개인 정보 보호 및 보안 조항
일반 조항
온라인 서비스 약관에 대한 첨부 1에는 공식적으로 개인 정보 보호 & 보안 약관이 포함되어 있습니다.
데이터 보호 추가 조항 또는 DPA(용어에서 정의됨)는 제품에 의한 고객 데이터, 전문 서비스 데이터 및 개인 데이터의 처리 및 보안과 관련된 양 당사자의 의무를 명시합니다. 데이터 보호 추록은 https://aka.ms/DPA에서 다운로드할 수 있습니다. DPA와 고객 라이선싱 계약의 다른 약관(이 약관) 사이에 충돌하거나 일치하지 않는 내용이 있는 경우, DPA가 우선합니다.
핵심 온라인 서비스
“핵심 온라인 서비스”라는 용어는 미리 보기를 제외한 아래 표의 서비스에만 적용됩니다.
온라인 서비스 | |
---|---|
Microsoft Dynamics 365 Core Services | 다음 서비스는 각각 독립 실행형 서비스로 또는 Dynamics 365 상표의 계획 또는 응용 프로그램에 포함됩니다. Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations, Dynamics 365 Sales. Dynamics 365 Core Services에 포함되지 않는 항목으로는 (1) 앱, 태블릿, 휴대폰 등에 사용되는 Dynamics 365를 포함하되 이에 국한하지 않는 지원 대상 장치 또는 소프트웨어용 Dynamics 365 Services, (2) LinkedIn Sales Navigator 또는 (3) 해당 서비스에 대한 라이선스 약정에 명시적으로 정의된 경우를 제외하고 Dynamics 365 Core Services와 함께 제공되거나 그와 연결된 그 밖의 개별 브랜드 서비스가 있습니다. |
Office 365 Services | 독립형 서비스에 속하거나 Office 365 또는 Microsoft 365 브랜드 플랜 또는 제품군에 포함된 서비스로는 고객 Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream(클래식), Microsoft Teams, Microsoft To-Do, Office 365용 Microsoft Defender, 웹용 Office, 비즈니스용 OneDrive, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage 및 Microsoft 365 Copilot이 있습니다. Office 365 Services에는 엔터프라이즈용 Microsoft 365 앱, Microsoft의 제어 범위를 벗어나 작동하는 PSTN 서비스의 일부, 클라이언트 소프트웨어 또는 Office 365나 Microsoft 365 브랜드 플랜 또는 제품군에서 사용할 수 있는 개별 브랜드 서비스(예: Bing 또는 'Office 365용' 브랜드 서비스)가 포함되지 않습니다. |
Microsoft 365 Compliance Services | 다음 서비스는 각각 독립 실행형 서비스 형태 또는 Microsoft 365 상표의 계획 또는 상품군에 포함되는 형태입니다. Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery, and Microsoft Purview Audit, Microsoft Priva Privacy Risk Management, Microsoft Priva Subject Rights Request. |
Microsoft Azure Core Services | Azure AI, Azure AI Content Safety, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure Bastion, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map (Classic), Microsoft Purview Data Catalog (Classic), Microsoft Purview Data Estate Insights (Classic), Microsoft Purview Data Policies (Classic), Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classic), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network 및 VPN Gateway. |
Microsoft Intune 온라인 서비스 | Microsoft Intune의 클라우드 서비스 부분입니다. |
Microsoft Power Platform Core Services | 독립형 서비스에 속하거나 Office 365 또는 Microsoft Dynamics 365 브랜드 플랜 또는 제품군에 포함된 서비스로는 Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages 및 Microsoft Copilot Studio가 있습니다. Microsoft Power Platform Core Services에는 Power BI Report Server, Power BI, PowerApps 또는 Microsoft Power Automate 모바일 애플리케이션, Power BI Desktop 또는 Power Apps Studio를 포함하되 이에 국한하지 않는 어떠한 클라이언트 소프트웨어도 포함되어 있지 않습니다. |
Microsoft Copilot | 회사 또는 학교 계정으로 사용하는 Microsoft Copilot. |
Microsoft Defender Experts | Microsoft Defender Experts의 클라우드 서비스 부분. |
Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps의 클라우드 서비스 부분(이전의 Microsoft Cloud App Security). |
Microsoft Defender for Endpoint 서비스 | Microsoft Defender for Endpoint의 클라우드 서비스 부분. |
Microsoft Defender for Identity | Microsoft Defender for Identity의 클라우드 서비스 부분. |
Microsoft Defender XDR | Microsoft Defender XDR의 클라우드 서비스 부분. |
Microsoft Sentinel | Microsoft Sentinel의 클라우드 서비스 부분입니다. |
Windows 365 | Windows 365의 클라우드 서비스 부분, Windows 365 클라우드 PC에서 실행되는 Windows 운영 체제는 제외합니다. |
핵심 온라인 서비스용 보안 관행 및 정책
또한 각 핵심 온라인 서비스는 DPA의 온라인 서비스에 대한 보안 관행 및 정책 외에도 아래 표에 표시된 제어 표준 및 프레임워크를 준수하고 고객 데이터 보호에 대한 DPA의 부록 A에 명시된 보안 대책을 구현 및 유지합니다.
온라인 서비스 | SSAE 18 SOC 1 Type II | SSAE 18 SOC 2 Type II |
---|---|---|
Office 365 Services | 예 | 예 |
Microsoft 365 Compliance Services | 예 | 예 |
Microsoft Dynamics 365 Core Services | 예 | 예 |
Microsoft Azure Core Services | 다름* | 다름* |
Microsoft Intune 온라인 서비스 | 예 | 예 |
Microsoft Power Platform Core Services | 예 | 예 |
Microsoft Copilot | 예 | 예 |
Microsoft Defender Experts | 다름* | 다름* |
Microsoft Defender for Cloud Apps | 예 | 예 |
Microsoft Defender for Endpoint 서비스 | 예 | 예 |
Microsoft Defender for Identity | 예 | 예 |
Microsoft Defender XDR | 예 | 예 |
Microsoft Sentinel | 예 | 예 |
Windows 365 | 예 | 예 |
*현재 범위는 감사 보고서에 상세히 설명되어 있으며 Microsoft 보안 센터에 요약되어 있습니다.
핵심 온라인 서비스에 대한 고객 데이터 위치
핵심 온라인 서비스의 경우, Microsoft는 온라인 서비스별 약관에 다르게 규정된 경우를 제외하고 다음과 같이 보존 고객 데이터를 특정 주요 지리적 위치(각각 Geo라고 함)에 저장합니다.
- Office 365 Services. 고객이 오스트레일리아, 브라질, 캐나다, EU, 프랑스, 독일, 인도, 일본, 노르웨이, 카타르, 남아프리카 공화국, 대한민국, 스웨덴, 스위스, 영국, 아랍에미리트 또는 미국에서 테넌트를 제공하는 경우, Microsoft는 해당 Geo 내에서만 다음의 고객 데이터를 저장합니다. (1) Exchange Online 사서함 콘텐츠(이메일 본문, 일정 항목 및 이메일 첨부 파일의 콘텐츠), (2) SharePoint Online 사이트 콘텐츠 및 해당 사이트 내에 저장된 파일, (3) OneDrive for Business에 업로드된 파일 및 (4) Microsoft Teams 채팅 메시지(개인 메시지, 채널 메시지, 모임 메시지 및 채팅에 사용되는 이미지를 포함)와 (SharePoint의) Microsoft Stream(Classic)을 사용하는 고객을 대상으로 한 모임 녹음/녹화. (5) Microsoft 365 Copilot과의 저장된 상호 작용 내용(이전 약정에 포함되지 않은 범위). 고객이 Advanced Data Residency 정기가입을 구입하는 경우 Microsoft는 이 조항 및 https://aka.ms/adroverview에 있는 제품 설명서의 "고급 데이터 상주 및 약정" 조항에 따라 특정 고객 데이터를 해당 지역에 저장합니다.
- Microsoft Intune 온라인 서비스. 고객이 Microsoft Intune 테넌트 계정을 제공하여 사용 가능한 Geo 내에서 배포하는 경우, 해당 서비스에 대해 Microsoft는 Microsoft Intune Trust Center에 명시된 경우를 제외하고 특정 Geo 내에 보존 고객 데이터를 저장합니다.
- Microsoft Power Platform Core Services. 고객이 Power Platform Core Services를 제공하여 사용 가능한 Geo 내에서 배포하는 경우, 해당 서비스에 대해 Microsoft는 Microsoft Power Platform Trust Center에 설명된 경우를 제외하고 특정 Geo 내에 고객 데이터를 저장합니다.
- Microsoft Azure Core Services. 고객이 Geo 내에서 배포할 특정 서비스를 구성하는 경우 Microsoft는 보존 고객 데이터를 지정한 Geo에 저장합니다. 고객이 특정 서비스를 통해 특정 지역 또는 미국 이외의 지역에서 배포를 구성할 수 없으며, 서비스에서는 다른 위치에 백업을 저장할 수 없습니다. 자세한 내용은 Microsoft Trust Center(Microsoft가 수시로 업데이트할 수 있지만 일반에 공개된 기존 서비스에 대해 예외를 추가하지 않음)를 참조하십시오.
- Microsoft Defender for Cloud Apps. 고객이 EU 또는 미국에서 테넌트를 프로비전하는 경우, Microsoft는 Microsoft Defender for Cloud Apps Trust Center에 설명된 경우를 제외하고 Microsoft Power BI 보존 고객 데이터를 해당 지역 내에서만 저장합니다.
- Microsoft Dynamics 365 Core Services. 고객이 Dynamics 365 Core Services를 제공하여 사용 가능한 Geo 내에서 배포하는 경우, 해당 서비스에 대해 Microsoft는 Microsoft 365 Trust Center에 설명된 경우를 제외하고 특정 Geo 내에 고객 데이터를 저장합니다.
- Microsoft Defender for Endpoint 서비스. 고객이 Microsoft Defender for Endpoint 테넌트를 제공하여 사용 가능한 Geo 내에서 배포하는 경우, 해당 서비스에 대해 Microsoft는 Microsoft Defender for Endpoint Trust Center에 명시된 경우를 제외하고 특정 Geo 내에 보존 고객 데이터를 저장합니다.
- Microsoft Defender for Identity. 고객이 Microsoft Defender for Identity 테넌트를 제공하여 사용 가능한 Geo 내에서 배포하는 경우, 해당 서비스에 대해 Microsoft는 Microsoft Defender for Identity Trust Center에 명시된 경우를 제외하고 특정 Geo 내에 보존 고객 데이터를 저장합니다.
- Microsoft Defender XDR. 고객이 Microsoft Defender XDR 테넌트를 제공하여 사용 가능한 Geo 내에서 배포하는 경우, 해당 서비스에 대해 Microsoft는 Microsoft Defender XDR Trust Center에 명시된 경우를 제외하고 특정 Geo 내에 보존 고객 데이터를 저장합니다.
- Windows 365. Windows 365 테넌트가 사용 가능한 지역 내에 배포되면 해당 테넌트에 대해 Microsoft는 지정된 지역 내 미사용 고객 데이터를 저장합니다. 고객이 동일한 테넌트 내 Windows 365 클라우드 PC를 사용 가능한 다른 지역에 프로비전하는 경우, 각 클라우드 PC에 대해 Microsoft는 지정된 지역 내 미사용 클라우드 PC 고객 데이터를 저장합니다.
EU 데이터 경계 서비스
"EU 데이터 경계"라는 용어는 유럽 연합(EU) 및 유럽자유무역연합(EFTA)에만 위치한 Microsoft 컴퓨터, 컴퓨팅 환경 및 물리적 데이터 센터를 의미합니다. "EU 데이터 경계 서비스"라는 용어는 미리 보기를 제외한 아래 표의 온라인 서비스에만 적용됩니다.
EU 데이터 경계 서비스 | |
---|---|
Azure | EU 데이터 경계 내 지역에서 배포를 활성화하며 다음과 같은 지역 외 서비스를 활성화하는 Azure 서비스: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Stack HCI의 Azure Kubernetes Service, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
Microsoft 365 | 고객 Lockbox, Exchange Online, Exchange Online용 Exchange Online Archiving, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, (SharePoint의) Microsoft Stream(클래식), Microsoft Teams, Microsoft To-Do, 웹용 Office, Microsoft 365 Apps의 일부로 제공되는 온라인 서비스, 비즈니스용 OneDrive, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft 365 Copilot, Communications Compliance, eDiscovery and Audit, 내부 위험 관리, 정보 장벽, Microsoft Purview 데이터 손실 방지, Microsoft Intune, Priva 개인 정보 위험 관리, Priva 주체 권한 관리, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft 365 Copilot for Sales 및 Microsoft Viva Topics |
Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
EU 데이터 경계 서비스에 대한 고객 데이터 위치
EU 데이터 경계 서비스의 경우, Microsoft는 아래에 설명된 대로 EU 데이터 경계 내에서 고객 데이터 및 개인 데이터 포함)를 저장하고 처리합니다.
고객은 EU 데이터 경계 서비스를 다음과 같이 구성해야 합니다.
- Azure의 경우, 고객은 EU 데이터 경계 내에 위치한 Azure 지역에 서비스를 배포해야 합니다. 자세한 내용은 Azure의 데이터 보존(https://azure.microsoft.com/explore/global-infrastructure/data-residency)을 참조하십시오. 지정된 Azure 지역에 배포를 활성화할 수 없는 서비스의 경우, 고객은 EU 데이터 경계에 대한 Azure 지역 외 서비스 구성(https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services)의 지침을 준수해야 합니다.
- Dynamics 365 및 Power Platform에서 청구 주소지가 EU 또는 EFTA 내에 위치한 테넌트를 고객이 프로비전하는 경우, 고객이 EU 데이터 경계 내 지역(Geo) 내에서 모든 환경을 생성한다면 해당 테넌트는 EU 데이터 경계 범위 내에 위치합니다.
- Microsoft 365에서 청구 주소지가 EU 또는 EFTA 내에 있는 테넌트를 고객이 프로비전하는 경우, 해당 테넌트는 EU 데이터 경계 범위에 포함됩니다. 단, 고객이 Microsoft 365 테넌트를 여러 지역 또는 국가로 확장할 수 있는 Microsoft 365 Multi-Geo 기능 추가 기능을 구입한 테넌트는 제외합니다(https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
EU 데이터 경계 서비스를 사용하면 아래에 명시한 것처럼 https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn 또는 후속 위치에 있는 EU 데이터 경계에 대한 투명성 문서에 자세히 설명된 대로 EU 데이터 경계 외부로 고객 데이터 또는 개인 데이터가 제한적으로 전송될 수 있습니다. 이러한 데이터 전송은 데이터 보호 추록 및 제품 약관에 따라 수행합니다.
- 원격 액세스. EU 데이터 경계 외부에 있는 Microsoft 직원은 EU 데이터 경계 서비스를 운영, 문제 해결 및 보호하는 데 필요하다면 EU 데이터 경계의 데이터 처리 시스템에 원격으로 액세스할 수 있습니다.
- 고객이 개시한 데이터 전송. 고객은 EU 데이터 경계 외부 위치에서 EU 데이터 경계 서비스에 액세스하거나, EU 데이터 경계 외부에 있는 수신자에게 이메일을 보내거나, EU 데이터 경계에 없는 그 밖의 서비스와 함께 EU 데이터 경계 서비스를 사용하는 등 다양한 방법으로 EU 데이터 경계 외부로 데이터 전송을 개시할 수 있습니다.
- 고객 보호. Microsoft는 보안 위협으로부터 고객을 감지하고 보호하기 위해 필요하다면 EU 데이터 경계 외부로 제한된 데이터를 전송합니다.
- 디렉터리 데이터. Microsoft는 서비스를 제공하기 위해 EU 데이터 경계 외부 Microsoft Entra ID의 Microsoft Entra Directory(사용자 이름 및 이메일 주소 포함)에서 제한된 디렉터리 데이터를 복제할 수 있습니다.
- 네트워크 전송. 라우팅 대기 시간을 줄이고 라우팅 복원력을 유지하기 위해 Microsoft는 때때로 EU 데이터 경계 외부로 데이터를 전송할 수 있는 가변 네트워크 경로를 사용합니다.
- 서비스 및 플랫폼 품질과 관리. 서비스 품질 모니터링 및 유지가 요구되거나, 서비스 사용 또는 성능의 정확한 통계적 측정이 필요할 경우, 필명화된 개인 데이터가 EU 데이터 경계 외부로 전송될 수 있습니다.
- 서비스별 이전. 특정 EU 데이터 경계 서비스에 적용되는 전송에 관한 정보는 상기에 언급한 투명성 문서를 참조하십시오.