고객이 클라우드 공급자에게 반드시 물어봐야 하는 주요 개인 정보 관련 질문

Microsoft Office 365는 모든 Office 365 고객에게 필수적인 개인 정보 보호 기능을 제공합니다. 이 섹션에서는 이러한 개인 정보 보호 기능을 설명하고, 이 기능이 EU 기관에서 정한 높은 개인 정보 표준에 얼마나 부합하는지를 설명합니다. 2012년 7월 1일, 유럽 연합의 국가 데이터 보호 기관으로 구성된 그룹, 즉 EU WP29(Article 29 Working Party)에서는 Opinion 05/2012 on Cloud Computing을 채택했습니다. Opinion on Cloud Computing은 높은 효율과 강화된 보안을 포함해 클라우드 컴퓨팅의 이점을 강조합니다. Opinion에서 WP29는 데이터 보호 방법을 투명하게 공개하고 고객 데이터의 개인 정보를 보호하는 클라우드 서비스 공급자를 선택해야 한다고 강조하고 있습니다.

WP29 Opinion은 현재는 물론 미래의 클라우드 사용자를 위한 필수 지침을 제공합니다. 또한 데이터 관리 역할을 맡은 클라우드 고객이 클라우드 공급자를 선택할 때 고려해야 하는 몇 가지 질문도 제기합니다. 주요 개인 정보 관련 질문과 Office 365의 대답이 여기에 설명되어 있습니다.

WP29 Opinion 참조: 섹션 4.1(“기본 데이터 보호 원칙 준수” 제목 아래 첫 번째 글머리 기호)에서 WP29는 “클라우드 공급자는 클라우드 고객에게 회사의 서비스와 관련된 모든 부분(데이터 보호)에 대해 알려야 한다. 특히 고객은 해당 클라우드 서비스 제공에 기여하는 모든 하도급업자와 클라우드 공급자 및/또는 하도급업자가 데이터를 저장하거나 처리할 수 있는 모든 위치에 대해 정보를 제공받아야 한다.” 섹션 3.4.1.1(투명성)은 클라우드 공급자와 클라우드 고객 관계에서 투명성이 중요하다고 강조합니다.

Office 365: Microsoft는 Office 365 보안 센터 (www.microsoft.com/ko-kr/office365/trust-center.aspx)에서 회사의 개인 정보 취급 방침과 보안 조치를 즉각적으로 제공합니다. Office 365 보안 센터에는 데이터가 저장된 위치, 데이터에 액세스할 수 있는 사람과 상황, 데이터 처리에 참여한 하도급업자에 대한 정보가 포함되어 있습니다.
WP29 Opinion 참조: 섹션 3.4.1.2(용도 지정 및 제한). WP29에는 “개인 데이터는 지정된 명백하고 합법적인 목적으로 수집해야 하며 이러한 목적에 어긋나는 방식으로 취급해서는 안 되며” 클라우드 고객에게 "클라우드 공급자가 개인 데이터를 추가적인 용도로 (불법) 취급하지 않는지 확인"할 책임이 있다고 명시되어 있습니다.

Office 365: Microsoft 엔터프라이즈 클라우드 서비스는 서비스를 제공하는 목적으로만 고객 데이터를 사용합니다. 여기에는 서비스 운영에 영향을 주는 문제 방지, 감지, 복구를 위한 문제 해결과 사용자를 향한 새로운 위협(예: 맬웨어 또는 스팸)을 감지하고 이를 막기 위한 기능 개선이 포함될 수 있습니다. Office 365는 고객 데이터에서 광고 제품을 만들지 않으며 분석 자료 구성, 데이터 추출 또는 광고를 위해서나 서비스 개선을 위해 고객의 전자 메일이나 문서를 검색하지 않습니다.

Microsoft는 고객이 요청한 경우나 법에서 요구하는 경우가 아니면 제3자(법 집행 기관, 기타 정부 기관 또는 Microsoft의 하도급업자를 제외한 민간 소송인 포함)에게 고객 데이터를 공개하지 않습니다.
WP29 Opinion 참조: 섹션 3.4.1.2(용도 지정 및 제한)와 섹션 3.3.1(클라우드 고객 및 클라우드 공급자)

Office 365: Microsoft 엔터프라이즈 클라우드 서버는 실제로나 논리적으로 고객 온라인 서비스를 위한 서버에서 분리되어 있습니다. 기업 고객 데이터, Microsoft 고객 온라인 서비스에 있는 데이터 그리고 Microsoft가 만들거나 검색, 인덱싱, 데이터 추출 작업을 통해 만들어진 데이터는 고객이 사전에 승인한 경우가 아니면 서로 혼합되지 않습니다.
WP29 Opinion 참조: 섹션 3.4.1.2(용도 지정 및 제한)와 섹션 3.3.1(클라우드 고객 및 클라우드 공급자)

Office 365: Microsoft는 광고 목적으로 전자 메일이나 문서를 검색하지 않습니다. Microsoft 엔터프라이즈 서비스는 고객이 고객 데이터에 액세스하고 이를 구성할 수 있는 다양한 기능을 제공하기 위해 고객 데이터를 유지 관리하고 검색하고 인덱싱합니다. 예를 들어 최종 사용자는 Office 365에서 자신의 문서와 그 밖의 콘텐츠를 쉽게 검색할 수 있습니다.
WP29 Opinion 참조: 섹션 3.4.3(데이터 보호 및 데이터 보안의 기술 및 조직 방침)

Office 365: Office 365 상용 서비스는 고객 온라인 서비스로부터 논리적으로 분리되어 있습니다. 기업 고객 데이터와 Microsoft 고객 온라인 서비스의 데이터는 고객이 사전에 승인한 경우가 아니면 서로 혼합되지 않습니다.
WP29에서는 유럽 경제 지역 외부로 데이터를 전송하는 기존의 메커니즘이 클라우드에 적용할 경우 “제한”이 있다는 결론을 내렸습니다. WP29는 세이프 하버 지침을 선정하고 미국 기반 공급자에게 데이터를 전송할 경우에 "데이터 수입업자가 세이프 하버 지침만을 따르는 것이 충분하지 않은 것으로 간주된다"고 클라우드 고객에게 알렸습니다. WP29는 또한 해당되는 국가의 법적 의무를 준수할 필요가 있다고 클라우드 고객에게 당부했습니다.

Office 365는 포괄적인 DPA(데이터 보호 계약)를 제공할 뿐만 아니라 미국-유럽 세이프 하버 협약에 의거한 자체 인증과 더불어 EU 모델 조항을 제공합니다. EU 모델 조항이 EU 고객을 위해 특수하게 작성되기는 했지만 DPA는 여러 국가의 수준 높은 개인 정보 보호 방침을 종합한 것으로, 지역이나 규모에 상관없이 모든 고객에게 제공됩니다. Office 365가 EU 모델 조항을 준수하기 위해 만든 프로세스는 EU 고객으로 제한되는 것이 아니라 모든 고객에게 제공됩니다.