온라인 소매업체는 파트너사와 고객 데이터를 공유하기 전에 항상 사용자의 명시적인 동의를 얻습니다. 탐색 앱은 여행 동향을 분석하기 전에 활동 데이터를 익명화합니다. 학교는 학생 정보를 제공하기 전에 학부모에게 신원을 확인하도록 요청합니다.
이는 조직이 데이터 개인정보 보호를 지원하는 방법, 즉 개인 데이터를 볼 수 있는 사람, 수집할 수 있는 사람 및 사용 방법을 포함하여 사람들이 자신의 개인 데이터를 제어할 수 있어야 한다는 원칙을 보여주는 몇 가지 예입니다.
오늘날 기업에서 데이터 개인정보 보호의 중요성은 아무리 강조해도 지나치지 않습니다. 유럽의 GDPR과 같은 광범위한 규정은 민감한 정보를 보호하지 못하는 조직에 막대한 벌금을 부과합니다. 악의적인 해커나 직원의 과실로 인한 개인정보 침해는 회사의 평판과 수익을 파괴할 수 있습니다. 한편, 개인정보 보호를 우선시하는 기업은 소비자와의 신뢰를 구축하고 개인정보 보호에 덜 민감한 경쟁업체보다 우위를 점할 수 있습니다.
그러나 많은 조직이 의지를 가지고 있음에도 불구하고 개인정보 보호에 어려움을 겪고 있습니다. 데이터 개인정보 보호는 과학이라기보다는 예술에 가깝습니다. 수집한 데이터로부터 가치를 창출하는 기업의 능력을 저해하지 않으면서 법적 의무, 사용자 권리 및 사이버 보안 요구 사항의 균형을 맞추어야 합니다.
사람들이 지출 및 기타 민감한 금융 정보를 추적하는 데 사용하는 예산 책정 앱을 생각해 보세요. 사용자가 가입하면 앱은 수집하는 데이터와 해당 데이터를 사용하는 방법을 명확하게 설명하는 개인정보 취급방침을 표시합니다. 사용자는 각 데이터 사용을 개별적으로 수락하거나 거부할 수 있습니다.
예를 들어, 앱이 개인화된 제안을 생성하도록 허용하면서 제3자와 데이터를 공유하는 것을 거부할 수 있습니다.
이 앱은 모든 사용자 금융 데이터를 강력하게 암호화합니다. 백엔드의 고객 데이터에 접근할 수 있는 사람은 관리자뿐입니다. 또한 관리자는 고객의 계정 문제 해결을 돕기 위한 목적으로만 데이터를 사용할 수 있으며, 사용자의 명시적인 허가가 있어야 합니다.
이 예시는 일반적인 데이터 개인정보 보호 프레임워크의 세 가지 핵심 구성 요소를 보여줍니다.
관련 규정을 준수하는 것은 많은 데이터 개인정보 보호 노력의 기반이 되는 일입니다. 데이터 보호법은 다양하지만 일반적으로 개인 데이터를 수집하는 조직의 책임과 해당 데이터를 소유한 데이터 주체의 권리를 정의합니다.
IBM OpenPages Data Privacy Management를 통해 규정 준수 정확도를 개선하고 감사 시간을 단축하는 방법을 알아보세요.
GDPR은 유럽 내외 조직이 EU 거주자의 개인 데이터를 처리하는 방식을 규율하는 유럽 연합의 개인정보 보호 규정입니다. 아마도 가장 포괄적일 뿐만 아니라 가장 엄격한 개인정보 보호법 중 하나일 것입니다. 규정 미준수에 대한 벌금은 최대 20,000,000유로 또는 전년도 조직의 전 세계 매출의 4% 중 더 높은 금액에 달할 수 있습니다.
2018년 데이터 보호법은 본질적으로 영국 버전의 GDPR입니다. 이 법은 이전의 데이터 보호법을 대체하며 EU와 동일한 권리, 요구 사항 및 처벌을 다수 구현합니다.
캐나다의 PIPEDA는 민간 부문 기업이 소비자 데이터를 수집하고 사용하는 방법을 관리합니다. PIPEDA는 데이터 주체에게 자신의 데이터에 대한 상당한 통제권을 부여하지만, 이는 상업적 목적으로 사용되는 데이터에만 적용됩니다. 저널리즘이나 연구와 같은 다른 목적으로 사용되는 데이터는 제외됩니다.
미국의 많은 개별 주에는 자체 데이터 개인정보 보호법이 있습니다. 그 중 가장 눈에 띄는 것은 캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act, CCPA)으로, '캘리포니아에서의 사업 행위'를 정의하는 방식 때문에 웹 사이트를 운영하는 거의 모든 조직에 적용됩니다.
CCPA는 캘리포니아 주민이 자신의 데이터 판매를 방지하고 요청에 따라 데이터를 삭제할 수 있는 권한을 부여합니다. 조직은 위반 건당 최대 미화 7,500달러의 벌금을 부과받게 됩니다. 그 액수는 빠르게 늘어날 수 있습니다. 기업이 동의 없이 사용자 데이터를 판매할 경우, 판매한 각 기록은 하나의 위반으로 간주됩니다.
미국에는 국가 차원의 광범위한 데이터 개인정보 보호 규정이 없지만 보다 구체적인 법률이 있습니다.
아동 온라인 개인정보 보호법(COPPA)에 따라 조직은 13세 미만의 어린이로부터 데이터를 수집하고 처리하기 전에 부모의 허가를 받아야 합니다. 현재 미국 상원에서 검토 중인 어린이 온라인 안전법(KOSA)이 법제화되면 어린이 데이터 취급 규정이 더욱 엄격해질 수 있습니다. KOSA는 온라인 서비스에서 18세 미만 사용자에 대해 가장 높은 수준의 개인정보 보호 설정을 기본값으로 설정하도록 요구합니다.
건강 보험 양도 및 책임에 관한 법률(HIPAA)은 의료 서비스 제공자, 보험 회사 및 기타 기업이 개인 건강 정보를 보호하는 방법을 다루는 연방법입니다.
결제 카드 산업 데이터 보안 표준(PCI DSS)은 법률이 아니라 Visa와 American Express를 포함한 신용카드 회사 컨소시엄이 개발한 일련의 표준입니다. 이러한 표준은 기업이 고객의 결제 카드 데이터를 어떻게 보호해야 하는지 간략하게 설명합니다.
PCI DSS는 법적 요건은 아니지만 신용카드 회사와 금융 기관은 이를 준수하지 않는 비즈니스에 벌금을 부과하거나 결제 카드 처리를 금지할 수 있습니다.
개인정보 보호 규정 준수는 시작에 불과합니다. 법을 준수하면 처벌을 피할 수 있지만 해커, 오용 및 기타 개인정보 위협으로부터 개인 식별 정보(PII) 및 기타 민감한 데이터를 완전히 보호하기에는 충분하지 않을 수 있습니다.
조직에서 데이터 개인정보 보호를 강화하기 위해 사용하는 몇 가지 일반적인 원칙과 관행은 다음과 같습니다.
효과적인 데이터 거버넌스를 위해서는 조직이 보유한 데이터의 유형, 데이터의 위치, 데이터의 사용 방식을 파악해야 합니다.
생체 인식 및 주민등록번호와 같은 일부 데이터는 다른 데이터보다 더 강력한 보호가 필요합니다. 데이터가 네트워크를 통해 이동하는 방식을 파악하면 사용량을 추적하고 의심스러운 활동을 감지하며 적재적소에 보안 조치를 취하는 데 도움이 됩니다.
마지막으로, 완전한 데이터 가시성을 확보하면 데이터 주체의 정보 액세스, 업데이트 또는 삭제 요청을 더 쉽게 준수할 수 있습니다. 조직에 완전한 데이터 재고가 없는 경우 삭제 요청 후 의도치 않게 일부 사용자 기록이 남을 수 있습니다.
디지털 소매업체는 이름, 이메일 주소, 저장된 결제 정보와 같이 보유하고 있는 모든 종류의 고객 데이터를 카탈로그화합니다. 이는 각 유형의 데이터가 시스템과 디바이스 간에 이동하는 방식, 액세스 권한이 있는 사람(직원 및 제3자 포함), 데이터 사용 방식을 매핑합니다. 마지막으로 소매업체는 민감도 수준에 따라 데이터를 분류하고 각 유형에 적절한 제어 기능을 적용합니다. 회사는 데이터 재고를 최신 상태로 유지하기 위해 정기적인 감사를 실시합니다.
조직은 사용자에게 데이터 수집 및 처리에 대한 통제권을 최대한 많이 부여하여 개인정보 위험을 제한할 수 있습니다. 기업이 데이터로 어떤 일을 하기 전에 항상 사용자의 동의를 받는다면, 기업은 다른 사람의 개인정보를 침해하기가 어렵습니다.
하지만 조직은 때때로 당사자의 동의 없이 누군가의 데이터를 처리해야 하는 경우가 있습니다. 이러한 경우 회사는 범죄자가 숨기고 싶은 범죄를 신문에 보도하는 것처럼 합법적인 법적 이유가 있는지 확인해야 합니다.
소셜 미디어 사이트는 셀프 서비스 데이터 관리 포털을 만듭니다. 사용자는 사이트와 공유하는 모든 데이터를 다운로드하고, 데이터를 업데이트 또는 삭제하고, 사이트에서 자신의 정보를 처리하는 방법을 결정할 수 있습니다.
기업은 더 많은 개인 데이터를 원할 수 있지만, 기업이 수집하는 개인 데이터가 많을수록 개인정보 보호 위험에 더 많이 노출될 수 있습니다. 대신, 조직은 데이터 수집의 구체적인 목적을 파악하고 그 목적을 달성하는 데 필요한 최소한의 데이터만 수집하는 제한 원칙을 채택할 수 있습니다.
보존 정책도 제한되어야 합니다. 조직은 특정 목적이 달성되는 즉시 데이터를 폐기해야 합니다.
한 공중 보건 기관이 특정 지역의 질병 확산에 대해 조사하고 있습니다. 조사 기관은 조사 대상 가구로부터 어떠한 PII도 수집하지 않습니다. 아픈 사람이 있는지 여부만 기록합니다. 조사가 완료되고 감염률이 확인되면 기관은 데이터를 삭제합니다.
조직은 타사 파트너가 수행하는 모든 작업을 포함하여 데이터로 수행하는 모든 작업에 대해 사용자에게 최신 정보를 제공해야 합니다.
한 은행은 매년 모든 고객에게 개인정보 보호 고지를 보냅니다. 이 고지에는 은행이 계좌 소유자로부터 수집하는 모든 데이터, 규제 준수 및 신용 결정 등의 목적으로 해당 데이터를 사용하는 방법, 데이터 보유 기간에 대한 개요가 나와 있습니다. 또한 은행은 개인정보 처리방침이 변경되는 즉시 계정 소유자에게 이를 알립니다.
엄격한 액세스 제어 조치를 통해 무단 액세스 및 사용을 방지할 수 있습니다. 합법적인 이유로 데이터가 필요한 사람만 데이터에 액세스할 수 있어야 합니다. 조직은 데이터에 대한 액세스 권한을 부여하기 전에 다중 인증(MFA) 또는 기타 강력한 수단을 사용하여 사용자의 신원을 확인해야 합니다. ID 및 액세스 관리(IAM) 솔루션은 조직 전체에 걸쳐 세부적인 액세스 제어 정책을 시행하는 데 도움이 될 수 있습니다.
한 기술 회사는 역할 기반 액세스 제어 정책을 사용하여 직원의 역할에 따라 액세스 권한을 할당합니다. 사람들은 핵심 업무를 수행하는 데 필요한 데이터에만 액세스할 수 있으며, 승인된 방식으로만 사용할 수 있습니다. 예를 들어, HR 책임자는 직원 기록은 볼 수 있지만 고객 기록은 볼 수 없습니다. 고객 서비스 담당자는 고객 계정을 볼 수 있지만 고객의 저장된 결제 데이터는 볼 수 없습니다.
조직은 미사용 데이터, 전송 중, 사용 중인 데이터를 보호하기 위해 툴과 전술을 조합하여 사용해야 합니다.
의료 서비스 제공 업체는 환자 데이터 스토리지를 암호화하고 침입 탐지 시스템을 사용하여 데이터베이스로 들어오는 모든 트래픽을 모니터링합니다. 데이터 유출 방지(DLP) 도구를 사용하여 데이터가 어떻게 이동하고 어떻게 사용되는지 추적합니다. 직원 계정이 환자 데이터를 알 수 없는 디바이스로 이동하는 것과 같은 불법 활동을 감지하면 DLP는 경보를 발생시키고 연결을 끊습니다.
개인정보 영향 평가(PIA)는 특정 활동이 사용자 개인정보에 얼마나 많은 위험을 초래하는지 결정합니다. PIA는 데이터 처리가 사용자 개인정보 보호에 어떤 영향을 미칠 수 있는지, 그리고 이러한 개인정보 보호 문제를 예방하거나 완화하는 방법을 파악합니다.
한 마케팅 회사는 새로운 시장 조사 프로젝트가 시작되기 전에 항상 PIA를 실시합니다. 이 기회를 통해 처리 활동을 명확하게 정의하고 데이터 보안 격차를 해소할 수 있습니다. 이렇게 하면 데이터가 특정 목적으로만 사용되며 모든 단계에서 보호됩니다. 회사는 합리적으로 완화할 수 없는 심각한 위험을 발견하면 연구 프로젝트를 재조정하거나 취소합니다.
'의도적으로, 기본적으로 데이터 개인정보 보호하기'는 기본적으로 조직이 구축하는 모든 제품 및 모든 프로세스에서 개인정보 보호가 핵심 구성 요소가 되어야 한다는 철학입니다. 모든 시스템의 기본 설정은 개인정보 보호에 가장 친화적인 설정이 되어야 합니다.
사용자가 피트니스 앱에 가입하면 앱의 개인정보 보호 설정이 자동으로 "내 데이터를 제3자와 공유하지 않음"으로 기본 설정됩니다. 조직이 데이터를 판매할 수 있도록 허용하려면 사용자가 수동으로 설정을 변경해야 합니다.
데이터 보호법을 준수하고 개인정보 보호 관행을 채택하면 조직이 가장 큰 개인정보 보호 위험을 피하는 데 도움이 될 수 있습니다. 하지만 개인정보 침해의 가장 일반적인 원인과 기여 요인을 조사하여 기업이 주의해야 할 사항을 파악하는 것도 가치 있는 일입니다.
조직이 완벽한 네트워크 가시성을 확보하지 못하면 그 틈새에서 개인정보 침해가 발생할 수 있습니다. 직원이 민감한 데이터를 보호되지 않은 섀도우 IT 자산으로 옮길 수도 있습니다. 관리자가 이러한 행동을 발견하고 시정할 수 있는 감독 권한이 부족하기 때문에 데이터 주체의 허락 없이 개인 데이터를 정기적으로 사용할 수 있습니다. 사이버 범죄자는 탐지되지 않고 네트워크를 몰래 이동할 수 있습니다.
온프레미스 자산, 원격 근무자, 클라우드 서비스 등을 포함하는 기업 네트워크가 더욱 복잡해지면서 IT 에코시스템 전반에서 데이터를 추적하기가 점점 더 어려워지고 있습니다. 조직은 공격 표면 관리 솔루션 및 데이터 보호 플랫폼과 같은 툴을 사용하여 프로세스를 간소화하고 데이터가 어디에 있든 데이터를 보호할 수 있습니다.
IBM 데이터 개인정보 보호 솔루션이 사용자 동의 관리 및 포괄적인 데이터 거버넌스와 같은 주요 개인정보 보호 원칙을 구현하는 방법을 알아보세요.
일부 규정에서는 자동 처리를 위한 특별 규칙을 설정합니다. 예를 들어, GDPR은 자동화된 데이터 처리를 통해 내려진 결정에 이의를 제기할 수 있는 권리를 사람들에게 부여합니다.
생성형 인공 지능의 등장은 더욱 심각한 개인정보 보호 문제를 야기할 수 있습니다. 조직은 이러한 플랫폼이 입력한 데이터로 수행하는 작업을 매번 제어할 수 없습니다. ChatGPT와 같은 플랫폼에 고객 데이터를 제공하면 오디언스 인사이트를 얻는 데 도움이 될 수 있지만, AI는 해당 데이터를 학습 모델에 통합할 수 있습니다. 데이터 주체가 자신의 PII를 AI 학습에 사용하는 데 동의하지 않은 경우 이는 개인정보 침해에 해당합니다.
조직은 AI 처리를 포함하여 데이터를 처리하는 방법을 사용자에게 명확하게 설명하고 주체의 동의를 얻어야 합니다. 그러나 조직조차도 AI가 데이터로 수행하는 모든 작업을 알지 못할 수 있습니다. 이러한 이유로 기업은 데이터를 최대한 제어할 수 있는 AI 앱을 사용하는 것을 고려해야 합니다.
IBM 데이터 유출 비용(CODB) 보고서에 따르면 도난당한 계정은 데이터 유출의 주요 원인입니다. 조직은 사용자에게 필요 이상의 권한을 부여하는 유혹에 빠지곤 합니다. 사용자가 가진 액세스 권한이 많을수록 해커가 계정을 탈취하여 더 많은 피해를 입힐 수 있습니다.
조직은 최소 권한의 원칙을 따라야 합니다. 사용자는 작업을 수행하는 데 필요한 최소한의 권한만 가져야 합니다.
직원이 조직의 정책 및 규정 준수 요구 사항을 알지 못하면 실수로 사용자 개인정보를 침해할 수 있습니다. 또한 개인 생활에서 올바른 개인정보 보호 습관을 실천하지 않음으로써 회사를 위험에 빠뜨릴 수도 있습니다.
예를 들어, 직원이 개인 소셜 미디어 계정에서 과도하게 정보를 공유하는 경우 사이버 범죄자는 이 정보를 사용하여 설득력 있는 스피어 피싱 및 비즈니스 이메일 침해 공격을 만들 수 있습니다.
사용자 데이터를 제3자와 공유하는 것이 자동으로 개인정보 침해가 되는 것은 아니지만, 위험을 증가시킬 수 있습니다. 데이터에 액세스할 수 있는 사람이 많을수록 해커, 내부자 위협 또는 직원의 부주의로 인해 문제를 일으킬 수 있는 경로가 많아집니다.
또한 부도덕한 제3자가 회사의 데이터를 무단으로 사용하여 당사자의 동의 없이 데이터를 처리할 수도 있습니다.
조직은 모든 데이터 공유 계약이 모든 당사자가 고객 데이터의 적절한 보호 및 사용에 대한 책임을 지는 법적 구속력이 있는 계약의 적용을 받도록 해야 합니다.
PII는 신원 도용을 저지르거나, 돈을 훔치거나, 암시장에서 판매하는 데 사용할 수 있는 사이버 범죄자의 주요 표적입니다. 암호화 및 DLP 도구와 같은 데이터 보안 조치는 회사 네트워크를 보호하는 것만큼이나 사용자 개인정보를 보호하는 데에도 중요합니다.
전 세계적으로 개인정보 보호 규제가 강화되고 있고, 평균적인 조직의 공격 표면이 확대되고 있으며, AI의 급속한 발전으로 데이터의 소비 및 공유 방식이 변화하고 있습니다. 이러한 환경에서 조직의 데이터 개인정보 보호 전략은 보안 태세를 강화하고 경쟁사와 차별화할 수 있는 탁월한 차별화 요소가 될 수 있습니다.
예를 들어 암호화 및 ID 및 액세스 관리(IAM) 툴과 같은 기술을 생각해 보세요. 이러한 솔루션을 사용하면 데이터 유출로 인한 재정적 타격을 줄일 수 있으며, 데이터 유출 비용(CODB) 보고서에 따르면 조직은 미화 572,000달러 이상을 절약할 수 있다고 합니다. 그 외에도 건전한 데이터 개인정보 보호 관행은 소비자와의 신뢰를 증진하고 브랜드 충성도를 높일 수 있습니다(ibm.com 외부 링크).
데이터 보호가 비즈니스 보안과 성공에 더욱 중요해짐에 따라 조직은 데이터 보호 원칙, 규정, 위험 완화를 최우선 과제로 삼아야 합니다.
Guardium Data Protection 살펴보기