2017.12.01

다른 회사는 GDPR을 어떻게 준비할까? 5개 기업 사례

Tom Macaulay | Computerworld UK
2018년 5월 25일 GDPR(General Data Protection Regulation) 시행을 앞두고 대부분 기업이 준수 여부를 확인하고자 큰 노력을 기울이고 있다.

최근 SAS가 여러 산업과 지역에서 340명의 경영 간부를 대상으로 조사한 결과, GDPR을 확실히 준수하고자 체계적인 계획을 수립한 조직은 절반이 채 안 되는 것으로 파악됐다(46%).

GDPR 시행에 대응하고 있는 5개 기업을 소개한다.

1. IBM


IBM은 자체 운영으로 고객에게 제공하는 것과 동일한 GDPR 준비 프로그램을 구현하고 있다.

이 프로그램은 데이터 사용을 일련의 작업 스트림으로 나눈다. 여기에는 데이터 컨트롤러로 제공되는 내부 서비스, 데이터 프로세서로서 고객을 위해 수행하는 작업 및 이 둘을 결합하는 공통 서비스가 포함된다. 각 작업 흐름은 발전을 거쳐 문서로 정리되고 있다.

IBM은 새로운 데이터 주체 권한 집합 하에서 의무를 이행할 수 있도록 내부 정책과 절차를 강화했다. 또한 프라이버시 위험 영향 평가와 높은 수준의 매핑을 수행하고 다양한 유형의 데이터를 식별하고 범주화하기 위한 경로 프레임워크를 개발했다.

IBM 글로벌 GDPR 에반젤리스트인 리처드 호그는 "이제 GDPR로 기업은 개인 데이터가 무엇인지, 민감한 개인 데이터가 무엇인지 정확히 알고 신경 써야 한다. 정보에 대한 추가적인 데이터 보호 또는 데이터 개인정보 보호 의무가 있을 수 있다"라고 설명했다.

2. 요들
많은 기업이 데이터 보호 책임자 같은 GDPR 준수 담당자를 지명했지만, 모든 직원이 규정에 따라 의무를 이해해야 한다.

영국 배달회사 요들(Yodel)의 CIO인 애덤 제라드는 직원이 교육을 받고 데이터 보호를 위한 모범 사례를 알고 있는지 확인하고 있다.

제라드는 "우리의 데이터 보호 전문가는 이미 교육을 받았다"고 밝혔다. 이어서 "나는 IT업계의 전폭적인 전문성을 보유한 IT사이버 전문가로서 그 분야의 관심사를 잘 이해하고 있으며, 그중 두 명은 모든 데이터 소스, 모든 애플리케이션을 세세하게 조사하고 있다. 이것이 우리에게 무엇을 의미할까?”라고 말했다.

그는 "우리는 적절한 수준의 엄격함을 갖고 있다고 생각하며, 우리가 통과해야 할 과정을 이해하고 있다고 생각한다. 많은 기술 분야에 종사하고 있다. 보호는 단지 시스템에 저장된 것을 보호하는 것이 아니다”고 이야기했다.

"다행스럽게도 우리 팀은 이 사실을 알기에 충분히 똑똑하며, 개인 정보가 저장되고 저장될 수 있는 모든 다른 프로세스를 조사하고 있다"고 그는 강조했다.

3. 델EMC


델EMC는 2016년 9월 합병된 델과 EMC를 통합하여 GDPR 준비를 위해 모든 데이터 시스템 및 프로세스를 대상으로 감사를 시행했다.

이 회사는 워크데이의 인전작원관리(HCM) 소프트웨어를 모든 HR 정보의 중앙 데이터 관리 플랫폼으로 도입했다. 이 소프트웨어를 통합하면 데이터 사용에 대한 책임과 관행을 설정하는 방법이 제공되며, 이제는 단일 관점에서 추적할 수 있다.

델EMC의 HR 데이터 관리 담당 수석 매니저인 폴 호간이 워크데이 라이징 오브 바르셀로나(Workday Rising of Barcelona)에서 “여러 시스템을 보유하고 동의 알림을 제어하는 것은 매우 복잡하다. 한 시스템에서 하기가 훨씬 더 쉽다”고 이야기했다.

4. 안슈츠 엔터테인먼트 그룹(AEG)


데이터 보호를 위한 대륙 표준의 도입은 기회와 도전을 동시에 가져온다. 스포츠 및 엔터테인먼트 거물인 안슈츠 엔터테인먼트 그룹(Anschutz Entertainment Group, AEG)은 사업 전반의 관행을 개선할 기회를 수용했다.

이 회사의 유럽 IT담당 수석 부사장인 데이비드 존스는 "우리는 복잡성을 겪고 있으며 유럽 3개국에 사업을 운영하고 있다. 물론 GDPR의 이점은 모든 기업들이 하나의 공통 표준 세트를 준수한다는 것이다. 현실은 각 규제 기관이 사물을 약간 다르게 해석하기 때문에 그렇게 되지 않을 것이다”고 설명했다.

존스는 "어느 정도까지 우리는 이미 GDPR의 일부 주제를 독일에서 다루고 있다. 왜냐하면 독일은 마케팅 협상과 같은 일에 앞장서고 있기 때문이다”고 전했다.

그는 "대부분 기업에서 많은 실사가 이뤄지기 때문에 분명히 우리에게 중점을 두고 있으며 정보 보안 책임자와 유럽 법무팀의 핵심 인물들 사이에 약간의 협업이 있었다"고 덧붙였다.

5. 요텔
GDPR은 데이터 주체에 대한 일련의 새로운 권리를 도입한다. 호텔 체인 요텔(Yotel)은 그룹 디렉터이자 디지털 및 IT 담당 부사장인 퍼거스 보이드는 사용자가 데이터를 제어할 수 있도록 절차를 도입하여 대응했다.

보이드는 "이미 웹 사이트와 기타 통신 채널을 준비하여 명시적으로 설치하고, 고객을 위한 마케팅 환경 설정 센터를 제공하여 통신과 마케팅 환경 설정을 스스로 관리할 수 있다"고 말했다.

이어서 그는 "어쨌든 우리의 전체 지리 영역에서 하나의, 가장 좋은 방법으로 일관된 정책을 제공할 것이다"고 덧붙였다. ciokr@idg.co.kr
 



2017.12.01

다른 회사는 GDPR을 어떻게 준비할까? 5개 기업 사례

Tom Macaulay | Computerworld UK
2018년 5월 25일 GDPR(General Data Protection Regulation) 시행을 앞두고 대부분 기업이 준수 여부를 확인하고자 큰 노력을 기울이고 있다.

최근 SAS가 여러 산업과 지역에서 340명의 경영 간부를 대상으로 조사한 결과, GDPR을 확실히 준수하고자 체계적인 계획을 수립한 조직은 절반이 채 안 되는 것으로 파악됐다(46%).

GDPR 시행에 대응하고 있는 5개 기업을 소개한다.

1. IBM


IBM은 자체 운영으로 고객에게 제공하는 것과 동일한 GDPR 준비 프로그램을 구현하고 있다.

이 프로그램은 데이터 사용을 일련의 작업 스트림으로 나눈다. 여기에는 데이터 컨트롤러로 제공되는 내부 서비스, 데이터 프로세서로서 고객을 위해 수행하는 작업 및 이 둘을 결합하는 공통 서비스가 포함된다. 각 작업 흐름은 발전을 거쳐 문서로 정리되고 있다.

IBM은 새로운 데이터 주체 권한 집합 하에서 의무를 이행할 수 있도록 내부 정책과 절차를 강화했다. 또한 프라이버시 위험 영향 평가와 높은 수준의 매핑을 수행하고 다양한 유형의 데이터를 식별하고 범주화하기 위한 경로 프레임워크를 개발했다.

IBM 글로벌 GDPR 에반젤리스트인 리처드 호그는 "이제 GDPR로 기업은 개인 데이터가 무엇인지, 민감한 개인 데이터가 무엇인지 정확히 알고 신경 써야 한다. 정보에 대한 추가적인 데이터 보호 또는 데이터 개인정보 보호 의무가 있을 수 있다"라고 설명했다.

2. 요들
많은 기업이 데이터 보호 책임자 같은 GDPR 준수 담당자를 지명했지만, 모든 직원이 규정에 따라 의무를 이해해야 한다.

영국 배달회사 요들(Yodel)의 CIO인 애덤 제라드는 직원이 교육을 받고 데이터 보호를 위한 모범 사례를 알고 있는지 확인하고 있다.

제라드는 "우리의 데이터 보호 전문가는 이미 교육을 받았다"고 밝혔다. 이어서 "나는 IT업계의 전폭적인 전문성을 보유한 IT사이버 전문가로서 그 분야의 관심사를 잘 이해하고 있으며, 그중 두 명은 모든 데이터 소스, 모든 애플리케이션을 세세하게 조사하고 있다. 이것이 우리에게 무엇을 의미할까?”라고 말했다.

그는 "우리는 적절한 수준의 엄격함을 갖고 있다고 생각하며, 우리가 통과해야 할 과정을 이해하고 있다고 생각한다. 많은 기술 분야에 종사하고 있다. 보호는 단지 시스템에 저장된 것을 보호하는 것이 아니다”고 이야기했다.

"다행스럽게도 우리 팀은 이 사실을 알기에 충분히 똑똑하며, 개인 정보가 저장되고 저장될 수 있는 모든 다른 프로세스를 조사하고 있다"고 그는 강조했다.

3. 델EMC


델EMC는 2016년 9월 합병된 델과 EMC를 통합하여 GDPR 준비를 위해 모든 데이터 시스템 및 프로세스를 대상으로 감사를 시행했다.

이 회사는 워크데이의 인전작원관리(HCM) 소프트웨어를 모든 HR 정보의 중앙 데이터 관리 플랫폼으로 도입했다. 이 소프트웨어를 통합하면 데이터 사용에 대한 책임과 관행을 설정하는 방법이 제공되며, 이제는 단일 관점에서 추적할 수 있다.

델EMC의 HR 데이터 관리 담당 수석 매니저인 폴 호간이 워크데이 라이징 오브 바르셀로나(Workday Rising of Barcelona)에서 “여러 시스템을 보유하고 동의 알림을 제어하는 것은 매우 복잡하다. 한 시스템에서 하기가 훨씬 더 쉽다”고 이야기했다.

4. 안슈츠 엔터테인먼트 그룹(AEG)


데이터 보호를 위한 대륙 표준의 도입은 기회와 도전을 동시에 가져온다. 스포츠 및 엔터테인먼트 거물인 안슈츠 엔터테인먼트 그룹(Anschutz Entertainment Group, AEG)은 사업 전반의 관행을 개선할 기회를 수용했다.

이 회사의 유럽 IT담당 수석 부사장인 데이비드 존스는 "우리는 복잡성을 겪고 있으며 유럽 3개국에 사업을 운영하고 있다. 물론 GDPR의 이점은 모든 기업들이 하나의 공통 표준 세트를 준수한다는 것이다. 현실은 각 규제 기관이 사물을 약간 다르게 해석하기 때문에 그렇게 되지 않을 것이다”고 설명했다.

존스는 "어느 정도까지 우리는 이미 GDPR의 일부 주제를 독일에서 다루고 있다. 왜냐하면 독일은 마케팅 협상과 같은 일에 앞장서고 있기 때문이다”고 전했다.

그는 "대부분 기업에서 많은 실사가 이뤄지기 때문에 분명히 우리에게 중점을 두고 있으며 정보 보안 책임자와 유럽 법무팀의 핵심 인물들 사이에 약간의 협업이 있었다"고 덧붙였다.

5. 요텔
GDPR은 데이터 주체에 대한 일련의 새로운 권리를 도입한다. 호텔 체인 요텔(Yotel)은 그룹 디렉터이자 디지털 및 IT 담당 부사장인 퍼거스 보이드는 사용자가 데이터를 제어할 수 있도록 절차를 도입하여 대응했다.

보이드는 "이미 웹 사이트와 기타 통신 채널을 준비하여 명시적으로 설치하고, 고객을 위한 마케팅 환경 설정 센터를 제공하여 통신과 마케팅 환경 설정을 스스로 관리할 수 있다"고 말했다.

이어서 그는 "어쨌든 우리의 전체 지리 영역에서 하나의, 가장 좋은 방법으로 일관된 정책을 제공할 것이다"고 덧붙였다. ciokr@idg.co.kr
 

X