개인 정보 및 데이터 관리 개요
Microsoft는 고객을 위한 개인 정보 보호에 어떻게 접근하나요?
고객 데이터를 보호하기 위한 Microsoft의 약속은 제품 약관 및 DPA(데이터 보호 부록)에 명시되어 있습니다. Microsoft의 개인 정보 보호 접근 방식의 기반은 고객 제어, 투명성, 보안, 제3자 액세스로부터 데이터 보호, 콘텐츠 기반 타겟팅 없음, 관련 법률 및 규정 준수 원칙을 기반으로 합니다. 자세한 내용은 개인 정보 보호에 대한 Microsoft 의 접근 방식에 대한 자세한 내용은 Microsoft의 개인 정보 보호 및 Microsoft 개인 정보 보고서를 참조하세요.
Microsoft는 개인 정보 보호 약정을 어떻게 구현하나요?
Microsoft는 Microsoft 기업 개인 정보 보호 정책 및 Microsoft 개인 정보 표준을 유지 관리하여 기업 전체의 개인 정보 보호 약정을 충족하는지 확인합니다. Microsoft에는 기업 개인 정보 보호 요구 사항의 일관되고 규정을 준수하는 채택 및 구현을 지원하기 위한 거버넌스 위원회, 이사회 및 위원회가 있습니다. Microsoft의 개인 정보 보호 프로그램은 규정 준수에 대한 책임이 회사 전체에 공유되고 일부는 중앙 집중식이며 다른 하나는 배포되는 "허브 및 스포크" 거버넌스 모델로 시작됩니다. Microsoft의 회사 개인 정보 보호 팀의 "허브"는 CELA(기업, 외부 및 법률 업무) 그룹입니다. "스포크"는 회사의 엔지니어링 및 기능 그룹에 상주합니다.
Microsoft에는 제품 약관 및 DPA에 설명된 의무를 충족하기 위한 요구 사항을 포함하여 특정 활동 또는 시나리오 내에서 각 데이터 분류 유형을 관리하는 방법에 대한 지침을 제공하는 데이터 처리 표준도 있습니다.
Microsoft는 고객 데이터를 어떻게 수집하고 처리하나요?
데이터 수명 주기는 Microsoft가 고객 지침에 따라 데이터를 처리하는 방법과 제품 약관 및 DPA에 명시된 대로 해당 보안 및 개인 정보 보호법을 준수하는 방법을 설명합니다. 데이터 수명 주기의 단계에는 컬렉션, 처리, 스토리지, 타사 공유(해당하는 경우), 보존, 전송 및 삭제가 포함됩니다. Microsoft의 개인 정보 보호 접근 방식은 고객의 개인 정보를 보호하기 위해 데이터 수명 주기의 각 단계를 알려줍니다.
Microsoft는 고객 데이터 수집을 DPA에 정의된 고객 데이터, 개인 데이터 및 전문 서비스 데이터의 세 가지 데이터 범주로 제한합니다. Microsoft는 이러한 범주의 데이터를 사용하고 처리하여 고객의 문서화된 지침과 제품 및 서비스 제공에 대한 비즈니스 운영 인시던트에 따라 제품 및 서비스를 제공합니다. 이러한 사용 및 처리 활동에 대한 구체적인 설명은 DPA 에서 각각 "고객에게 제품 및 서비스를 제공하기 위한 처리" 및 "고객에게 제품 및 서비스 제공을 위한 비즈니스 운영 인시던트 처리" 섹션에 정의되어 있습니다.
Microsoft는 타사 공유를 어떻게 처리하나요?
제3자 공유는 제3자에게 데이터를 공유하거나 향후 공개하는 것입니다. Microsoft는 고객의 승인을 받거나 관련 법률에 따라 데이터를 공유해야 하는 경우에만 데이터를 공유합니다. Microsoft는 정부(법 집행 기관 또는 기타 정부 기관 포함)에게 고객 데이터에 대한 직접 또는 무제한 액세스를 제공하지 않습니다. 자세한 내용은 법 집행 요청 보고서 및 미국 국가 안보 명령 보고서를 참조하여 Microsoft가 데이터에 액세스하기 위한 정부 요청에 응답하는 방법을 알아봅니다.
Microsoft는 하위 프로세서 또는 하청업체를 사용하나요?
Microsoft가 공급자를 관리하는 방법에 대한 자세한 내용은 공급자 관리 페이지를 참조하세요.
Microsoft 내에서 고객 데이터에 액세스할 수 있는 사람은 누구인가요?
Microsoft가 고객 데이터에 대한 액세스를 관리하는 방법을 알아보려면 ID 및 액세스 관리 페이지를 참조하세요.
고객 데이터는 어디에 있나요?
Core Online Services의 경우 제품 약관 및 DPA 에 설명된 약정을 참조하여 고객 데이터의 위치에 대한 최신 정보를 찾을 수 있습니다.
핵심 온라인 서비스에 대한 DPA 에 설명된 대로 Microsoft는 제품 약관에 명시된 특정 주요 지리적 영역(각각, 지역) 내에 고객 데이터를 저장합니다. Microsoft EU 데이터 경계에 대한 scope 상용 서비스의 경우 Microsoft는 제품 약관에 명시된 대로 유럽 연합 내에서 고객 데이터를 저장하고 처리합니다. Microsoft는 고객 또는 고객의 최종 사용자가 고객 데이터에 액세스하거나 이동할 수 있는 지역을 제어하거나 제한하지 않습니다.
자세한 내용은 Microsoft 개인 정보 - 사용자의 데이터가 있는 위치를 참조하세요.
Azure 및 M365 서비스의 경우 Azure 데이터 상주 및 M365 데이터 위치를 방문하세요.
기타 서비스 데이터 위치:
- Azure DevOps Services
- Microsoft Entra ID
- Microsoft Commerce
- Microsoft Defender for Cloud Apps
- 엔드포인트용 Microsoft Defender
- 개인 데이터 정책 Microsoft Defender for Identity
- Microsoft Dynamics 365
- Microsoft Intune
- Microsoft Power Platform
- Microsoft 전문 서비스
- Microsoft 위협 방지
Microsoft EU 데이터 경계
2021년 5월 6일, Microsoft는 유럽 고객에 대한 Microsoft의 새로운 약속인 Microsoft 클라우드에 대한 EU 데이터 경계를 발표했습니다. EU 데이터 경계는 Microsoft가 Azure, Dynamics 365, Power Platform 및 Microsoft 365를 비롯한 주요 온라인 서비스 대한 고객 데이터를 저장하고 처리하기 위해 최선을 다하고 있는 지리적으로 정의된 경계로, 고객 데이터가 EU 데이터 경계 외부로 계속 전송되는 제한된 상황에 따라 적용됩니다.
자세한 내용은 다음을 참조하세요.
고객이 서비스를 떠날 때 Microsoft는 고객 데이터를 어떻게 삭제하나요?
Microsoft 데이터 처리 표준은 삭제 후 고객 데이터가 보존되는 기간을 지정합니다. 고객이 구독을 종료하면 Microsoft는 고객이 데이터를 추출할 수 있도록 제한된 기능 계정에 고객 데이터를 90일 동안 보관합니다. 90일의 보존 기간이 종료된 후 Microsoft는 고객 데이터를 보존하도록 승인되거나 법적으로 보존하도록 요구되지 않는 한 고객 데이터를 삭제합니다. Microsoft 온라인 서비스 구독 만료 또는 종료 후 180일 이내에 Microsoft는 계정을 사용하지 않도록 설정하고 계정에서 모든 고객 데이터를 삭제합니다. 데이터의 최대 보존 기간이 경과하면 데이터는 상업적으로 복구할 수 없게 됩니다.
또한 Microsoft는 서비스의 보안 및 안정성을 유지하기 위해 데이터가 필요한 경우가 아니면 표준 Microsoft 데이터 수명 주기의 일부로 모든 서비스 생성 및 진단 데이터를 삭제합니다. 구독의 경우 구독자는 Microsoft 지원에 연락하여 신속한 구독 프로비전 해제를 요청할 수 있습니다. 고객이 이 프로세스를 사용하는 경우 관리자가 Microsoft에서 제공하는 잠금 코드를 입력한 후 3일 후에 모든 사용자 데이터가 삭제됩니다. 이 삭제에는 SharePoint Online의 데이터와 비활성 사서함에 저장되거나 보류 중인 Exchange Online 포함됩니다.
Microsoft는 데이터 기반 디바이스 파괴 문서에 설명된 대로 데이터를 보유할 수 있는 디바이스의 소멸에 대한 NIST SP-800-88 지침을 따릅니다.
관련 외부 규정 & 인증
Microsoft의 온라인 서비스 외부 규정 및 인증 준수에 대해 정기적으로 감사됩니다. 개인 정보 보호와 관련된 컨트롤의 유효성 검사는 다음 표를 참조하세요.
Azure 및 Dynamics 365
| 외부 감사 | 섹션 | 최신 보고서 날짜 |
|---|---|---|
| ISO 27018 적용 가능성 설명 인증서 |
A-2.1: 퍼블릭 클라우드 PII 프로세서의 목적 | 2023년 11월 6일 |
| ISO 27701 적용 가능성 설명 인증서 |
모든 컨트롤 | 2023년 11월 6일 |
| SOC 1 | DS-15: 고객 구독 종료/만료 SDL-1: SDL(보안 개발 수명 주기) 방법론 LA-4: 기밀 고객 데이터 보호 |
2023년 11월 17일 |
| SOC 2 SOC 3 |
DS-15: 고객 구독 종료/만료 SDL-1: SDL(보안 개발 수명 주기) 방법론 LA-4: 기밀 고객 데이터 보호 SOC2-1: 자산 분류 SOC2-7: 게시된 기밀성 및 보안 의무 |
2023년 11월 17일 |
Microsoft 365
| 외부 감사 | 섹션 | 최신 보고서 날짜 |
|---|---|---|
| ISO 27018 적용 가능성 설명 인증서 |
A-2.1: 퍼블릭 클라우드 PII 프로세서의 목적 | 2024년 3월 |
| ISO 27701 적용 가능성 설명 인증서 |
모든 컨트롤 | 2024년 3월 |
| SOC 2 | CA-12: SLA(서비스 수준 계약) CA-17: Microsoft 보안 정책 CA-25: 프레임워크 업데이트 제어 |
2024년 1월 23일 |
리소스
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기