EU 데이터 경계란?

EU 데이터 경계 개요

EU 데이터 경계는 Microsoft가 Azure, Dynamics 365, Power Platform 및 Microsoft 365를 비롯한 Microsoft 엔터프라이즈 온라인 서비스 대한 고객 데이터 및 개인 데이터를 저장하고 처리하기 위해 최선을 다하고 있는 지리적으로 정의된 경계로, 고객 데이터 및 개인 데이터가 EU 데이터 경계 외부로 계속 전송되는 제한된 상황에 따라 적용됩니다. 이 설명서에서는 이러한 전송에 대한 세부 정보를 제공합니다. EU 데이터 경계 약정에 포함된 온라인 서비스(이 설명서에서 EU 데이터 경계 서비스라고 함)는 Microsoft 제품 약관에서 서비스 계약의 일부로 식별됩니다.

Important

이 EU 데이터 경계 설명서는 게시 날짜를 기준으로 EU 데이터 경계의 현재 상태를 반영합니다. 이 설명서의 많은 경우에 언급했듯이, 당사는 EU 데이터 경계 내에서 더 많은 서비스, 서비스 기능 및 전문 서비스 데이터를 계속 배포하고 있으며, 이에 따라 이 설명서를 업데이트하고 마지막 업데이트 날짜를 기록할 것입니다. 마지막 업데이트: 2024년 1월 2일.

고객 데이터

Microsoft 제품 약관에 정의된 대로 고객 데이터는 온라인 서비스를 사용하여 고객이 Microsoft에 제공하거나 대신 제공하는 모든 텍스트, 소리, 비디오 또는 이미지 파일 및 소프트웨어를 포함한 모든 데이터를 의미합니다. 고객 데이터에는 Professional Services 데이터가 포함되지 않습니다. 명확하게 하기 위해 고객 데이터에는 기술 설정 및 리소스 이름과 같은 온라인 서비스에서 리소스를 구성하는 데 사용되는 정보도 포함되지 않습니다.

시스템 생성 로그의 개인 데이터

Microsoft 온라인 서비스 서비스의 정기적인 작업의 일환으로 시스템 생성 로그를 만듭니다. 이러한 로그는 시간이 지남에 따라 시스템 활동을 지속적으로 기록하여 Microsoft가 시스템이 예상대로 작동하고 있는지 여부를 모니터링할 수 있도록 합니다. "로깅"(로그의 스토리지 및 처리)은 운영 문제, 정책 위반 및 사기 행위를 식별, 검색, 대응 및 방지하는 데 필수적입니다. 시스템, 네트워크 및 애플리케이션 성능을 최적화합니다. 보안 조사 및 복원력 활동을 지원합니다. 법률 및 규정을 준수하기 위한 것입니다. 이러한 로그의 초점은 시스템이 개별 용도가 아닌 운영 방식에 있지만, Microsoft 클라우드 서비스의 이벤트가 클라우드 서비스와의 사용자 상호 작용에 의해 시작되는 경우 이러한 이벤트를 직접 반영하는 일부 로그에는 특정 사용자를 식별하거나 식별할 수 있는 필드가 포함되어야 합니다. 이러한 로그에는 개인 데이터가 포함됩니다. 개인 데이터를 포함할 수 있는 시스템 생성 로그의 예는 다음과 같습니다.

• 사용자 활동 로그와 같은 제품 및 서비스 사용량 데이터
• 사용자가 다른 시스템과 상호 작용하여 특별히 생성된 데이터

시스템 생성 로그의 가명화

GDPR, 제 4(5)에 정의된 가명화는 더 이상 추가 정보를 사용하지 않고 특정 데이터 주체에 귀속될 수 없도록 개인 데이터를 처리하는 것입니다. 즉, 데이터 레코드 내에서 개인 식별 가능한 정보를 가져와서 하나 이상의 인공 식별자 또는 가명으로 대체하여 데이터 주체의 ID를 보호합니다.

Microsoft는 시스템 생성 로그의 모든 개인 데이터를 가명화해야 합니다. Microsoft는 암호화, 마스킹, 토큰화 및 데이터 흐림을 포함하여 시스템 생성 로그에서 개인 데이터를 가명화하는 다양한 기술을 사용합니다. 이는 특정 가명화 방법에 관계없이 권한이 있는 Microsoft 직원이 가명 개인 데이터만 포함하는 로그를 사용하여 작업을 수행할 수 있도록 하여 사용자 개인 정보를 보호합니다. 이를 통해 직원은 사용자를 식별하거나 인증하지 않고도 온라인 서비스 품질, 보안 및 안정성을 보장할 수 있습니다. 예를 들어, 이를 통해 DevOps 직원은 특정 개인을 식별하거나 파악할 수 없도록 특정 지역의 영향을 받는 사용자 수를 포함하여 지역 전체의 서비스 문제의 범위를 식별할 수 있습니다. Microsoft DevOps 모델에 대한 자세한 내용은 EU 데이터 경계에 저장되고 처리된 데이터에 대한 원격 액세스를 참조하세요. 시스템 생성 로그에 무단으로 액세스하는 경우 가명을 사용하면 사용자 개인 정보를 보호할 수 있습니다. 가명화된 로그에서 개인을 가명화할 수 있는 데이터에 대한 컨트롤은 고객 데이터에 적용되는 컨트롤과 동일합니다.

반면, 익명화와 같은 개인 데이터를 제거하는 사용자 개인 정보를 보호하는 다른 방법은 고유한 이벤트 또는 발생 수를 식별하는 데 사용할 수 없도록 데이터를 영구적으로 변경하고 개인을 등록하는 기능을 제거합니다. 시스템 생성 로그에는 Microsoft 클라우드 내에서 수행된 트랜잭션의 유형, 콘텐츠 또는 시간과 같은 사실적인 작업에 대한 정보가 포함되어 있으므로 익명화는 작업의 기록 기록을 손상하여 Microsoft 서비스의 품질, 안정성 및 보안을 보장하는 Microsoft의 기능을 손상시킬 수 있습니다.

Microsoft는 시스템 생성 로그에 대한 액세스 및 사용을 제한하는 몇 가지 단계를 수행합니다. 보안 제어에는 다음이 포함됩니다.

• 각 로그 유형에 필요한 최소 보존 시간에 설정된 보존 정책의 구현을 통한 데이터 최소화.
• 시스템 생성 로그를 정기적으로 검사하고 스크러빙하여 오류 또는 정책 비규격을 검색합니다.
• 서비스 작업과 관련된 목적으로만 시스템 생성 로그의 사용이 제한됩니다.
• 원본 형식으로 반환되도록 개인 데이터의 리하일레이션 또는 리드엔티화를 제한하는 액세스 제어가 필요한 정책입니다.

EU 데이터 경계 국가 및 데이터 센터 위치

EU 데이터 경계는 유럽 연합(EU) 및 유럽 자유 무역 협회(EFTA)의 국가로 구성됩니다. EU 국가는 오스트리아, 벨기에, 불가리아, 크로아티아, 키프로스, 체코, 덴마크, 에스토니아, 핀란드, 프랑스, 독일, 그리스, 헝가리, 아일랜드, 이탈리아, 라트비아, 리투아니아, 룩셈부르크, 몰타, 네덜란드, 폴란드, 포르투갈, 루마니아, 슬로바키아, 슬로베니아, 스페인 및 스웨덴입니다. EFTA 국가는 리히텐슈타인, 아이슬란드, 노르웨이, 스위스입니다.

EU 데이터 경계는 오스트리아, 벨기에, 덴마크, 핀란드, 프랑스, 독일, 그리스, 아일랜드, 이탈리아, 네덜란드, 노르웨이, 폴란드, 스페인, 스웨덴 및 스위스에서 발표되거나 현재 운영되는 Microsoft 데이터 센터를 사용하거나 사용할 수 있습니다. 향후 Microsoft는 EU 또는 EFTA에 있는 추가 국가에 데이터 센터를 설립하여 EU 데이터 경계 서비스를 제공할 수 있습니다.

EU 데이터 경계에서 사용할 서비스를 구성하는 방법

EU 데이터 경계 서비스의 경우 고객 데이터 및 가명화된 개인 데이터는 EU 또는 EFTA의 국가에 있는 데이터 센터에 저장되고 처리됩니다. 경우에 따라 고객은 EU 배포 지역을 직접 선택할 수 있습니다. 다른 경우에는 해당 환경이 EU 데이터 경계에 상주하도록 고객 위치, 청구 주소 또는 고객 결정에 따라 위치가 자동으로 할당됩니다.

• Azure의 경우 고객이 EU 데이터 경계 지역에 배포하는 지역 서비스는 EU 데이터 경계에 대해 scope. EU 및 EFTA에 있는 Azure 지역에 대한 세부 정보를 포함하여 자세한 내용은 Azure의 Data Residency 참조하세요. Azure 비지역 서비스의 경우 EU 데이터 경계에 대해 각 서비스를 scope 구성하는 방법에 대한 자세한 내용은 EU 데이터 경계에 대한 Azure 비지역 서비스 구성을 참조하세요.
• Dynamics 365 및 Power Platform의 경우 고객의 서비스 테넌시가 호스트되는 지리적 영역(지역)은 청구 주소에 따라 결정됩니다. 고객은 EU 데이터 경계에 있는 지역에서 테넌트 및 모든 Dynamics 365 및 Power Platform 환경을 프로비전하여 EU 데이터 경계에 대한 scope 서비스를 구성할 수 있습니다. 자세한 내용은 Power Platform 관리 센터에서 가용성 데크및 환경 만들기 및 관리를 참조하세요.
• Microsoft 365의 경우 EU 또는 EFTA의 국가 또는 지역에 등록 위치가 있는 고객은 EU 데이터 경계에 대한 scope 있습니다. 그러나 다중 지역 기능을 구매한 고객은 테넌트가 EU 또는 EFTA의 국가 또는 지역에 있는 것으로 나열되더라도 EU 데이터 경계에 대한 scope 않습니다. 고객은 Microsoft 365 관리 센터 테넌트의 국가 또는 지역을 검사 수 있습니다.