GDPR 및 컨텐츠 공급망

GDPR 여정과 컨텐츠 제작, 번역, 디지털 경험 및 제공에 미치는 GDPR의 영향

2015년 12월 Digital Single Market 부사장인 Andrus Ansip은 말했습니다. "유럽의 디지털 미래는 신뢰를 바탕으로만 구축될 수 있습니다. 데이터 보호를 위한 견고한 표준을 통해 사용자의 개인정보가 관리되도록 보장됩니다.”

유럽 연합의 GDPR(General Data Protection Regulation)

유럽을 ‘디지털 시대에 맞추기 위해’ 데이터 보호 개혁을 위한 유럽연합 집행위원회의 계획에 따라 GDPR(General Data Protection Regulation) 프레임워크가 마련되었으며, 현재 법이 시행되고 있습니다.

GDPR은 유럽 연합(EU)의 법으로, 개인을 확인하거나 확인할 수 있는 데이터, 즉 데이터 자체 또는 다른 데이터와 결합되어 개인을 확인할 수 있는 데이터를 각 개인이 더 잘 관리할 수 있도록 권한을 주기 위해 설계되었습니다.

GDPR은 정보의 안전한 보호, 처리 및 저장을 보장하면서 제품 및 서비스의 마케팅 또는 판매를 위해 EU와 유럽경제지역(EEA) 내부 및 외부에 위치한 기업이 개인의 데이터를 어떻게 사용해야 하는지에 관한 여러 가지 규정을 제공합니다.  GDPR은 EU/EEA 내 모든 사람의 데이터와 EU/EEA 기업이 전 세계에 있는 사람들의 개인 데이터를 처리할 때 데이터 개인정보 보호를 강화 및 단일화하는 것을 목적으로 합니다. 

GDPR을 준수하는 것은 쉽지 않은 일이지만, 고객 및 잠재 고객과 신뢰를 쌓을 수 있는 진정한 기회를 제시하며, GDPR을 데이터 전략의 중심에 배치함으로써 새로운 디지털 시대에 성공을 가져다 줄 수 있도록 지원합니다.

GDPR의 복잡성 이해

이해를 돕기 위해 GDPR의 네 가지 주요 개념과 개인 데이터와 데이터의 처리가 무엇을 의미하는지 이해하는 것이 좋습니다.

개인 데이터

확인되었거나 확인 가능한 개인에 대한 모든 정보입니다.

프로세스

개인 데이터 또는 개인 데이터 집합에 수행된 작업 또는 작업 집합입니다.

데이터 통제자

개인 데이터를 처리하는 목적 및 수단을 결정하는 사람 또는 기업입니다.

데이터 처리자

통제자 대신 개인 데이터를 처리하는 사람 또는 기업입니다.

GDPR 과제 해결

GDPR 과제를 해결하고 규정을 준수하는 데 필요한 올바른 요소를 배치할 수 있도록 GDPR 제5조는 모든 개인 데이터와 귀하가 처리해야 할 사항과 관련된 6가지 원칙에 대해 명확히 설명합니다. 데이터 통제자는 이들 원칙에 대한 책임이 있으며, 원칙을 준수함을 입증하고 데이터에 대한 사용자의 요청에 대응하는 수단을 갖추어야 합니다.  한편 데이터 통제자는 이러한 요청에 대한 대응 정도를 제한하는 GDPR의 조항을 따를 수 있습니다.

  • 데이터 주제와 관련하여 적법하고 공정하며 투명한 방식으로 처리합니다.
  • 명확하게 지정된 합법적인 목적으로만 수집하며, 이러한 목적에 맞지 않는 방식으로 추가적으로 처리하지 않습니다.
  • 처리 목적(‘데이터 최소화’)에 따라 적절하고 관련되며 반드시 필요한 경우에만 한해 사용되도록 합니다.
  • 정확성을 보장하고 필요한 경우 최신 정보를 유지합니다.
  • 개인 상세 정보 처리 목적에 필요한 기간 동안만 데이터 주체에 대한 신원 확인을 허용합니다.
  • 적절한 보안을 보장하면서 개인정보를 처리합니다.

개인정보 보호 설계 및 기본 원칙

GDPR과 귀하의 컨텐츠 공급망을 통해 자신만의 방법을 성공적으로 검색하려면 자신이 처리하는 개인정보가 무엇인지 이해하고 올바른 프로세스를 갖추며 고객과의 투명성을 보장해야 합니다. SDL은 귀하의 컨텐츠 여정의 측면에서 올바른 방향으로 갈 수 있도록 도우며, GDPR을 준수하기 위해 적절한 대책을 마련할 수 있도록 지원합니다.

GDPR은 데이터 통제자가 데이터의 수집에서부터 폐기까지 모든 프로젝트의 데이터 처리 수명주기에 걸쳐 개인 데이터의 보호 관리를 원칙적으로 고려하는 “데이터 보호 설계 및 기본 원칙”을 구현하도록 법적인 의무를 부과합니다. 

SDL은 소프트웨어를 개발할 때 개인정보 보호를 위해 데이터를 수집하는 프로세스와 시스템에 익명성을 설계하는 안전한 소프트웨어 개발 원칙을 고수합니다. 오늘날 SDL이 수립한 표준은 SDL의 소프트웨어가 정보 기관, 은행, 정부 기관 등 기밀성을 가장 중요시하는 조직의 데이터 기밀 유지 프로세스에서 핵심적인 역할을 하고 있다는 것을 의미합니다. 

SDL 소프트웨어를 사용하는 귀사는 SDL 소프트웨어(온프레미스 또는 클라우드)를 통해 처리되는 모든 개인 데이터의 통제자입니다. SaaS(Software as a Service)를 제공하기 위해 SDL의 소프트웨어를 사용하는 경우, SDL은 개인 데이터의 저장 또는 전송에 관한 데이터 처리자가 됩니다. SDL은 개인정보 보호를 만족하는 설계를 통해 SaaS가 안전한 환경에서 배포되고 적절하게 보안이 이루어질 수 있도록 보장합니다.

고객과의 약속: 귀하의 GDPR 컨텐츠 여정에 걸친 탐색

SDL은 고객이 GDPR을 준수할 수 있도록 지원하기 위해 고객이 필요한 기능을 제공하고 생성, 번역, 납품 등 컨텐츠 공급망에 걸친 프로세스를 통해 안내를 제공합니다.  SDL은 GDPR을 준수할 수 있는 책임 있는 방식으로 소프트웨어의 기능을 활용하는 방법에 대한 지침을 제공합니다.

아래의 상자를 클릭하면 SDL 소프트웨어가 귀하를 지원하는 방법에 대해 이해할 수 있습니다.

SDL 번역 소프트웨어 및 서비스

먼저, SDL의 소프트웨어를 사용하는 사용자의 개인정보 보호 문제에 대해 생각합니다. 

개인정보 보호 설계 원칙에 따라 SDL의 번역 소프트웨어는 사용자 데이터 보유를 최소화하고, 다른 곳에 보유된 정보를 참조하지 않고는 파악할 수 없는 사용자 이름(가명)을 선택하게 하는 등 보유하고 있는 데이터에 대한 통제권을 사용자에게 부여합니다. 

번역되는 자료의 개인정보 처리 방법을 둘러싼 더 복잡한 문제들이 있습니다. 

개인 데이터가 있다면, 개인정보 보호 설계를 적용하는 가장 직관적이고 안정적인 방법은 다음과 같습니다.

  1. 파일 준비 중 컨텐츠 가명화 즉, 프로젝트 매니저(또는 그에 상응하는 역할)가 파일을 번역가, 서비스 공급업체나 기타 사용자에게 전달하기 전에 소스 컨텐츠 파일의 개인 데이터를 임의로 가명 스트링으로 대체하게 합니다.
  2. 가명화가 되돌려지면 해당 키를 삭제합니다. 일단 번역된 컨텐츠가 확정되고 생성된 가명을 통해 승인되면 프로젝트 매니저는 최종 결과물에 필수 개인정보가 포함되도록 프로세스를 반대로 전환합니다. 그런 다음 프로젝트 매니저는 가명화 키를 안전하게 삭제할 수 있습니다.

마지막으로 SDL의 소프트웨어 또는 번역가를 컨텐츠에 노출하는 데이터 통제자는 컨텐츠 내에 있는 데이터와 GDPR 준수에 대해 책임을 진다는 것을 기억해야 합니다.   이는 소프트웨어 또는 데이터 처리자의 관리 기능을 벗어나는 내용이지만, 몇 가지 간단한 실습을 통해 GDPR을 준수하도록 지원할 수 있습니다. 


컨텐츠 가명화 방법

사람의 감독 없이 자동으로 개인 데이터 가명화를 100% 정확하게 파악하는 방법은 없습니다. 그러나 도움을 드릴 수는 있습니다. SDL은 SDL AppStore에서 무료로 이용 가능한 앱을 개발했습니다. 앱을 통해 아래와 같은 사항을 수행할 수 있습니다. 

  • 정규식(일반적인 표현)을 이용한 소스 컨텐츠 상세 검색으로 개인 데이터의 포함 여부를 확인합니다. 
  • 무작위 토큰으로 특정 식별 정보를 대체합니다. 
  • 이후 앱을 이용해 타겟 파일의 가명화를 되돌립니다. 

이 앱을 사용하려면 먼저 파일을 XLIFF 형식으로 내보내야 합니다(번역을 위해 파일을 준비하는 데 사용 중인 소프트웨어에 따라 다름). 지적 자산 등 민감한 정보는 물론 SDL 소프트웨어로 처리되는 개인 데이터를 보호하기 위해 다층 보안 및 보안 통제가 필요합니다. 

귀하의 번역 공급망이 GDPR을 준수하는지 확인하려면 번역과 로컬라이제이션 프로세스 측면에서 GDPR 준수 노력을 간소화하기 위해 시행할 수 있는 기술과 단계를 확인함으로써 기업들을 지원하도록 설계된 SDL 평가에 응시하시기 바랍니다.


기계 번역과 개인 데이터

SDL의 SaaS(Software-as-a-Service) 기계 번역(MT) 제품은 번역을 위해 제공된 고객 컨텐츠를 영구 저장하지 않습니다. 컨텐츠는 번역을 위해 필요한 기간 동안만 해당 서비스 내에 저장됩니다. 

귀하의 번역 컨텐츠를 학습해 언어 쌍에 맞는 현지화가 완료된 SDL MT를 구입할 경우, 학습 컨텐츠에 개인 데이터가 포함되지 않도록 유의합니다. 개인 데이터가 포함되지 않도록 학습 데이터를 가명화할 수 있습니다.

SDL Tridion DX(SDL Tridion Sites, SDL Tridion Docs) 및 개인정보 보호 설계

SDL Tridion Sites 또는 SDL Tridion Docs의 고객과 SDL Tridion DX 제품군 두 가지 모두의 고객은 자신이 GDPR을 준수하는지 검토하고 개인정보 보호, 보안 및 암호화가 최상으로 시행되도록 해야 합니다. 귀하의 웹사이트는 문서 및 컨텐츠 측면에서 현재 개인정보 방침을 포함하며, 개인 데이터를 수집할 때 필요에 따라 확실한 권한을 확보하고 이를 방문자에게 공지합니다. 또한 방문자들이 다음과 같은 사항에 참여할 수 있도록 고려합니다.


  • 명시적 선택 또는 등록 프로세스를 통한 개인 데이터 처리에 대한 동의
  • 셀프 서비스 수신 설정 센터에서 수신 설정 관리
  • 구독 취소, 탈퇴, 동의 또는 데이터 처리 반대와 같은 기능을 제공

법적 고지 사항을 추가하면 방문자를 위한 웹사이트 전반에 걸친 분위기와 기대치를 설정하는 데 도움이 됩니다. 사람들의 사생활에 영향을 미치는 새로운 기술을 활용하거나 개인 데이터와 관련된 실생활 활동을 모니터링하는 새로운 사이트를 개발하려면 올바른 개인정보 보호정책이 수립되도록 데이터 보호 영향 평가를 완료하시기 바랍니다. 또한 보안, 행동 강령 및 인증의 투명성을 유지하고 보안 백업 및 주요 이해 관계자에 대한 개인정보 보호 교육과 관련된 위험 요소를 최소화합니다.

특히 SDL Tridion Sites에서는 개인 데이터 처리에 관한 모든 기능을 사용할 수 있습니다. 그러나 방문자 상황과 관련된 기능과 최적화 또는 합리화 경험은 더욱 주의를 기울여 처리해야 합니다. 이러한 기능에는 다음 사항이 포함됩니다.

  • 주변 데이터 프레임워크
  • 컨텍스트 카트리지
  • 방문자 관리
  • CRM 가속기 및 커넥터
  • 사용자 생성 컨텐츠
  • BluePrinting
  • 상황별 템플릿
  • 컨텐츠 제공 API
  • 사용 환경 최적화

이 기능을 GDPR을 준수하는 방식으로 사용하는 방법을 더 잘 이해하려면 SDL의 웨비나를 시청하시거나 현지 Tridion 지원 담당자에게 문의하시기 바랍니다.   또한 커뮤니티 블로그 시리즈(여기)에서 GDPR 및 SDL Tridion DX에 대해 자세히 알아볼 수 있습니다.

데이터 보호를 위한 보안

인프라 보안 

SDL은 데이터 보호를 위해 필요한 보안을 제공합니다. 데이터의 안전을 위해 가장 엄격한 보안 프로세스를 적용합니다.

SDL 소프트웨어를 사내에 배포할 경우 인프라에 대해서는 귀하가 책임을 져야 합니다. IT 부서는 SDL 소프트웨어를 호스팅하는 서버와 컴퓨터를 위험(데이터 컨트롤러에 의해 평가됨)에 대비해 적절하게 보호해야 합니다. 

SDL이 호스팅하는 (클라우드 기반) 소프트웨어 및 서비스의 경우는 SDL이 데이터 처리자이며 최고 수준의 인프라 보안을 책임집니다. SDL이 관리하는 모든 제품은 ISO 27001, ISO 9001, ISO 27018 등을 준수하는 인프라와 서비스를 유지 관리하는 클라우드 서비스 공급업체가 제공하는 서비스에 배포되어 있습니다. 모든 SDL 사이트는 ISO 27002 모범 사례 규정에 따라 관리되고 있으며, 일부는 ISO 27001의 인증을 받았으며, ISO 27001 인증까지 적극적으로 확장하고 있습니다. 

SDL은 고객 보안 요구사항에 부합하기 위한 높은 수준의 유연성을 제공합니다. 이 사안에 대해 자유롭게 의견을 주시기 바랍니다. 계약된 기본 보안 통제 외에도 관리된 보안 서비스를 통한 고급 보안 기능 옵션을 제공합니다.

데이터 누출 시 

클라우드 기반 소프트웨어의 경우, GDPR에 따라 요청 공지가 꼭 필요한 데이터 누출 사실을 SDL이 적극적으로 발견 및 공지하기를 원한다면 ISO 27035 표준에 따라 설계된 자사의 보안 사건 관리 프로세스에 대해 문의하시기 바랍니다. 

보안 소프트웨어 개발 

보안은 SDL 개발 프로세스 과정에서 매우 중요한 요소로 여겨집니다. 보안 엔지니어와 아키텍트가 처음부터 참여해 인프라, 애플리케이션 및 데이터베이스 계층을 아우르고 특정 위험 평가, 보안 통제장치 개발 및 보안 테스팅을 포함하는 계획을 함께 추진함으로써 소프트웨어에 적절하고 안정적인 보안이 확보되도록 합니다.

클라우드 환경에 대한 고려 사항

SDL의 클라우드 운영 팀은 데이터 개인정보 보호 및 보안을 포함한 솔루션을 배포하기 위해 개발 팀 및 설계자와 긴밀하게 협력하며 개인정보 보호 설계를 위해 노력합니다. SDL이 호스팅하는 (클라우드 기반) 소프트웨어 및 서비스의 경우는 SDL이 데이터 처리자이며 최고 수준의 인프라 보안을 책임집니다. 모든 SDL 관리 제품은 SOC(1, 2, 3) 및 ISO(27001, 9001, 27018 등)를 준수하는 인프라 및 서비스를 유지하는 클라우드 서비스 공급업체에 배포되었으며, 모든 SDL 사이트는 ISO-27002 모범 사례에 따라 관리되고 일부는 현재 ISO-27001 인증을 받았습니다. SDL은 ISO-27001 인증을 적극적으로 확대하고 있습니다.

클라우드의 데이터 개인정보 보호 및 보안에 대한 사전 예방적 전략을 수립하려면 다음을 수행하는 것이 좋습니다. 

  • ISO 인증 구축: 컨텐츠 라이프사이클 프로세스의 각 단계에 제어 기능 부여, 데이터 보호, 감사 추적 제공 및 보안 상황 발생 시 대응 절차 설명. 
  • 적절한 구성 관리 및 데이터 추적 기능 설정: 관리하는 각 서버와 관련된 고객 및 데이터의 완전한 투명성 유지. 
  • 포괄적인 보안 정책, 툴셋 및 로드맵 보유:
        - 최소 권한 액세스
        - 전체 ID 및 액세스 관리(IAM) 정책
        - 적절할 경우 다중 요소 및 다단계 인증
        - 강력한 암호 정책 - 모든 액세스 로그 및 비활성 계정에 대한 정기적인 감사
        - 데이터 개인정보 보호 책임자 및 보안 위원회와 정기적인 정책 및 도구 검토를 통해 진행중인 로드맵 정의 
  • 가능한 경우 침입 감지/예방 조치 설정. 
  • 가능한 경우 전송 중인 데이터 및 저장 중인 데이터 암호화 보장. 
  • 모든 클라우드 관리자는 데이터 기밀성과 보호에 대한 교육 필수화 보장. 
  • 모든 데이터 센터 및 호스트 공급업체가 모든 관련 인증서를 보유하고 모든 필수 보안 기능 제공 보장. 
  • 데이터 보존 정책을 이해 및 명확하게 설명하고, 백업의 결과로 저장된 데이터를 관리하기 위한 제어 기능 제공.
        - 안전하고 완전한 삭제 절차 마련 
  • 활성 데이터의 추적, 동결, 다운로드, 수정 및/또는 삭제 가능하도록 보장.
웨비나 및 프레젠테이션
인포그래픽
블로그

SDL은 비즈니스의 핵심에 데이터 개인정보 보호 및 GDPR을 적용하고 있습니다.

디지털 경험을 활성화하고 훌륭한 고객 여정을 창출하는 SDL은 비즈니스의 핵심에 데이터 개인정보 보호 및 GDPR을 적용해 아래와 같은 사항을 보장합니다.

  • 개인 데이터를 공정하고 적법하게 취급
  • 데이터의 안전한 저장
  • 모든 데이터 위반 보고
  • 필요한 수준의 정보만 저장
  • 데이터에 액세스하는 사용자에 관한 기록 유지
  • 요청 시 데이터 제공