역할 및 책임에 대해 알아보기
Microsoft 온라인 서비스는 보안 및 개인 정보에 대한 책임의 일부는 클라우드 서비스 공급자에 있고 일부는 고객에게 속하는 공유 책임 모델을 기반으로 합니다. Microsoft와 고객 간의 책임 구분은 사용 중인 서비스 모델(인프라, 플랫폼 또는 software as a service), 각 고객이 서비스를 구성하고 사용하는 방법, 관련 개인 정보 보호법 및 규정에 따라 달라집니다.
예를 들어 다음 역할 및 책임은 GDPR 조항을 설명합니다.
데이터 컨트롤러 – 컨트롤러는 개인 데이터를 제어하고 데이터 사용 방법을 결정합니다. 컨트롤러의 책임은 개인 데이터 수집, 유지 관리, 작업 지시, 보호, 수정 및 삭제가 포함되지만 이에 국한되지는 않습니다. 컨트롤러는 시스템에 사용자를 추가하거나, 시스템에 대한 액세스 권한을 부여하고, 데이터 주체로부터 데이터를 수집하거나, 회사를 대신하여 이러한 작업을 완료하는 직원을 보유합니다. GDPR 요청에 대한 프로세스를 이해하고 GDPR 요청을 수행하는 책임은 컨트롤러에게 있습니다.
이 역할은 Microsoft 고객이 합니다.
데이터 프로세서 – 프로세서는 데이터 컨트롤러에게 서비스를 제공하고, 데이터 컨트롤러를 대신하여 데이터를 처리합니다. 프로세서는 컨트롤러를 대신하여 작업을 수행합니다. 프로세서의 도움을 받아 컨트롤러가 GDPR을 준수할 수 있지만, 데이터 소유권이 없으며 데이터 주체 요청에 직접 응답하지 않거나 데이터 보호 영향 평가를 수행하지 않습니다.
이 역할은 Microsoft가 합니다. 데이터 프로세서로서 Microsoft는 보안 및 개인 정보 보호 제어를 구현하여 서비스를 보호하고 데이터 컨트롤러가 규정 준수 의무를 충족하도록 지원합니다. 예를 들어 Microsoft는 테넌시에서 개인 정보 보호 기능을 제어하는 관리자 토글 기능을 제공합니다. 또한 고객 테넌트 관리자와 직접 협력하고 개인 데이터에 대한 서비스 또는 데이터 주체 요청에 대한 최종 사용자의 질문을 리디렉션합니다.
검토해야 할 중요한 측면 중 하나는 규정 준수를 사용하도록 설정하는 방법의 의미입니다. 고객은 종종 "이러한 법률 및 규정을 준수하는지 여부가 무엇을 의미합니까?"라고 묻습니다. 대부분의 산업 또는 지리적 특정 규정의 경우 법률 또는 규정을 준수하는 방식으로 Microsoft 온라인 서비스 사용할 수 있습니다. 그러나 Microsoft는 고객의 개인 데이터 콘텐츠를 분석하지 않으므로 Microsoft 온라인 서비스가 엔드투엔드 규정 준수를 보장할 수는 없습니다.
예를 들어 HIPAA 또는 기타 규정이 적용되는 조직은 직원이 이러한 규정을 위반하는 데 Microsoft 서비스를 사용하지 않도록 자체 교육 프로그램과 보안을 갖추고 있어야 합니다. Microsoft에서 약속할 수 있는 최선은 Microsoft에서 역할을 수행하여 고객이 법적으로 규정을 준수하는 프로그램을 실행할 수 있도록 하는 것입니다.
예를 들어 미국 의사가 HIPAA에 의해 규제되는 당사의 서비스에 환자의 보호된 건강 정보를 저장할 수 있습니다. Microsoft는 직원이 이 환자 정보에 부적절하게 액세스하거나 정보를 공개할 수 없도록 하기 위한 보안 및 개인 정보 보호 제어를 갖추고 있습니다. 그러나 서비스 사용자인 의사도 이를 사용하여 환자의 기밀 정보를 마케팅 담당자에게 보낼 수 있습니다. Microsoft는 고객이 HIPAA를 위반하도록 하는 메시지를 자신도 모르게 전달합니다. Microsoft는 고객 담당자의 지시를 따르는 것으로 간주합니다.
Microsoft는 최신 기술, 보안 및 개인 정보 취급 방침을 통해 서비스를 실행하고 운영하고자 하는 약속을 지지합니다. 각 고객과 당사 서비스 사용자는 특정 요구 사항 및 의무를 준수하는 방법을 결정할 책임이 있습니다.