“원드라이브와 쉐어포인트를 이용한 GDPR 규정 준수하기”의 두 번째 블로그입니다.
(1)편에서는 원드라이브 및 쉐어포인트에 저장된 고객의 개인 정보, 데이터 위치 및 사용 여부 등과 관련한 개인 데이터를 세부적으로 제어하는 방법에 대해 이야기를 나누었습니다.
(2)번째 블로그에서는 GDPR이 정의하고 있는 사용자 개인정보 데이터 관리의 투명성 및 가시성 (예, 고객 데이터가 완벽하게 삭제되었는지 여부를 확인하는 방법, 오피스 365가 데이터 접근, 보관 등의 정책 관리 등)을 확보하는 방법을 정리했습니다.
둘, 데이터 삭제를 요청했을 때 자신의 데이터가 백업 자료뿐만 아니라 모든 복사본이 모두 삭제되었는지 확신할 수 있는 방법은 무엇인가요?
결론부터 말씀드리면, 이 이슈는 고객이 완벽하게 통제 할 수 있는 사안입니다 :
• 오피스 365 사용 기업은 고객 데이터 및 사용자가 만든 컨텐츠의 라이프 사이클을 관리할 수 있습니다. 관리자와 최종 사용자는 익숙한 방법이나 관리 도구를 통해 명확하게 데이터를 추가, 수정 및 삭제할 수 있습니다. 관리자는 원드라이브와 쉐어포인트에 저장된 콘텐츠의 보존 정책을 사용자별로 설정할 수 있죠. 데이터를 완전히 제거하거나 장기간 보존하는 방법도 가능합니다.
• 오피스 365에서 동기화된 계정 데이터는 – 라이선스 종류에 따라 – 최종 사용자가 가진 권한을 결정하는 데 사용됩니다. 이 데이터는 사용자 계정의 라이프 사이클을 따릅니다. 오피스 365 관리자는 사용자 계정 추가, 수정 및 삭제가 가능하고, 변경 사항은 비즈니스용 원드라이브 설정값에 바로 반영됩니다.
• 제품 및 서비스 사용 현황 관련 데이터는 GDPR 데이터 주제 요청을 준수하도록 설계된 수명주기를 따릅니다.
• 마지막으로 사용자의 암호화 키를 이용한 고급 암호화를 적용하면 오피스 365 관리자는 해당 데이터가 암호화되고 해당 데이터에 Microsoft가 접근할 수 없다는 확인할 수 있습니다.
셋, DPIA는 무엇이고 고객 데이터 보안을 어떻게 보장되나요?
데이터 보호 영향 평가 (DPIA)는 GDPR 제35조에 규정된 필수 요건입니다. 즉, DPIA는 회사의 새로운 자산이나 프로젝트에 대해 ‘설계 단계부터 적용된 개인 정보 정책’ 는 물론 ‘기본적 개인 정보 정책’에 대한 준수 여부를 확인하는 역할을 합니다. ‘기본적인 개인 정보 정책’은 사용자가 새로운 제품이나 서비스를 구매하면 가장 엄격한 개인 정보보호 설정이 자동으로 적용된다는 것을 의미합니다. 즉, 사용자가 개인 정보 설정을 수동으로 변경하지 않아도 됩니다. 개인 정보는 기본적으로 제품 또는 서비스를 제공하는 데 필요한 기간 동안에만 보관되어야 하기 때문에 일시적으로 이 원칙이 적용됩니다.
설계 단계부터 적용된 개인 정보 정책은 사용자 개인정보를 이용하는 신규 서비스나 업무 프로세스는 반드시 개인 정보 데이터를 보호할 수 있는 수단이 강구되어야 한다는 것을 의미합니다. 해당 기업은 적절한 보안을 유지해야 하고 관련 규정 준수 여부가 항상 모니터링되고 있음을 증명해야 합니다. 이것은 IT 부서가 신규 IT 시스템 또는 프로세스 설계 시점부터 소비자의 개인 정보 보호를 위한 방법과 프로세스를 고려해야 한다는 것을 말합니다. 향후 GDPR은 물론 관련 규정들이 더욱 강화될 것이기 때문에 온-프레미스 방식으로 IT환경을 운영하는 기업들의 고민은 더욱 깊어질 것 같습니다.
Microsoft는 원드라이브와 쉐어포인트를 포함한 오피스 365 서비스의 DPIA를 정기 수행합니다. 그리고 고객의 실수, 고의 또는 불법 접근, 공개, 변경, 손실 및 파손으로부터 고객 데이터를 보호하기 위해 엄격한 통제, 조치 방안 및 기술 그리고 조직 모델을 구성해 운영하고 있습니다. 아래는 그와 관련하여 오피스 365 데이터센터가 어떻게 운용되는지 설명한 내용들입니다:
• Microsoft 데이터센터 접근은 허가된 직원에게만 제한되며 생체 인식기, 모션 센서, 24 시간 보안 액세스, 비디오 카메라 감시 및 보안 위반 경보와 여러 단계의 물리적 보안 시스템을 갖추고 있습니다.
• 데이터센터와 사용자간 데이터 전송에 있어 암호화 기능을 적용합니다. 최종 사용자 가명 정보(EUPI)는 FIPS140-2 규정의 요건에 따라 모두 암호화됩니다.
• 새롭게 적용되는 모든 상업적 기능, 서비스 및 프로세스에 대한 내부 개인정보 보호, 준수, 보안 및 법적 검토가 이뤄집니다.
• 마지막으로 모든 서비스는 온라인 서비스 약관 (OST)에 명시된 해당 준수 프레임 워크를 충족시키기 위해 독립적으로 검증됩니다. 관련 프레임 워크에는 FedRAMP, SOC 및 ISO 등이 포함됩니다.
고우아이티 컨설팅 담당 이은주 부장
02-462-5365 | gocloud@gowit.co.kr
https://cloud.gowit.co.kr
GowIT는 기업 환경에 최적화된 클라우드 서비스와 지원을 제공합니다.