2018.05.03

GDPR에서 정의하는 '개인정보', 어디에 어떻게 저장돼 있나

Doug Drinkwater | CSO
EU의 GDPR(General Data Protection Regulation)로 인해 쟁점이 과거에 얼마나 많은 기업이 데이터 보호에 접근했는지 그리고 그들의 보안팀이 얼마나 대응해야 하는지에서 그들이 개인정보의 위치를 얼마나 명확하고 신속하게 밝힐 수 있는지로 크게 바뀌었다. 기업들이 가장 고심하는 개인정보에 대한 문제이다.



GDPR 발효일인 5월 25일까지 한 달도 채 남지 않은 현재 기업 및 기관들은 여전히 온프레미스 및 클라우드에 있는 여러 이기종 시스템의 쿠키(Cookie) 데이터부터 장비 식별자와 IP주소까지 엄청난 양의 PII(Personally Identifiable Information)를 보유하고 있을 가능성이 꽤 높다. 당신의 조직이 데이터 관리자인지 아니면 처리자인지 파악하려면 이런 문제가 선결돼야 한다.

PII란 무엇이며 어떻게 활용할 수 있는가?
GDPR는 기존의 자국 내 데이터 보호 법률보다 개인정보 처리가 더욱 광범위하다. GDPR의 2항에 해당 규정이 "자동화된 수단을 이용한 개인정보 전부 또는 일부의 처리와 기록 시스템의 일부를 구성하거나 기록 시스템의 일부를 구성하도록 하는 개인정보에 대한 자동화된 수단에 의하지 않은 처리"에 적용된다고 밝히고 있다.

그렇다면 개인정보를 어떻게 정의할 수 있을까?

4항에 따르면 개인정보는 "식별되거나 식별 가능한 자연인(데이터 대상)에 관련된 정보며, 식별 가능한 자연인은 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자나 해당 자연인의 신체적, 생리학적, 유전적, 정신적, 경제적, 문화적 또는 사회적 신원에 대한 1개 이상의 인자를 참조하여 직간접적으로 식별할 수 있는 사람을 의미한다."

여기에는 IP주소와 쿠키 데이터가 포함될 수 있으며 GDPR이 SAR(Subject Access Request), 잊힐 권리/삭제 권리, 데이터 확률 등의 더 새로운 개념을 도입하면서 EU 주민들은 이제 자신에 대해 어떤 데이터가 수집되는지 알 권리가 있고, 이메일과 소셜 플랫폼부터 HR, HCM, CRM 시스템까지 모든 곳에 PII가 존재할 수 있을 때 기업들에 영향을 끼친다. 

범위 설정 활동이 첫걸음이다
데이터 위치에 대한 인식의 부재도 문제가 되고 있다. 영국의 술집 체인인 웨더스푼스(Wetherspoon)의 경우 갱신된 동의를 바로 확보할 수 없고 해당 개인정보를 적절히 관리 및 보호할 수 없다는 생각에 50만 개 이상의 이메일 마케팅 데이터베이스를 삭제하고 다시 시작했다.

당시 해당 기업은 와이어드(Wired)에 "우리는 모든 것을 감안할 때 고객들의 이메일 주소조차도 보관하지 않는 것이 낫다고 생각했다. 보유하고 있는 고객 정보가 적을수록(현재는 거의 없다.) 데이터와 관련된 위험이 감소한다"고 밝혔다.

영국에 위치한 건축 기업 랫클리프 그로브스(Ratcliffe Groves)의 IT책임자 닉 아이오아노우에 따르면, 조직은 우선 자신의 정체성이 데이터 처리자 또는 관리자인지뿐 아니라 이미 어떤 데이터를 보관하고 있는지 파악해야 한다. 아이오아노우는 "우선 누가 PII 데이터에 대한 접근권한이 있고 자신이 관리자인지, 아니면 처리자인지를 확인해야 한다. 이는 클라우드 기반 이메일 시스템 등 데이터의 위치와도 관련되어 있다. 다음으로 데이터에 대한 위험과 보안을 살펴보고 자동화된 처리를 식별해야 한다. 기업에 영향을 끼치고 GDPR보다 중요한 법률을 이해하는 것도 GDPR 의무를 올바르게 충족하는 데 중요하다"고 설명했다.

2018.05.03

GDPR에서 정의하는 '개인정보', 어디에 어떻게 저장돼 있나

Doug Drinkwater | CSO
EU의 GDPR(General Data Protection Regulation)로 인해 쟁점이 과거에 얼마나 많은 기업이 데이터 보호에 접근했는지 그리고 그들의 보안팀이 얼마나 대응해야 하는지에서 그들이 개인정보의 위치를 얼마나 명확하고 신속하게 밝힐 수 있는지로 크게 바뀌었다. 기업들이 가장 고심하는 개인정보에 대한 문제이다.



GDPR 발효일인 5월 25일까지 한 달도 채 남지 않은 현재 기업 및 기관들은 여전히 온프레미스 및 클라우드에 있는 여러 이기종 시스템의 쿠키(Cookie) 데이터부터 장비 식별자와 IP주소까지 엄청난 양의 PII(Personally Identifiable Information)를 보유하고 있을 가능성이 꽤 높다. 당신의 조직이 데이터 관리자인지 아니면 처리자인지 파악하려면 이런 문제가 선결돼야 한다.

PII란 무엇이며 어떻게 활용할 수 있는가?
GDPR는 기존의 자국 내 데이터 보호 법률보다 개인정보 처리가 더욱 광범위하다. GDPR의 2항에 해당 규정이 "자동화된 수단을 이용한 개인정보 전부 또는 일부의 처리와 기록 시스템의 일부를 구성하거나 기록 시스템의 일부를 구성하도록 하는 개인정보에 대한 자동화된 수단에 의하지 않은 처리"에 적용된다고 밝히고 있다.

그렇다면 개인정보를 어떻게 정의할 수 있을까?

4항에 따르면 개인정보는 "식별되거나 식별 가능한 자연인(데이터 대상)에 관련된 정보며, 식별 가능한 자연인은 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자나 해당 자연인의 신체적, 생리학적, 유전적, 정신적, 경제적, 문화적 또는 사회적 신원에 대한 1개 이상의 인자를 참조하여 직간접적으로 식별할 수 있는 사람을 의미한다."

여기에는 IP주소와 쿠키 데이터가 포함될 수 있으며 GDPR이 SAR(Subject Access Request), 잊힐 권리/삭제 권리, 데이터 확률 등의 더 새로운 개념을 도입하면서 EU 주민들은 이제 자신에 대해 어떤 데이터가 수집되는지 알 권리가 있고, 이메일과 소셜 플랫폼부터 HR, HCM, CRM 시스템까지 모든 곳에 PII가 존재할 수 있을 때 기업들에 영향을 끼친다. 

범위 설정 활동이 첫걸음이다
데이터 위치에 대한 인식의 부재도 문제가 되고 있다. 영국의 술집 체인인 웨더스푼스(Wetherspoon)의 경우 갱신된 동의를 바로 확보할 수 없고 해당 개인정보를 적절히 관리 및 보호할 수 없다는 생각에 50만 개 이상의 이메일 마케팅 데이터베이스를 삭제하고 다시 시작했다.

당시 해당 기업은 와이어드(Wired)에 "우리는 모든 것을 감안할 때 고객들의 이메일 주소조차도 보관하지 않는 것이 낫다고 생각했다. 보유하고 있는 고객 정보가 적을수록(현재는 거의 없다.) 데이터와 관련된 위험이 감소한다"고 밝혔다.

영국에 위치한 건축 기업 랫클리프 그로브스(Ratcliffe Groves)의 IT책임자 닉 아이오아노우에 따르면, 조직은 우선 자신의 정체성이 데이터 처리자 또는 관리자인지뿐 아니라 이미 어떤 데이터를 보관하고 있는지 파악해야 한다. 아이오아노우는 "우선 누가 PII 데이터에 대한 접근권한이 있고 자신이 관리자인지, 아니면 처리자인지를 확인해야 한다. 이는 클라우드 기반 이메일 시스템 등 데이터의 위치와도 관련되어 있다. 다음으로 데이터에 대한 위험과 보안을 살펴보고 자동화된 처리를 식별해야 한다. 기업에 영향을 끼치고 GDPR보다 중요한 법률을 이해하는 것도 GDPR 의무를 올바르게 충족하는 데 중요하다"고 설명했다.

X