지난 5월 25일부터 GDPR (General Data Protection Regulation)이 본격 시행되었죠.
GDPR관련 블로그: http://gowit_sps.blog.me/221154278714?Redirect=Log&from=postView 업무상 EU 소비자의 개인정보를 다루는 모든 조직에게 적용되는 GDPR은 적용 범위와 영향력이 강하기 때문에 관련 기업들이 많은 고민을 하고 있다는 소문입니다. 그래서 저희 고우아이티에서도 관련 내용들을 여러 번 다루었습니다. 이미 시행되었지만 잘 준비하시기 바랍니다.
클라우드 서비스인 오피스 365는 오래 전부터 GDPR 준비를 해왔기 때문에 오피스 365 서비스 안에서 EU 소비자들의 개인정보 데이터를 저장 및 관리하는 기업은 고민거리가 별로 없다는 이야기를 앞선 블로그에서도 말씀 드렸죠. 오늘은 좀 더 구체적인 이야기를 해볼까 합니다. 유럽 뿐만 아니라 전 세계에서 고객의 개인정보 데이트를 관리하고 또 관련 규제 준수를 지키면서 사업의 위험성을 완전히 없애는 방법은 무엇일까요? GDPR 본격 시행 후 오피스 365의 비즈니스용 원드라이브 및 쉐어포인트가 어떻게 GDPR을 지원하는지에 대한 고객들의 질문이 많이 늘었는데 주요 내용은 다음과 같습니다:
하나, Microsoft는 어떻게 원드라이브 및 쉐어포인트에 저장되는 고객의 개인 정보, 데이터 저장 위치 및 사용 여부 등과 관련된 개인 데이터를 세부적으로 제어하나요?
• 잘 아시는 바와 같은 오피스 365 사용자들은 원드라이브와 쉐어포인트를 이용해 문서 및 자료를 저장하고 다른 사람과의 공유 및 공동 편집이 가능합니다. 최종 사용자 정보는 물론, 해당 데이터도 관리자와 최종 사용자의 직접적인 통제하에 있게 됩니다. 그리고 이 데이터는 오피스 365 고객이 전적으로 소유하게 됩니다. Microsoft는 온라인 서비스 조항 (OST)에 명시된 서비스를 완벽하게 지원하는 유일한 업체입니다. 자세한 내용은 https://www.microsoft.com/en-us/licensing/product-licensing/products.asp 를 참조 바랍니다.
오피스 365 관리자는 원드라이브에 연결된 사용자 계정의 사용 기간과 관련 정보의 수명 주기를 제어할 수 있는 정책을 개별적으로 설정할 수 있습니다. 예를 들어, 사용자가 퇴사를 한 후, 해당 사용자의 원드라이브에 저장된 데이터를 유지 혹은 삭제하는 정책을 만들 수 있죠. 또한 원드라이브 콘텐츠에 액세스하고 사용하는 사용자를 대상으로 한 파일 접근 및 공유 관련 정책을 설정할 수 있습니다.
• 사용자 계정 및 연락처 정보를 관리자와 사용자가 직접 제어할 수 있습니다. 그리고 이 권한은 제품 자체의 기능을 이용해서 언제든 수정이 가능합니다. 예를 들어 관리자는 비밀번호 변경을 요청할 수 있으며 사용자의 로그인 정보도 변경 가능합니다. 이 정보는 원드라이브 접근을 제어하는데 사용되며 쉐어포인트 및 오피스 365의 모든 환경에서 동일하게 사용할 수 있습니다.
• Multi-Geo는 원드라이브를 사용하는 기업이 데이터를 여러 지역의 데이터센터에 분산 저장할 수 있게 허용하여 데이터를 사용자들이 선택한 지역에 저장하고 사용자별로 관리할 수 있게 해주는 기능입니다. Microsoft는 고객의 요청없이 데이터를 이동할 수 없으며 아주 세부적인 수준에서 (예: 사용자별로 데이터 저장 위치를 제어) 제어할 수 있습니다. 각 사용자는 가장 가까운 서비스 위치에 연결되고, 자신의 지역에서 자신의 데이터를 이용하던 혹은 다른 곳에 저장된 다른 사람의 데이터를 이용하든지 언제나 다른 지역의 데이터와 연동합니다. 즉, 아주 작은 규모의 다국적 기업이라도 오피스 365를 사용하면서 GDPR이 요구하는 데이터 관리 요건을 충족 할 수 있다는 것을 의미합니다.
• 마지막으로 Microsoft는 GDPR를 준수하기 위해 데이터를 식별 및 관리하는 기능을 자사 클라우드 서비스에서 제공합니다. 또한 기업 고객의 각 조직이 원드라이브 및 쉐어포인트 데이터를 포함한 많은 종류의 데이터에 대한 접근 및 관리 정책을 구현하는 데 필요한 기능들을 제공합니다. 예를 들어, 오피스 365포털에 로그인해서 이용할 수 있는 Compliance Manager (블로그 링크: http://gowit_sps.blog.me/221217174216) 는 기업이 GDPR 준비를 위해 필요한 내용들을 가이드합니다. 그리고 Microsoft는 기업이 GDPR 마감 시한에 맞춰 GDPR 데이터 주체 요청 (DSR)을 관리 및 준수하는데 이용할 수 있는 오피스 365, 원드라이브 및 쉐어포인트 활용 가이드를 제공할 예정입니다. (상세 일정은 다시 공지할 예정이라고 하네요 ^^)
글을 마무리하기 전에 한 가지 근본적인 질문을 드릴까 합니다. 온-프레미스 방식으로 IT 환경을 운영하는 기업에서 GDPR을 구현하기 위해서 필요한 작업과 투자 범위는 어느 수준일까요? 기업의 상황과 수준에 따라 달라지겠지만, 위에서 언급된 내용들을 기존 IT시스템에 적용하기 위해서는 아마도 많은 시간과 노력 그리고 비용을 요구할 겁니다. 그리고 향후에 추가되는 GDPR 및 다른 신규 규제들에 대응하기 위한 시간과 비용 투자가 반복될 겁니다. 하지만, 우리가 현재 경험하고 있는 시장 및 비즈니스 변화의 속도를 생각해 보면, 기업의 위험 요소는 줄어들지 않을 것 같습니다. 한 기업의 대응 속도가 변화의 속도를 따라가기는 결코 쉽지 않으니까요.
이런 요소들도 기업들이 클라우드 플랫폼으로 전환해야 하는 이유가 아닐까 합니다. 다음 블로그에서는 원드라이브와 쉐어포인트의 GDPR 지원을 좀 더 세부적으로 알아보겠습니다.
고우아이티 컨설팅 담당 이은주 부장
02-462-5365 | gocloud@gowit.co.kr
https://cloud.gowit.co.kr
GowIT는 기업 환경에 최적화된 클라우드 서비스와 지원을 제공합니다.