개인 정보 및 데이터 관리 개요

Microsoft는 고객을 위한 개인 정보 보호에 어떻게 접근하나요?

Microsoft는 제품 약관 및 DPA(데이터 보호 부록)에 설명된 대로 고객 데이터를 보호하기 위해 최선을 다하고 있습니다. 상용 고객을 위한 Microsoft의 개인 정보 보호 접근 방식의 기반은 데이터를 제어하고, 데이터가 있는 위치와 사용 방법을 알고, 미사용 및 전송 중인 데이터의 보안, 타사 액세스로부터 데이터를 보호하는 원칙을 기반으로 합니다.

Microsoft는 개인 정보 보호 약정을 어떻게 구현하나요?

Microsoft는 Microsoft 회사 개인 정보 취급 방침 및 Microsoft 개인 정보 표준을 통해 개인 정보 보호 약정을 유지합니다. 이러한 요구 사항을 일관되고 규정을 준수하는 채택을 보장하기 위해 Microsoft는 거버넌스 위원회, 이사회 및 위원회를 설립했습니다. Microsoft의 개인 정보 보호 프로그램은 회사 전체에서 규정 준수 책임을 공유하는 "허브 및 스포크" 거버넌스 모델을 사용합니다. "허브"는 개인 정보 거버넌스에 대한 책임이 있는 최고 개인 정보 보호 책임자를 포함하는 CELA(기업, 외부 및 법률 업무) 그룹입니다. 또한 EU 관련 개인 정보 보호 요구 사항을 충족하기 위해 지정된 유럽 연합(EU) DPO(데이터 보호 책임자) 가 있습니다. "스포크"는 엔지니어링 및 기능 그룹 내에 있으며 개인 정보 요구 사항을 구현할 책임이 있습니다.

Microsoft는 ISO 27018 및 ISO 27701과 같은 타사 감사 및 인증을 통해 개인 정보 보호 요구 사항을 충족합니다.

Microsoft는 고객 데이터를 어떻게 수집하고 처리하나요?

DPA는 고객 데이터, 개인 데이터 및 전문 서비스 데이터의 세 가지 데이터 범주를 정의합니다.

Microsoft는 이러한 범주의 데이터를 처리하여 고객의 문서화된 지침 및 비즈니스 운영에 따라 제품 및 서비스를 제공합니다. 간단히 말해서 Microsoft는 서비스 제공, 문제 해결, 유지 관리 및 개선을 위해 데이터를 처리합니다. 데이터는 사용자 프로파일링, 광고 또는 시장 조사에 사용되지 않습니다.

이러한 활동에 대한 자세한 설명은 DPA 섹션 "고객에게 제품 및 서비스를 제공하기 위한 처리" 및 "고객에게 제품 및 서비스 제공을 위한 비즈니스 운영 인시던트 처리"에 있습니다.

Microsoft는 고객 데이터의 기밀성을 어떻게 보장하나요?

Microsoft의 개인 정보 거버넌스 모델은 개인 정보 보호 제어가 고객 데이터의 기밀성을 보호하도록 보장합니다. 이러한 컨트롤은 서비스 신뢰 포털을 통해 액세스할 수 있는 ISO 27001 및 27701과 같은 타사 보고서에 자세히 설명되어 있습니다. 이러한 보고서는 데이터 최소화, 보존/삭제, 위치 및 전송, 공유 등에 대한 제어를 다룹니다.

주의해야 할 몇 가지 주요 측정값은 다음과 같습니다.

• 데이터에 대한 액세스: Microsoft는 모든 고객 데이터에 개인 데이터가 포함되어 있으며 해당 콘텐츠를 확인하기 위해 데이터에 액세스하지 않고 적절한 보호 조치를 적용한다고 가정합니다.
• 데이터 처리: Microsoft는 기밀성을 보호하기 위해 데이터를 가명화하고 집계합니다. 자세한 내용은 DPA 를 참조하세요.
• 데이터 격리: Microsoft는 데이터 격리 기술을 사용하여 클라우드 테넌트 분리를 통해 고객이 자신의 데이터에만 액세스할 수 있도록 합니다. 고객 콘텐츠를 격리하거나 분리하는 방법에 대한 자세한 내용은 아키텍처 개요 문서를 참조하세요. 또한 Microsoft는 테스트 환경에서 고객 데이터 사용을 금지합니다.

Microsoft는 고객 데이터를 보호하기 위해 무엇을 합니까?

DPA에 설명된 대로 Microsoft에는 고객 데이터를 보호하기 위한 보호 장치가 있습니다. Service Assurance의 여러 문서에서는 이러한 보호 조치에 대한 개요를 제공합니다. 암호화, 액세스 관리, 데이터 센터 및 네트워크 보안, 직원 및 공급업체 관리 및 취약성 관리와 같은 섹션을 참조하세요.

Microsoft는 타사 데이터 공유를 어떻게 처리하나요?

제3자 공유는 제3자에게 데이터를 공유하거나 향후 공개하는 것입니다. Microsoft는 고객의 승인을 받거나 관련 법률에 따라 데이터를 공유해야 하는 경우에만 데이터를 공유합니다. Microsoft는 정부(법 집행 기관 또는 기타 정부 기관 포함)에게 고객 데이터에 대한 직접 또는 무제한 액세스를 제공하지 않습니다. 자세한 내용은 법 집행 요청 보고서 및 미국 국가 안보 명령 보고서를 참조하여 Microsoft가 데이터에 액세스하기 위한 정부 요청에 응답하는 방법을 알아봅니다.

Microsoft는 하위 프로세서 또는 하청업체를 사용하나요?

Microsoft가 공급자를 관리하는 방법에 대한 자세한 내용은 공급자 관리 페이지를 참조하세요.

Microsoft 내에서 고객 데이터에 액세스할 수 있는 사람은 누구인가요?

Microsoft가 고객 데이터에 대한 액세스를 관리하는 방법을 알아보려면 ID 및 액세스 관리 페이지를 참조하세요.

고객 데이터는 어디에 있나요?

Core Online Services의 경우 제품 약관 및 DPA 에 설명된 약정을 참조하여 고객 데이터의 위치에 대한 최신 정보를 찾을 수 있습니다.

핵심 온라인 서비스에 대한 DPA 에 설명된 대로 Microsoft는 제품 약관에 명시된 특정 주요 지리적 영역(각각, 지역) 내에 고객 데이터를 저장합니다. Microsoft EU 데이터 경계에 대한 scope 상용 서비스의 경우 Microsoft는 제품 약관에 명시된 대로 유럽 연합 내에서 고객 데이터를 저장하고 처리합니다. Microsoft는 고객 또는 고객의 최종 사용자가 고객 데이터에 액세스하거나 이동할 수 있는 지역을 제어하거나 제한하지 않습니다.

자세한 내용은 Microsoft 개인 정보 - 사용자의 데이터가 있는 위치를 참조하세요.

Azure 및 M365 서비스의 경우 Azure 데이터 상주 및 M365 데이터 위치를 방문하세요.

기타 서비스 데이터 위치:

• Azure DevOps Services
• Microsoft Entra ID
• Microsoft Commerce
• Microsoft Defender for Cloud Apps
• 엔드포인트용 Microsoft Defender
• 개인 데이터 정책 Microsoft Defender for Identity
• Microsoft Dynamics 365
• Microsoft Intune
• Microsoft Power Platform
• Microsoft 전문 서비스
• Microsoft 위협 방지

Microsoft EU 데이터 경계란?

EU 데이터 경계는 Eu 및 EFTA의 고객에게 데이터가 저장 및 처리되는 위치에 대한 더 큰 제어 및 투명성을 제공하는 Microsoft Online Services의 약정입니다. 2023년 1월 1일부터 Microsoft는 고객에게 Microsoft 365, Azure, Power Platform 및 Dynamics 365 서비스에 대한 EU 데이터 경계 내에서 고객 데이터를 저장하고 처리할 수 있는 기능을 제공합니다. 이 릴리스를 통해 Microsoft는 기존 로컬 스토리지 및 처리 약정을 확장하여 유럽의 데이터 흐름을 크게 줄이고 업계 최고의 데이터 보존 솔루션을 구축합니다.

향후 EU 데이터 경계 단계에서 Microsoft는 기술 지원을 받을 때 제공되는 데이터를 포함하여 추가 범주의 개인 데이터의 스토리지 및 처리를 포함하도록 EU 데이터 경계 솔루션을 확장할 것입니다.

자세한 내용은 다음을 참조하세요.

• Microsoft EU 데이터 경계 개요
• EU 데이터 경계란 무엇인가요?

고객이 서비스를 떠날 때 Microsoft는 고객 데이터를 어떻게 삭제하나요?

고객이 구독을 종료하면 Microsoft는 90일 동안 제한된 함수 계정에 고객 데이터를 유지하므로 고객이 데이터를 추출할 수 있습니다. 이 기간 이후에 Microsoft는 법률에 의해 보존 권한이 부여되거나 요구되지 않는 한 데이터를 삭제합니다. 구독이 종료된 후 180일 이내에 Microsoft는 계정을 사용하지 않도록 설정하고 모든 데이터를 삭제하여 복구할 수 없게 만듭니다.

Microsoft는 또한 시스템 생성 로그에서 개인 데이터를 삭제합니다. 구독의 경우 구독자는 Microsoft 지원에 연락하여 신속한 구독 프로비전 해제를 요청할 수 있습니다. 고객이 이 프로세스를 사용하는 경우 관리자가 Microsoft에서 제공하는 잠금 코드를 입력한 후 3일 후에 모든 사용자 데이터가 삭제됩니다. 이 삭제에는 SharePoint Online의 데이터와 비활성 사서함에 저장되거나 보류 중인 Exchange Online 포함됩니다.

Microsoft는 데이터 기반 디바이스 파괴 문서에 설명된 대로 데이터를 보유할 수 있는 디바이스의 소멸에 대한 NIST SP-800-88 지침을 따릅니다.

Microsoft는 GDPR 준수에 대한 지침을 고객에게 제공하나요?

Microsoft는 고객이 데이터 컨트롤러 역할을 할 수 있도록 지침 설명서를 유지 관리합니다. 주목할 몇 가지 주요 GDPR 리소스는 아래에서 확인할 수 있습니다. 그러나 고객은 GDPR 의무를 이해하고 구현하기 위해 자체 법률 및 규정 준수 전문가와 상의해야 합니다.

• 일반 데이터 보호 규정 개요
• 데이터 보호 영향 분석
• 데이터 주체 요청
• 위반 알림
• DPIA(데이터 보호 영향 평가)

관련 외부 규정 & 인증

Microsoft의 온라인 서비스 외부 규정 및 인증 준수에 대해 정기적으로 감사됩니다. 개인 정보 보호와 관련된 컨트롤의 유효성 검사는 다음 표를 참조하세요.

Azure 및 Dynamics 365

외부 감사	섹션	최신 보고서 날짜
ISO 27018 적용 가능성 설명 인증서	A-2.1: 퍼블릭 클라우드 PII 프로세서의 목적	2024년 4월 8일
ISO 27701 적용 가능성 설명 인증서	모든 컨트롤	2024년 4월 8일
SOC 1	DS-15: 고객 구독 종료/만료 SDL-1: SDL(보안 개발 수명 주기) 방법론 LA-4: 기밀 고객 데이터 보호	2024년 8월 16일
SOC 2 SOC 3	DS-15: 고객 구독 종료/만료 SDL-1: SDL(보안 개발 수명 주기) 방법론 LA-4: 기밀 고객 데이터 보호 SOC2-1: 자산 분류 SOC2-7: 게시된 기밀성 및 보안 의무	2024년 05월 20일

Microsoft 365

외부 감사	섹션	최신 보고서 날짜
ISO 27018 적용 가능성 설명 인증서	A-2.1: 퍼블릭 클라우드 PII 프로세서의 목적	2024년 3월
ISO 27701 적용 가능성 설명 인증서	모든 컨트롤	2024년 3월
SOC 2	CA-12: SLA(서비스 수준 계약) CA-17: Microsoft 보안 정책 CA-25: 프레임워크 업데이트 제어	2024년 1월 23일

리소스

• Microsoft 보안 센터: 개인 정보 보호 원칙: 개인 정보 보호 원칙
• Microsoft 클라우드의 개인 데이터에 대한 EU 전송 요구 사항 준수
• Microsoft Professional Services 개인 정보 및 데이터 보호 정보
• 데이터 전송 영향 평가 FAQ
• Microsoft 클라우드의 Data Residency, 데이터 주권 및 규정 준수