GDPR 위반 알림

GDPR(일반 데이터 보호 규제)는 EU(유럽 연합) 회원국 국민에게 제품과 서비스를 제공하거나 귀하 또는 귀사가 어디에 있는지 관계없이 EU 거주자의 데이터를 수집하고 분석하는 조직에 새로운 규칙을 도입합니다. 추가 세부 정보는 GDPR 요약 항목에 있습니다. 이 문서에서는 Microsoft 제품 및 서비스를 사용하여 GDPR에서 위반 알림을 완료하는 방법에 대한 정보를 안내합니다.

GDPR에서 개인 데이터의 위반을 구성하는 요인은 무엇인가요?

개인 데이터는 개인을 직간접적으로 식별하는 데 사용할 수 있는 개인과 관련된 정보를 의미합니다. 개인 데이터 침해는 '개인 데이터가 전송, 저장 또는 처리되는 우발적이거나 불법적인 파괴, 손실, 변경, 무단 공개 또는 액세스로 이어지는 보안 침해'입니다.

용어

이 문서에서 사용된 GDPR 용어에 대한 유용한 정의:

  • 데이터 컨트롤러(컨트롤러): 개인 데이터 처리의 목적과 수단을 결정하는 법인, 공공 기관, 에이전시 또는 다른 사람과 독립적으로 또는 공동으로 작업하는 기타 단체입니다.
  • 개인 데이터데이터 주체: 식별되거나 식별 가능한 자연인(데이터 주체)과 관련된 모든 정보. 식별 가능한 자연인은 직접 또는 간접적으로 식별될 수 있는 사람입니다.
  • 프로세서: 컨트롤러를 대신하여 개인 데이터를 처리하는 자연인이나 법인, 공공 기관, 에이전시 또는 기타 단체입니다.
  • 고객 데이터: 비즈니스 운영의 일상적인 작업에서 생성되고 저장되는 데이터입니다.

Microsoft 및 위반 알림

Microsoft는 GDPR(일반 데이터 보호 규정)에 따라 의무를 다합니다. 보안 인시던트/데이터 침해는 Microsoft 장비 또는 Microsoft 시설에 저장된 고객의 데이터에 불법적으로 액세스하거나, 고객 데이터를 분실, 공개 또는 변경할 수 있는 권한이 없는 액세스와 같은 이벤트를 말합니다.

데이터 프로세서의 경우 Microsof는 서비스 고객이 GDPR의 위반 알림 요구 사항을 데이터 컨트롤러로 충족할 수 있도록 보장합니다. Microsoft 알림은 이러한 평가에 필요한 정보를 제공합니다. Microsoft는 개인 데이터가 이해할 수 있는 것으로 확인되는 경우(예: 키의 무결성이 확인된 경우의 암호화 데이터)를 제외하고 사용자에게 개인 데이터 위반을 알립니다.

데이터 컨트롤러는 데이터 개인 정보에 대한 위험을 평가하고 위반 사항이 고객의 DPA에 알려야 하는 위반인지의 여부를 판단할 책임이 있습니다. Microsoft는 이러한 평가에 필요한 정보와 GDPR 규정 준수 정책을 함께 제공합니다.

초기 알림에는 위반의 성격, 사용자에게 미치는 대략적인 영향, 완화 단계(해당하는 경우)에 대 한 설명이 포함됩니다. 초기 알림을 받을 때 조사를 완료하지 못한 경우 다음 단계와 후속 소통 일정을 제시합니다. Microsoft에서 개인 데이터 위반을 감지하고 대처하는 방법에 대한 자세한 내용은 Service Trust Portal의 GDPR에서 데이터 위반 알림을 참조하세요.

다음은 특정 Microsoft 제품 및 서비스에 대한 위반 알림과 관련된 세부 정보입니다.

  1. Office 365
    Microsoft는 개인 데이터가 위반될 가능성을 줄이고 위반이 발생할 경우 빠르게 감지하고 영향을 완화하기 위해 시스템, 프로세스 및 직원에 대해 과감히 투자하고 있습니다. 데이터 보안에 대한 Office 365 투자에서 추가 세부 정보를 확인할 수 있습니다.

    고객이 위반 사항을 알게 되고 Microsoft에 문의할 수 있습니다. 이 경우에는 Microsoft 지원에 문의합니다. Microsoft 지원 팀은 엔지니어링 팀을 통해 추가 정보를 확인하게 됩니다.

  2. Azure, Dynamics 365 및 Windows Microsoft에는 Microsoft Azure, Dynamics 365 및 Windows 진단 데이터 프로세서 구성에 대한 공격의 영향을 완화하기 위해 글로벌 24x7 인시던트 대응 서비스를 운영하고 있습니다.

    • 위반 감지: Microsoft와 고객 모두에게 보안 의무가 있으므로, Azure 서비스는 공유 책임 모델을 사용하여 보안 및 운영 책임을 정의합니다. Microsoft는 고객의 책임 영역 내에서 보안 사고를 모니터링하거나 대응하지 않습니다. 고객 인시던트 대응 시 Azure 고객 지원과 공동 작업이 수반되며 계약업체에 적절한 서비스가 부여됩니다. 또한 Microsoft Azure는 고객이 보안 인시던트 대응을 개발 및 관리하기 위해 활용할 수 있는 다양한 서비스(예: Azure Security Center)도 제공합니다.

      Microsoft Azure에서 위반 조사를 트리거하는 이벤트 목록을 보려면 잠재적인 침해 감지를 참조하세요. Azure 및 GDPR의 위반 알림에서는 Microsoft가 Azure 내의 보안 인시던트를 조사, 관리 및 대응하는 방법을 자세히 설명합니다.

    • 데이터 위반 대응: Microsoft는 인시던트가 기능에 미치는 영향, 복구 가능성 및 정보에 미치는 영향을 조사하여 위반에 대한 적절한 우선 순위와 심각도 수준을 확인합니다. 우선 순위와 심각도는 새로 확인한 결과 및 결론에 따라, 조사가 진행되는 동안 변경될 수 있습니다. Microsoft의 보안 대응 팀은 글로벌 법률 고문과 긴밀하게 협력하여 고객에 대한 법적 의무와 약속에 따라 포렌식 검사가 수행되도록 지원합니다. 이러한 프로세스는 Azure의 데이터 위반 대응에 자세히 설명되어 있습니다.

    • 고객 알림: Microsoft Azure는 필요한 경우 데이터 위반 사실을 고객과 규제 기관을 알려줍니다. 고객 알림은 다음 상황을 제외하고 위반을 선언한 시점으로부터 72시간 이내에 전달됩니다.

      • Microsoft는 알림을 수행하면 다른 고객의 위험이 증가할 것으로 생각합니다.
      • 72시간의 타임라인 동안 일부 인시던트 정보는 사용 가능하게 유지될 수 있습니다. 조사가 진행되면 사용자에게 이러한 세부 정보가 제공됩니다.

      자세한 내용은 고객 알림을 참조하세요.

  3. Microsoft 지원 및 전문 서비스
    프로페셔널 서비스의 특성은 일부 데이터 보호 문제가 고객의 책임 영역 내에 포함될 수 있음을 의미합니다. Microsoft 전문 서비스는 데이터 보호 인시던트를 식별하면 데이터 보호 인시던트 대응 프로세스의 범위 및 제한 사항에 설명된 대로 문서화된 산업 표준 대응 계획을 따릅니다.

침해 알림 관리 도구

  • 조직의 개인 정보 보호 담당자 설정: Microsoft와 소통해야 할 경우 테넌트 관리자는 Azure Active Directory 관리 포털을 사용하여 조직의 개인 정보 보호 담당자를 정의할 수 있습니다.

자세히 알아보기