Matthew Bernstein, MC Bernstein Data의 정보 관리 전략가
기업은 데이터에서 가치를 찾는 데 점점 더 의존하고 있으며, 규제 기관, 정치인 및 대중은 기업이 소비자 데이터를 사용하는 방식에 대한 조사를 강화하고 있습니다.
방대한 양의 사용 가능한 데이터, 상품화된 IT 인프라(예: 스토리지 및 컴퓨팅), 추출할 것으로 추정되는 가치는 모든 것을 보관, 저장 및 처리하려는 인센티브를 창출합니다. 동시에 데이터 개인 정보 보호 규정이 급증하고, 데이터 보호 및 보존 규칙이 확대되며, 소비자 권리와 기대치가 높아지고 있습니다. 이러한 발전의 교차점에서 발생하는 증가된 정보 거버넌스(IG) 문제를 해결하는 것은 모든 회사의 운영에 “외부화된” 데이터가 널리 보급됨에 따라 더욱 어려워졌습니다. 이 기사에서는 이러한 증가하는 IG 의무 중 일부를 검토하고, 중요한 정보 리소스를 외부화함으로써 제기되는 몇 가지 위험을 강조하고, 상황을 해결하기 위한 좋은 IG 관행을 식별합니다.
데이터 개인 정보 보호는 정보 거버넌스 위험을 가중시킵니다.
미국에서는 산업 부문 규제가 데이터 프라이버시 분야의 규칙이었습니다. 부문별 데이터 개인 정보 보호 규칙이 적용되는 일부 산업에는 소비자 신용, 교육, 통신, 광고 및 의료 서비스가 포함됩니다. 그러나 유럽 일반 데이터 보호 규정(GDPR), 캘리포니아 주 소비자 개인 정보 보호법(CCPA), 미국 연방법 초안 및 데이터 사용에 대한 대중의 관심에서 입증됨에 따라 개인 정보 보호에 대한 우려가 커지고 있습니다. 이 모든 것은 기록 관리, 정보 보안 및 eDiscovery와 같은 기존 IG 위험 및 의무 위에 있습니다.
위험은 어디에 있습니까?
데이터 관리의 “외부화” 및 아웃소싱의 증가 추세는 많은 기업에서 사용하는 시스템과 애플리케이션의 다양성을 감안할 때 기업에 도전 과제를 제기합니다. 널리 사용되는 거의 모든 통신, 처리 및 스토리지 플랫폼(클라우드 서비스, 협업 및 메시징 도구, SaaS 애플리케이션 포함)이 회사 외부에서 운영되기 때문에 서드파티 위험을 식별하는 것은 어려운 일입니다.
기업은 Box, Slack, LinkedIn 및 Twitter와 같은 도구를 사용하여 내부 및 외부와 커뮤니케이션할 가능성이 높습니다. Salesforce 및 Workday와 같은 엔터프라이즈 관리 솔루션과 AWS, Microsoft Azure 및 GoogleCloud와 같은 클라우드 제공업체는 빠르게 발전하는 기업을 위한 플랫폼입니다. 그러나 규제 기관의 관점에서 볼 때 이 데이터의 관리에 대한 책임은 데이터가 외부에 있다는 사실에 관계없이 비즈니스 사용자에게 있습니다. 이러한 데이터 프라이버시 위험에 대한 인식과 책임은 외부로 위탁할 수 없습니다.
더 우려되는 것은 서비스 제공업체가 일반적으로 데이터 개인 정보 보호 정책을 개발하고 구현하기 위해 자체적으로 행동하지 않는다는 사실입니다. 솔루션 및 서비스는 보호 장치를 제공하고 기능을 사용할 수 있도록 할 수 있지만, 적용되는 규칙을 결정하고, 해당 규칙의 적용을 받는 데이터를 식별하고, 시스템 또는 서비스 공급자에게 해당 규칙에 따라 조치를 취하도록 지시하고, 준수를 보장하는 것은 사용자 회사의 몫입니다.
지금 해야 할 일
이러한 상황에서 위험을 해결하기 위해 기업은 아래의 4가지 IG 운영 프레임워크 “빌딩 블록”을 기반으로 하는 데이터 프라이버시 위험 프레임워크를 구축해야 합니다. 리소스는 회사의 규모와 범위에 맞게 적절하게 확장되어야 하며 대기업 IT 솔루션을 수반할 필요가 없습니다.
규정 준수
-
회사 데이터에 적용되는 데이터 개인 정보 보호 요구 사항(법률 및 규정)을 이해합니다.
-
프로세스, 외부 시스템 및 데이터 저장소에서 데이터 개인 정보 보호 요구 사항이 적용되는 데이터를 식별합니다.
정보 라이프사이클 관리
-
불필요한 개인 데이터의 분류, 보존, 보관 및 폐기를 지원하는 프로세스를 구현합니다.
-
개인 데이터 처리가 법률 및 규정을 준수하는지 확인
-
필수적이지 않은 정보의 양을 줄이고, 민감한 데이터를 분류, 구획화 및 암호화하고, 액세스를 제한하여 개인 데이터가 적절하게 보호되도록 합니다.
지배구조
-
공급업체가 해당 회사 정책을 인식하고 준수하도록 보장하기 위한 통제 기관
정보 거버넌스 기술
-
정책에 따라 개인 데이터를 관리하기 위한 적절한 기술 구현
정보에 입각한 접근 방식을 취하고 강력한 규정 준수 조치를 취하는 기업은 규제 집행 조치의 위험을 완화할 수 있습니다. 그렇지 않은 사람들은 새로운 데이터 보호 체제의 십자선에 놓일 수 있습니다.
참고: 이 기사는 Matthew Bernstein의 단독 견해와 의견을 포함하고 있으며 Guidepoint Global, LLC(이하 “Guidepoint”)의 견해나 의견을 반영하지 않습니다. 가이드포인트는 등록된 투자 자문사가 아니며 투자 자문사로서 사업을 하거나 투자 자문을 제공할 수 없습니다. 이 기사에 제공된 정보는 투자 조언을 구성하기 위한 것이 아니며, 제안에 대한 제안이나 권유 또는 증권의 매수, 보유 또는 매도를 권장하기 위한 것이 아닙니다. Guidepoint와 Matthew Bernstein의 명시적인 서면 동의 없이 이 기사를 사용하는 것은 금지됩니다.