||
| 4.4 민원제기 |
4.4.1 민원 처리 절차 | |
| 4.4.2 민원 처리 기한 | ||
| 4.4.3 민원 처리 | ||
| 5. 무결성(5) |
5.1 최신성 유지 |
5.1.1 최신성 검증 |
| 5.1.2 최신화 | ||
| 5.2 최신정보 공유 |
5.2.1 추탁사에 통지 | |
| 5.2.2 제3자에 통지 | ||
| 5.2.3 수탁사로부터 통지 | ||
| 6. 보호 대책(16) |
6.1 보호대책 수립/이행 |
6.1.1 보호대책 수립 |
| 6.1.2 보호대책 구현 | ||
| 6.1.3 비례적 보호대책 | ||
| 6.1.4 보호대책 이행 | ||
| 6.1.5 보호대책 요구사항 | ||
| 6.2 보호대책 평가/개선 |
6.2.1 보호대책 평가 | |
| 6.2.2 보호대책 개선 | ||
| 6.3 수탁사의 보호대책 |
6.3.1 수탁사 보호체계 | |
| 6.3.2 수탁사 보호대책 | ||
| 6.3.3 수탁사 보호조치 요구사항 | ||
| 6.3.4 수탁사 관리ㆍ감독(자체평가) | ||
| 6.3.5 수탁사 관리ㆍ감독(현장점검) | ||
| 6.4 제3자의 보호대책 | 6.4.1 제3자의 보호조치 | |
| 6.5 파기 | 6.5.1 파기 | |
| 6.6 임직원 인식제고 |
6.6.1 임직원 인식제고 | |
| 6.6.2 임직원 교육 |
'개인정보보호법 > CPPG_38회_기준' 카테고리의 다른 글
| 정보통신망법 3단비교 (0) | 2023.03.08 |
|---|---|
| 개인정보보호법 3단비교 (0) | 2023.03.08 |
| GDPR 가이드북 핵심 용어 (0) | 2023.03.08 |
| EU-GDPR 주요 내용 (0) | 2023.03.08 |
| 개인정보처리자 유형 및 보유량에 따른 안전조치 기준 (0) | 2023.03.08 |