데이터 개인 정보 보호는 데이터가 승인된 사람에 의해서만 의도된 목적으로 사용되도록 하는 데이터 보안의 일종입니다.
데이터를 생성, 수집, 공유, 분석하는 능력은 기하급수적으로 증가하고 있습니다. 실제로, 인류는 매일 2,500조 바이트에 달하는 데이터를 생성하는 것으로 알려져 있습니다. 그리고 조직에서는 매일 매분 엄청난 양의 데이터를 수집하고 마이닝하여 트렌드, 기회, 고객의 생각에 대한 인사이트를 얻습니다.
안타깝게도 데이터 수집은 흔히 '광범위한' 접근 방식으로, 공개적인 데이터와 함께 개인의 민감한 사용자 정보를 불법적으로 캡처하여 소비자와 기업 모두에게 문제를 일으킵니다. 뿐만 아니라 고객이 자발적으로 공유하는 개인 데이터라도 무단 액세스로부터 보호되지 않으면 큰 문제가 발생할 수 있습니다. 따라서 데이터 개인정보 보호 문제는 모든 시장과 산업 전반에서 중요합니다.
데이터 디지털화의 범위와 효율성이 높아짐에 따라 모든 조직이 캡처한 개인 데이터를 기반으로 쉽게 개인 프로필을 구축할 수 있게 되었습니다. 이름, 나이, 주소와 같은 기본 정보는 물론이고 겉보기에 무해해 보이는 것(예: 관심 및 취미, 구매 선호, 관계 등)부터 극도로 사적인 것(예: 주민등록번호, 신용 정보, 건강 데이터, 위치, 및 움직임 등)까지 오늘날 거의 모든 형태의 개인 정보가 디지털로 존재합니다.
많은 경우 온라인으로 공유하는 정보는 우리가 의도하든 의도하지 않든 간에 기계를 더 스마트하게 학습시키는 데 사용됩니다. 우리가 소셜 미디어에 강아지 사진을 게시하면 준지능 알고리즘이 다음에 강아지를 볼 때 강아지로 인식하도록 스스로를 학습시킵니다. 우리가 온라인에서 수행하는 검색은 기계가 인간 언어를 더 잘 이해하고 복제하도록 학습시킵니다.
하지만 데이터가 사용되는 방식에 관계없이 데이터가 존재하며 알려지지 않은 사용자가 사용할 수 있다는 사실이 경각심을 일으키고 있습니다. 국회의원은 물론이고 전 세계의 고객이 기업이 원래 데이터 소유자에게 데이터 수집 및 사용 방법에 대한 최종 결정권을 줄 것을 요구하기 시작했습니다.
따라서 건전한 데이터 개인정보 보호 정책을 수립하고 준수하는 조직은 고객의 신뢰를 받을 수 있습니다. 이와 동시에, 새로운 데이터 개인정보 보호법, 표준 및 규정 위반과 관련된 법적 위험으로부터 자유로울 수 있습니다. 최근 FTC가 Facebook에 50억 달러의 벌금을 부과한 것은 이러한 법률 위반에 얼마나 무거운 처벌이 따를 수 있는지를 입증합니다.
Facebook에 부과된 50억 달러 벌금은 소비자 개인정보 보호 위반으로 기업에 부과된 벌금액 중 역사상 가장 큰 사례이지만, 앞으로도 이렇듯 무거운 처벌이 이루어질 것입니다. 미국, 유럽 연합, 남미 등에 위치한 여러 국가의 정부 감시 기관은 무단 데이터 수집 및 사용에 대해 단호한 입장을 취합니다. 데이터 개인정보 보호 정책을 업데이트하지 않는 조직은 고객의 신뢰보다 더 많은 것을 잃을 위험이 있습니다.
한편, 데이터 보호 플레이북을 적극적으로 최신화하여 데이터가 데이터 소유자의 권리를 침해하지 않고 윤리적이고 합법적으로 사용되도록 하는 실시간 통합 자동화 기술을 사용하는 기업은 몇 가지 이점을 누릴 수 있습니다.
그 이점은 다음과 같습니다.
앞에서 언급했듯이 데이터 개인정보 보호의 가장 큰 비즈니스 이점 중 하나는 처벌과 벌금을 피할 수 있다는 것입니다. 민감한 데이터가 불법적으로 공개되는 경우 영향을 받는 고객에 배상해야 하는 것은 말할 필요도 없으며, 개인정보 보호법 미준수에 대한 처벌은 점점 더 무거워지고 있습니다.
뿐만 아니라 정부 기관은 사용자 데이터 보호에 대한 책임을 심각하게 받아들이고 있으며, 기업이 고객 데이터를 위험에 빠뜨리지 않도록 새로운 법률을 제정하고 감시를 강화하고 있습니다. 적절한 데이터 개인 정보보호 정책을 만들고 준수하는 조직은 범죄를 저지르게 될 위험으로부터 자유로울 수 있습니다.
소비자와 기업의 관계는 구매 거래를 훨씬 더 능가하는 관계입니다. 조직과 거래 관계를 맺을 때 고객은 그 조직이 그 과정에서 교환될 수 있는 모든 개인 데이터를 존중하고 보호할 것이라고 신뢰하는 것입니다. 그 신뢰가 깨지면 되돌리기 어렵습니다.
개인정보 침해는 평판 및 브랜드를 심각하게 손상시킵니다. 오늘날의 고객은 선택할 수 있는 옵션이 매우 다양하며 많은 경우 데이터 보안과 관련된 단 한 번의 실수로 인해 경쟁업체에 고객을 잃을 수 있습니다. 반대로 데이터 개인정보 보호를 위한 노력을 분명히 보여주고, 고객에게 데이터가 수집되고 사용되는 방식을 무제한으로 제어할 수 있는 권한을 주고, 데이터를 투명하게 사용하는 기업은 고객 충성도가 높아집니다. 이는 브랜드 가치 향상과 고객의 생애 가치 증대로 이어질 수 있습니다.
데이터 개인정보 보호 관리를 위해 조직은 데이터와 비즈니스 전반에 걸쳐 데이터가 상호 작용하는 방식을 보다 자세히 살펴봐야 합니다. 데이터 수집 및 사용 방법을 결정하기 위한 상세한 감사 및 지속적인 정기 후속 감사를 시작으로 기업은 데이터 관리 비효율성을 쉽게 식별하고 해결할 수 있습니다. 이를 통해 데이터 중심적인 문화를 조성하고 비즈니스 프로세스를 간소화하여 모든 부서에 도움이 될 수 있습니다.
개인정보 보호 이니셔티브는 또한 기업이 데이터 플랫폼을 통합하여 모든 관련 데이터 및 데이터 관리 도구를 중앙 집중식 단일 위치로 가져올 것을 장려합니다. 이를 통해 데이터 사일로와 관련된 위험을 줄이고, 데이터 분석을 개선하고, 데이터 무결성을 높이며, 더욱 탄탄한 인사이트에 기반하여 의사 결정을 내릴 수 있습니다.
고객에게 더 나은 서비스를 제공하고 평판 저하를 방지하며 기존 및 신규 법률을 준수하기 위해 많은 소프트웨어 개발자는 개인정보를 고려한 설계(PbD)를 채택하고 있습니다.
PbD는 데이터 개인정보 보호에 보다 신중하게 접근하는 새로운 방식입니다. PbD는 시스템 엔지니어가 모든 제품, 서비스, 인프라, 실무에 개인정보 확인 및 솔루션을 통합할 것을 권고합니다. 개발 초기 단계부터 이를 고려해야 하며 프로덕션 전반과 롤아웃 및 이후 지원 단계에서도 지속적으로 고려해야 합니다.
PbD는 데이터 개인정보 보호를 출시 직전에 사후적으로 고려하지 않고 개발 라이프사이클 전반에서 우선시할 수 있도록 보장합니다.
효과적인 데이터 개인정보 보호는 고객 데이터를 책임 있게 처리하기로 결정하는 것 이상을 요구합니다. 현대 기업이 성공적인 데이터 개인정보 관리를 위해 극복하거나 피해야 하는 다양한 장애물들이 존재합니다.
인공 지능(AI)의 발전으로 조직은 대량의 사용자 데이터를 보다 쉽고 정확하게 분석할 수 있습니다. 하지만 이러한 새로운 기능에는 '데이터 분석이 어디까지 허용되어야 하는지'에 관한 윤리적 문제가 수반됩니다. AI는 그 자체로는 무해한 데이터를 기반으로 매우 개인적이고 가치 있고 민감한 정보를 추출할 수 있습니다. 기업은 이러한 전략을 사용하기 전에 데이터 수집이 가져올 결과를 완전히 파악하고 있어야 합니다.
데이터 개인정보 보호에 대한 책임의 대부분은 데이터를 사용하는 직원에게 있습니다. 제대로 교육을 받지 못한 직원은 데이터를 잘못 배치하거나 노출하거나 오용하기 쉬우며, 이로 인해 고객은 위험에 노출되고 기업은 보복에 노출될 수 있습니다. 뿐만 아니라 신뢰할 수 없는 직원이 민감한 데이터를 훔치려고 시도할 수 있습니다. 모든 직원은 고객 정보에 액세스하기 전에 철저한 조사를 받아야 하고, 관련 데이터 개인정보 보호 정책 및 표준에 대한 교육을 받아야 합니다.
많은 기업이 데이터 수집 및 분석에 집중하지만 비즈니스 관계가 끝나면 해당 데이터에 대한 책임을 완전히 이행하지 못합니다. 개인 데이터는 고객(또는 직원)이 비즈니스와 관련된 기간에만 확립된 표준에 따라 보관해야 합니다. 개인 데이터를 필요 이상으로 오래 보관하면 벌금과 처벌을 받을 수 있으며 데이터 유출은 더 큰 피해를 초래할 수 있습니다.
웹 및 클라우드 호스팅 소프트웨어는 조직에 안전하지 않은 데이터 액세스 지점을 생성할 수 있습니다. 데이터 보안을 위해 새 애플리케이션을 조직 내에 배포하기 전에 애플리케이션을 철저하게 검사하여 안전한지 확인해야 합니다.
데이터 보호는 필수적이지만 데이터 위협이 보안 통제를 넘어서거나 긴급 이벤트가 데이터 무결성을 위협하는 경우 기업은 효과적인 인시던트 응답 계획이 필요합니다. 데이터 유출의 첫 징후가 나타날 때 바로 배포할 수 있도록 계획을 만들고 공유하고 개선하고 교육하면 이러한 위협으로 인한 잠재적 피해를 줄일 수 있습니다.
새로운 법률은 고객이 공유할 데이터 유형을 선택할 수 있어야 한다는 점을 강조하며 고객이 조직에 데이터를 사용할 수 있는 명시적 권한을 제공해야 한다고 규정하고 있습니다. 거래에 꼭 필요한 데이터만 수집하도록 제한하지 않는 기업은 법적 문제에 직면할 위험이 있습니다.
조직이 난해하고 복잡한 정책으로 비양심적인 의도를 숨길 수 있었던 시대는 지났습니다. 이제 데이터 개인정보 보호 사용 약관은 모든 고객 또는 기타 이해관계자가 쉽게 이해할 수 있어야 합니다. 사용자가 무엇에 동의하고 있는 것인지 불명확하다는 사실을 입증할 수 있으면 책임은 기업에 있습니다.
고객이 개인 정보가 포함된 온라인 양식을 방치하면
다른 사용자가 해당 데이터에 액세스할 수도 있습니다. 세션 만료 안전 기능은
사용자가 할당된 시간 동안 사이트에서 특정 작업을 수행하지 않은 경우 민감한 양식 및 기타 정보에 대한
액세스를 차단하도록 설계되었습니다. 모든 애플리케이션과 컴퓨터 시스템에
이러한 보호 장치를 포함하면 데이터가 노출되지 않도록 더욱 안전하게 보호할 수 있습니다.
디지털 데이터를 A 지점에서 B 지점으로 바로 이동하는 것으로 생각하기 쉽습니다.
하지만 전송되는 동안 예기치 않은 데이터의 경유로 인해 권한 없는 사용자에게 민감한 정보를
잠재적으로 노출할 수 있습니다. 안전하지 않은 채널은 데이터 개인정보 보호와 관련된 주요 문제입니다.
기업은 안전한 채널(예: SFTP 또는 TLS)만 사용해야 합니다.
오늘날의 비즈니스 환경에서 데이터 개인정보 보호가 중요하다는 것은 분명합니다. 그렇다면 조직은 어떻게
문제를 극복하고 데이터 개인정보 보호 문화를 만들 수 있을까요? 여기에서는
데이터 개인정보 보호를 시작하는 데 도움이 되는 몇 가지 베스트 프랙티스를 간략하게 설명합니다.
데이터 개인정보 보호는 비즈니스 전체의 문제이자 책임이며, IT 부서에만 국한되어서는 안 됩니다. 데이터 개인정보 보호정책을 수립하고 준수할 때 전체적인 접근 방식을 취하고 조직의 모든 부서를 참여시켜야 합니다.
효과적인 데이터 개인 정보보호 관리는 조직이 데이터의 위치, 데이터에 포함된 내용, 액세스 권한이 있는 사람 및 최신 상태를 명확히 파악하고 있는지에 달려 있습니다. 데이터 매핑은 비즈니스의 현재 데이터 상황을 자세히 보여줍니다.
실행 가능한 정책 및 사용 약관을 갖추는 것만으로는 부족합니다. 이러한 정책을 따르지 않고 약속과 의무를 이행하지 않는 기업은 법적 책임과 고객의 신뢰 저하에 직면하게 됩니다.
데이터 수집은 고정된 프로세스가 아니며, 조직에서 관련 있고 유용하다고 생각하는 데이터의 유형은 분기마다 혹은 이보다 자주 변경될 수 있습니다. 즉, 조직이 데이터 수집 및 사용 관행을 변경하기로 결정한 경우 이러한 변경 사항을 반영하도록 정책을 업데이트해야 합니다.
어떤 비즈니스도 혼자서는 할 수 없습니다. 외부 벤더와 계약업체가 민감한 고객 데이터에 액세스해야 할 수 있으므로 조직은 파트너가 신뢰할 수 있는 보안 관행을 갖추고 있는지 확인하기 위해 철저히 검증해야 합니다. 그렇지 않으면 외부 공급업체 엔터티를 통해 데이터 유출이 발생할 수도 있습니다.
정부는 매년 데이터 개인정보 보호 위반에 더욱 강경한 입장을 취하고 있습니다. 다음은 데이터 개인정보 보호를 강화하기 위한 전 세계 다양한 분야의 최근 법안 목록입니다.
유럽 연합: 개인 데이터에 대한 EU 시민 통제를 강화하고 기업의 데이터 관련 규정을 간소화하고 확립하며 EU 및 EEA 지역 외부의 개인 데이터 수집 및 전송 문제를 해결합니다.
캘리포니아주: 기업이 개인 데이터를 처리하고 사용할 수 있는 방식을 규제하여 캘리포니아 시민의 데이터 개인정보 보호 권리와 소비자 보호를 강화합니다.
캘리포니아주: CCPA를 확장하여 캘리포니아 주민의 데이터 권리를 강화하고 더 엄격한 비즈니스 규정을 수립하고 더욱 다양한 경우를 포함하기 위해 동의 요구 사항을 확대합니다.
버지니아주: 개인 데이터에 대한 버지니아 주민의 개인정보 보호 제어 권한을 확대하여 조직에서 수집한 개인 정보에 액세스하고 이를 수정하고 삭제할 수 있도록 합니다. 또한 모든 규모의 기업이 준수해야 하는 데이터 수집 표준 및 규정을 수립합니다.
브라질: EU의 GDPR과 유사한 조항 및 규정을 포함합니다. 또한 브라질 기업은 정책의 준수를 보장하기 위해 데이터 보호 담당자를 임명해야 합니다.
ServiceNow는 거버넌스, 리스크 및 컴플라이언스를 통한 개인정보 관리 기능을 제공합니다. 설계 단계부터 개인정보를 보호하세요. 위험 및 규정 준수에 대한 실시간 최신 정보를 확보하고 Privacy Management로 신뢰를 구축하세요.