유럽 연합의 데이터 위치

  • 아티클
  • 읽는 데 9분 걸림

고객의 데이터는 고객의 소유

Microsoft는 비즈니스 데이터에 대한 개인 정보 및 기밀 유지의 중요성을 인식하고 있습니다. 귀하의 데이터는 귀하에게 속하며 언제든지 액세스, 수정 또는 삭제할 수 있습니다. Microsoft는 귀하의 동의없이 데이터를 사용하지 않으며, 귀하가 동의하는 경우, 귀하가 선택한 서비스를 제공하는 데에만 귀하의 데이터를 사용합니다. 귀하가 당사 서비스 중 하나를 탈퇴하는 경우, 당사는 시스템에서 데이터를 제거하기 위한 엄격한 표준 및 프로세스에 따라 귀하의 데이터에 대한 소유권을 지속적으로 보장합니다.

참고

고객 데이터("귀하의 데이터" 또는 "비즈니스 데이터"라고도 함)는 텍스트, 사운드, 비디오 또는 이미지 파일 및 소프트웨어를 포함한 귀하가 Microsoft에 제공하거나 Microsoft 엔터프라이즈 온라인 서비스(Microsoft Professional Services 제외)에서 사용한 모든 데이터를 의미합니다. 여기에는 저장소 또는 처리를 위해 업로드하는 데이터인 고객 콘텐츠와 Microsoft 엔터프라이즈 클라우드 서비스를 통해 배포용으로 업로드하는 앱이 포함됩니다. 예를 들어, 고객 콘텐츠에는 Exchange Online 전자 메일 및 첨부 파일, SharePoint Online 사이트 콘텐츠 또는 인스턴트 메시징 대화가 포함됩니다.

데이터 저장소 및 처리

Microsoft 365 서비스를 사용할 때는 기업 고객이 비즈니스 데이터를 집 근처에서 저장하고 처리하고 싶어한다는 가정에서 시작합니다. 어디든지 가능하면 그렇게 합니다. 가장 가까운 데이터 센터에 데이터를 보관하려면 테넌트를 만들 때 제공한 비즈니스 위치에 따라 데이터를 저장합니다. 조직의 비지니스에 의미있는 저장소 위치를 선택하려면 원하는 만큼 조직의 테넌트를 여러 개 만들 수 있습니다.

EU 데이터가 저장되는 위치

귀하의 비지니스가 독일 및 프랑스에 있는 경우, 당사는 해당 국가에 데이터를 저장할 수 있는 데이터 센터 지역을 보유하고 있습니다. 당사의 지역 유럽 연합 데이터 센터는 오스트리아, 핀란드, 프랑스, 아일랜드 및 네덜란드에 있습니다. 다음 서비스에 대한 데이터는 선택한 청구 주소에 따라 다음 위치에서 호스팅됩니다.

서비스 이름 프랑스의 청구 주소를 사용하여 만든 테넌트의 위치 독일의 청구 주소를 사용하여 만든 테넌트의 위치 기타 모든 EU 국가의 청구 주소를 사용하여 만든 테넌트의 위치
Exchange Online 프랑스 독일 유럽 연합
비즈니스용 OneDrive 프랑스 독일 유럽 연합
SharePoint Online 프랑스 독일 유럽 연합
비즈니스용 Skype 유럽 연합 유럽 연합 유럽 연합
Microsoft Teams 프랑스 독일 유럽 연합
Office Online 및 Mobile 프랑스 독일 유럽 연합
Exchange Online Protection 프랑스 독일 유럽 연합
Intune 유럽 연합 유럽 연합 유럽 연합
MyAnalytics 프랑스 독일 유럽 연합
Planner 유럽 연합 유럽 연합 유럽 연합
Yammer 유럽 연합 유럽 연합 유럽 연합
OneNote 서비스 프랑스 독일 유럽 연합
Stream 유럽 연합 유럽 연합 유럽 연합
Whiteboard 유럽 연합 유럽 연합 유럽 연합
Forms 유럽 연합 유럽 연합 유럽 연합

참고

Office 365 Education 구독이 프랑스 또는 독일의 청구 주소를 사용하는 경우, 데이터가 유럽 연합 지역 데이터 센터에 저장될 수 있습니다. EU 외 지역의 테넌트 데이터 위치에 대해서는 Microsoft 365 고객 데이터가 저장되는 위치를 참조하세요.

EU 데이터가 계산되는 위치

위의 서비스를 사용하기 시작하면, Microsoft 데이터 센터에서는 계산을 수행하기 위해 임시 데이터 전송이 필요하지 않는 한, 유럽 지역 데이터 센터(또는 해당 국가) 중 하나에 저장된 데이터에 대한 서비스를 제공하는 데 필요한 계산이 동일한 지리적 경계 내에서 수행됩니다.

임시 전송이 필요한 경우, 당사는 항상 전송에서 최신 암호화를 사용하며 그 후에는 즉시 귀하의 데이터를 귀하가 선택한 데이터 저장소 위치로 반환합니다. 당사는 데이터 보호를 위한 추가 조치와 함께 이러한 임시 전송에 대해 SCC(표준 계약 조항)를 통해 유럽 법규를 준수합니다.

자세한 내용은 유럽 연합 모델 조항을 참조하세요.

참고

이 서비스를 사용하는 경우, Sway 및 Workplace Analytics에 대한 고객 데이터는 미국에서 저장되고 계산됩니다.

Microsoft 365 서비스는 특정 시나리오를 용이하게 하기 위해 필요한 경우 EU 외의 지역에서 테넌트 디렉터리/ID 데이터 정보의 일부를 쿼리하고 저장할 수 있습니다. 예를 들어, 지역간 전자 메일 라우팅, 통화 라우팅 및 인증 시나리오의 경우 Microsoft 365 시스템에서 이 요청을 적절히 라우팅하기 위해 EU 수신자에 대한 정보를 필요로 할 수 있습니다. 또한 Microsoft 365 시스템은 ID 및 인증 기능을 위해 Azure Active Directory에 종속되어 있습니다. 자세한 내용은 Azure Active Directory에서 유럽 고객을 위한 ID 데이터 저장소를 참조하세요.

Microsoft가 데이터를 보호하는 방법

보안 조치

Microsoft는 여러 계층의 보안 및 암호화 프로토콜을 사용하여 데이터를 보호합니다. Microsoft 365 암호화 문서에서 Microsoft 데이터 보안 기능에 대한 개요를 확인하세요.

기본적으로 Microsoft 관리 키는 고객 데이터를 보호합니다. 모든 물리적 미디어에 유지되는 데이터는 FIPS 140-2 규격 암호화 프로토콜을 사용하여 항상 암호화됩니다. 데이터 보호를 강화하려면 CMK(고객 관리 키), 이중 암호화 및/또는 HSM(하드웨어 보안 모듈)를 사용할 수도 있습니다.

게다가 Microsoft는 데이터가 클라우드 서비스와 고객 사이를 오갈 때 기본적으로 TLS(전송 계층 보안) 프로토콜을 사용하여 데이터를 암호화합니다. Microsoft 서비스는 Microsoft 365 서비스에 연결하는 클라이언트 시스템과 TLS 연결을 협상합니다.

데이터 센터에 대한 물리적인 무단 액세스를 방지하려면 연중 무휴 24시간 비디오 모니터링, 숙련된 보안 담당자 및 프로세스, 스마트 카드 또는 생체 인식 다단계 액세스 제어를 포함하는 엄격한 운영 제어 및 프로세스를 사용합니다. 수명이 다되면 데이터 디스크는 파쇄 및 파괴됩니다. 저장소에 사용되는 디스크 드라이브에 하드웨어 오류가 발생하거나 수명이 다되면 안전하게 삭제되고 파괴됩니다. 드라이브의 데이터는 어떤 방법으로도 복구할 수 없도록 완전히 덮어쓰게 됩니다. 이러한 장치를 폐기할 때는 NIST SP 800-88 R1, 미디어 삭제에 대한 지침을 사용하여 파쇄되고 파괴됩니다. 파기 기록은 Microsoft 감사 및 준수 프로세스의 일부로써 보관되고 검토됩니다. 모든 Microsoft 365 서비스는 승인된 미디어 저장소 및 폐기 관리 서비스를 활용합니다.

기술 제어

Microsoft는 물리적 및 기술적 보호 외에도 Microsoft 직원과 하도급 업자의 무단 액세스로부터 고객 데이터를 보호하는 데 도움이 되도록 강력한 조치를 취합니다. Microsoft 운영 및 지원 담당자의 고객 데이터에 대한 액세스는 기본적으로 거부됩니다. Microsoft에서 수행하는 거의 모든 서비스 작업은 완전 자동화되어 있으며 인적 개입은 엄격하게 제어되고 고객 데이터로부터 떼어내집니다.

드문 경우에만 Microsoft 엔지니어가 고객 데이터에 액세스가 필요합니다. 일반적으로 이는 Microsoft에서 고객 문제를 해결하는 데 도움을 요청하는 경우에만 필요합니다. 고객 데이터에 대한 액세스는 역할 기반 액세스 제어, 다단계 인증, 데이터 최소화 및 기타 제어를 통해 매우 제한적입니다. 고객 데이터에 대한 모든 액세스는 엄격하게 기록되며 Microsoft와 타사 양측 모두 정기적인 감사(샘플 감사 포함)를 수행하여 모든 액세스가 적절함을 증명합니다.

무단 액세스에 대한 경우, 고객은 고객 관리 키를 사용하여 데이터를 읽을 수 없도록 추가로 방지할 수 있습니다. 서버 쪽 암호화와 클라이언트 쪽 암호화 모두 고객 관리 키 또는 고객 제공 키에 의존할 수 있습니다. 어느 경우 간에 Microsoft는 암호화 키에 액세스할 수 없으며 데이터를 해독할 수 없습니다. 감사 범위에서 보안 제어의 효율성을 확인하기 위해 1년에 두 번 AICPA 공인 감사자를 통해 SOC 감사를 진행합니다. 감사자가 발행한 SOC 2 유형 2 증명 보고서는 어떤 상황에서 고객 데이터에 대한 액세스가 발생할 수 있고, 어떻게 발생하는 지에 대해 설명합니다.

온라인 서비스를 사용하는 경우 데이터를 저장하고 처리하는 것 외에도 Microsoft는 서비스 데이터를 생성하여 시스템 상태를 모니터링하고 문제 해결과 같은 서비스 작업을 수행합니다. 개인 정보 보호 수단으로 Microsoft는 실제 사용자를 식별하지 않고 구별할 수 있도록 데이터를 생성하는 이 서비스에서 가명 식별자를 생성하고 이제 의존합니다. 가명 식별자는 사람을 직접 식별하지 않으며, 가명 식별자를 실제 사용자로 매핑하는 정보는 데이터의 일부로 보호됩니다.

자세한 내용은 데이터에 액세스할 수 있는 사용자하위 프로세서와 데이터 개인 정보 보호 약관을 참조하세요.

Microsoft가 정부 기관의 요청을 처리하는 방법

정부 기관에서 고객 데이터를 원하는 경우 해당 법적 절차를 따라야 합니다. Microsoft는 콘텐츠에 대한 영장 또는 법정 명령, 구독자 정보 또는 기타 비콘텐츠 데이터에 대한 소환장을 받아야 합니다.

  • 모든 요청은 특정 계정 및 식별자를 대상으로 해야 합니다.
  • Microsoft의 법률 준수 팀은 모든 요청이 유효한지 검토하여 유효하지 않은 요청은 거부하고 지정된 데이터만 제공합니다.
  • Microsoft가 법률에 따라 고객 데이터를 공개하도록 강요받는 경우 Microsoft는 합법적으로 이를 금지하지 않는 한, 즉시 고객에게 알리고 요청 사본을 제공합니다.
  • Microsoft는 현지 법률 및 표준에 대해 수신한 각 요청에 대한 현지 법률 검토를 수행합니다. 또한 Microsoft는 현지 사법 당국 절차를 따르고 글로벌 인권 성명이 적용되는지 확인하기 위하여 주기적으로 전 세계의 심사 프로세스를 검토합니다.

EU의 GDPR에 따른 명령에 이의를 제기하는 Microsoft의 노력에 대한 자세한 내용은 데이터를 보호하기 위한 새로운 단계를 참조하세요.

정부 또는 법 집행 기관에서 고객 데이터에 대한 합법적인 요청을 할 경우 Microsoft는 투명성을 약속하며 공개 내용을 제한합니다. 당사는 1년에 두 번, 전 세계의 법 집행 기관에서 받은 고객 데이터에 대한 법적 요구 사항을 공지합니다. 법 집행 요청 보고서를 참조하세요. 이 보고서는 문제가 있는 고객을 포함하여 특정 요구 사항에 대한 세부 정보를 공개하지 않습니다. 당사는 또한 1년에 두 번, 미국 정부로부터 받은 법적 요구 사항에 대한 데이터도 공지합니다. 최신 보고서는 미국 국가 안보 명령 보고서를 참조하세요.

클라우드 법(CLOUD Act)에 대한 질문을 포함하여 정부 및 법 집행 요청과 관련된 자세한 내용은 자주 묻는 질문을 참조하세요.

추가 리소스