BS10012 : 개인정보 경영 시스템 취득 가이드

BS10012, 유럽 및 아태지역 등의 개인정보보호 요구사항 포함

[보안뉴스=서정호 영국표준협회 선임심사원] 2009년 영국 국가표준을 제정하는 영국표준협회(BSI : British Standards Institution)에서는 개인정보의 안전한 보호 및 관리를 위한 표준인 BS10012를 제정해다. BS10012는 개인정보보호를 위한 유일한 글로벌 표준으로 EU 개인정보보호 지침, OECD 개인정보보호 8원칙, Data Protection Act of UK, Global Best Practice 등을 기반으로 제정된 Personal Information Management System(PIMS)이다.

영국표준협회(BSI)가 제정해 온 다양한 영국 표준(BS : British Standard)들은 기업이나 사회 또는 법적 측면에서도 영국에 국한되지 않았기에 전 세계 많은 국가와 기업 등에서 표준으로 채택해 사용해왔으며, 그 결과 다양한 British Standard가 International Standard로 전환되었다.

이전에 제정한 다양한 영국 표준(BS : British Standard)들과 마찬가지로, BS10012도 조직의 Personal Information Management System(PIMS)이 특정 국가와 기업에 국한되지 않고 Global Best Practice를 만족하고 있음을 입증할 수 있도록 구성되어 있다.

BS10012 Framework

BS10012는 ‘6개 Domain - 49개 Requirement’로 구성되어 있으며, 각 requirement 내에는 개인정보의 안전하고 적법한 보호를 위해 필요한 Global Best Practice에 기반한 세부 요구사항들이 포함되어 있다.

▲BS10012 Domain & Requirements

BS10012는 조직의 Personal Information Management System(PIMS)에 BS10012 requirements가 효과적으로 반영되어 지속적으로 관리되고 있는지 확인하기 위해 아래의 PDCA(Plan-Do-Check-Act) Framework를 적용하였다.

BS10012에 적용된 PDCA(Plan-Do-Check-Act) Framework는 개인정보보호 및 관리를 위한 계획수립, 이행, 운영, 감시, 검토, 유지관리 및 지속적 개선이 효과적으로 수행될 수 있도록 한다. 또한 이 Framework는 ISO27001(정보보호관리 체계), ISO20000(정보기술-서비스 관리 체계), ISO22301(비즈니스 연속성 관리 체계), ISO9001(품질관리 체계), ISO14001(환경관리 체계) 등 다른 International Management System 및 Standard와 부합하도록 구성되어 있어, 다른 International Standard와 일관성 있고 통합된 이행 및 운영을 가능하게 한다.

이처럼 Global Best Practice에 기반한 BS10012의 requirements와 다른 International Standard와 통합 이행 및 운영이 가능한 Framework는 유연한 Personal Information Management System(PIMS)을 조직에 수립할 수 있게 함과 동시에 Personal Information Management System(PIMS)이 Global Best Practice에 따라 관리되고 있음을 입증할 수 있게 해준다.

BS10012 인증 획득 및 유지 조건

BS10012의 requirements를 기반으로 조직의 Personal Information Management System(PIMS)을 수립 및 운영하고 있다면, 이를 기반으로 BS10012 인증을 획득할 수 있다.

▲BS10012 인증 준비 프로세스(예시)

위 예시와 같은 BS10012 인증을 위한 준비 과정을 마치면 BS10012에서 필수적으로 요구하고 있는 다음의 산출물 등을 얻을 수 있다.

▲BS10012에서 요구하는 문서(예시)

위 예시 과정을 마치고 산출물 등에 대한 준비가 완료되면, 영국표준협회(BSI)는 인증서 발급을 위한 최초 심사(Initial Assessment)를 진행하게 되는데, 최초 심사의 경우 Stage-1과 Stage-2로 구분된다.

Stage-1은 Documentation Review라고 하며 BS10012에서 요구하는 문서들이 준비되었고, 요구하는 활동들이 문서화 되었는지 등이 검토된다. Stage-2는 Implementation Assessment라고 하며, 수립된 Personal Information Management System(PIMS)의 효과성과 개인정보 보호를 위한 policy, guide, process, procedure 등이 업무 프로세스에 반영되어 운영되고 있는지, 그리고 적용되는 법률과 규제를 준수하고 있는지 조직 전체를 대상으로 직접 확인하게 된다.

위의 Stage-1, Stage-2 심사를 통과하게 되면 BS10012 인증서가 발행되고, 이렇게 발행된 인증서는 3년의 유효기간을 갖게 된다. 최초 심사를 통과해 인증서를 발급 받게 되면, 인증서 유효기간이 만료되기 전 3년 동안은 일정 주기마다 BS10012 requirements에 부합되도록 Personal Information Management System(PIMS)이 지속적으로 운영되고 있는지를 사후 심사(Continual Assessment)를 통해 확인하게 되고, 3년이 도래하는 시점에는 인증서 유효기간의 연장을 위해 Stage-2와 유사한 수준의 갱신 심사(Renewal Assessment)를 진행하게 된다.

또한 어느 국가의 개인정보 법률이든 관계 없이 다양한 국가에서 현재 적용 받고 있는 다양한 개인정보 법률 개정 사항의 준수 여부도 BS10012 심사를 통해 지속적으로 확인 받을 수 있다.

마치며

완벽한 보안, 완벽한 개인정보보호란 없다. 모두가 완벽을 향해 가고자 하는 것일 뿐이다. BS10012인증! 아니, 모든 인증이 마찬가지이다. 인증을 획득했다 하여 해당 조직의 Personal Information Management System(PIMS)이 완벽하다는 것을 의미하는 것이 아니라 인증 획득 시점부터 완벽을 향해 지속적으로 개선하고 발전시키는 끝없는 노력이 필요하다.

BS10012는 EU, APEC, UK 등에서 요구하는 개인정보 보호를 위한 법적 그리고 규제적 요구사항들과 Global Best Practice를 포함하고 있다. 따라서 BS10012를 기반으로 한 Global Personal Information Management System을 수립한다면, 다양한 국가에서 발생하는 Global Compliance 이슈에 적절히 대응할 수 있으며 Personal Information Management System(PIMS)을 글로벌 요구사항 및 추세에 맞춰 지속적으로 개선하는데 도움이 될 것이다.

[글_서정호 영국표준협회(British Standards Institution) 선임심사원 (jungho.eso@bsigroup.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)