피페다란? 규정 준수를 위해 알아야 할 모든 것

데이터 개인 정보 보호는 비즈니스를 성사시키거나 망칠 수 있습니다.

소비자에게 데이터를 제어하고 개인 정보를 보호하기 위해 많은 중요한 규정 준수 및 표준이 개발되었습니다. 소비자 데이터를 전반적으로 다룰 때는 최근에 추가된 블록, PIPEDA, 영향을 받는 당사자 및 미준수에 대한 처벌을 비롯한 다양한 규정을 이해하는 것이 중요합니다.

여기에서 PIPEDA, HIPAA 및 GDPR 개인 정보 보호 표준과 비교하는 방법, 조직에서 PIPEDA 규정 준수를 유지할 수 있는 방법에 대해 자세히 알아보세요.

피페다란?

PIPEDA(개인 정보 보호 및 전자 문서법) 는 2000년 4월 13일에 Royal Assent를 받아 2001년 1월 1일부터 단계적으로 시행된 캐나다 법률입니다. 이 법률은 2004년 1월 1일에 완전히 제정되었습니다.

PIPEDA는 캐나다 기업이 소비자 개인 정보 보호에 대한 우려를 완화하면서 글로벌 디지털 경제에서 경쟁할 수 있도록 합니다. 개인 정보 보호와 같은 효과적인 법률 및 결과를 보장하기 위해 5년마다 법률을 검토해야 합니다.

개인 정보는 식별 가능한 개인에 대한 주관적이거나 사실적인 정보입니다. 다음과 같은 요소가 포함되어 있습니다.

• 개인 건강 정보(PHI)
• 고용 내역 및 파일
• 신용 및 대출 기록
• 평가, 징계 등 주관적인 정보
• 이름, 나이 및 ID 번호와 같은 직접 식별자

PIPEDA의 목적은 무엇입니까?

PIPEDA 개인정보취급방침은 관련법령이 적용되는 기업이 영리행위를 할 때 개인정보를 취급할 수 있는 기본적인 사항을 정하고 있습니다. 캐나다 프라이버시 커미셔너 사무소(Office of the Privacy Commissioner of Canada)는 PIPEDA 규정 준수를 감독합니다. OPC의 임무에는 기업이 개인 정보를 처리하는 방법을 최적화하고 캐나다 시민의 개인 정보 불만 사항을 조사하도록 지원하는 것이 포함됩니다.

PIPEDA의 발전에 어떤 영향을 미쳤습니까?

법률이 제안되고 승인되는 데는 이유가 있습니다. 많은 경우에 목표는 기존 법률의 결점이나 간과를 수정하는 것입니다.

이 경우 PIPEDA의 추진력은 점점 더 많은 고객이 전자 상거래 솔루션으로 전환함에 따라 기업이 전자적으로 전송된 개인 데이터를 처리하는 방법에 대한 우려가 증가하는 것이었습니다. PIPEDA는 상업 조직이 개인 데이터를 관리하는 방법에 대한 규칙을 설정하여 데이터 사용과 관련된 소비자의 권리를 보호하려고 합니다.

다음은 몇 가지 주요 PIPEDA 조항입니다.

• 이 법은 개인 정보의 프라이버시에 대한 개인의 권리와 비즈니스를 수행할 때 정보를 수집하고 처리해야 하는 조직의 요구 사이의 균형을 추구합니다 .
• PIPEDA에 따라 캐나다인은 조직이 개인 정보를 수집, 사용 또는 공개하는 이유를 알 권리가 있습니다. 소비자는 수집된 데이터를 검토하고 부정확성을 수정하기 위해 수정할 수 있습니다.
• 기업은 개인 정보를 수집, 사용 또는 공개하는 데 동의를 받아야 합니다. 이 요구 사항은 데이터가 조사를 용이하게 하거나 비공개가 공공 안전을 위태롭게 하는 긴급 상황에서 중단됩니다.
• PIPEDA는 조직이 개인 정보를 처리하는 방식에 대해 개인 정보 보호 커미셔너에게 불만을 제기할 수 있는 권리를 개인에게 부여 합니다. 프라이버시 커미셔너는 불만을 조사하고 해결합니다.
• 개인 정보 보호 커미셔너는 정보를 대중에게 공개 하거나 해당 문제를 캐나다 연방 법원에 회부할 수 있으며, 이 경우 조직이 특정 관행을 중단하고 영향을 받는 개인에게 손해 배상을 판결할 수 있습니다.
• PIPEDA에는 국제 데이터 보호법 및 개인 정보 보호를 위한 캐나다 표준 협회의 모델 개인 정보 보호 규정에 기반한 일련의 공정한 정보 원칙이 포함되어 있습니다 . 이 코드는 회사, 소비자 협회, 정부 및 개인 정보 보호 표준과 관련된 기타 조직에서 공동으로 개발했습니다.

PIPEDA의 10가지 공정한 정보원칙

PIPEDA의 핵심은 법률의 적용을 받고 개인 데이터 처리에 관여하는 기업이 준수해야 하는 10가지 공정 정보 원칙입니다. 이러한 원칙에 대해 자세히 살펴보겠습니다.

PIPEDA를 준수하기 위해 조직은 다음 각 공정 정보 원칙을 준수해야 합니다.

1. 책임: 기업은 PIPEDA 준수를 유지하기 위해 최소한 한 사람을 지정해야 합니다. 이 사람은 자격을 갖추고 자신의 역할을 수행하기 위해 관리 지원을 받아야 합니다. 공정한 정보 원칙을 설명하는 이해하기 쉬운 개인 정보 보호 정책을 개발하고 모든 관련 이해 관계자와 공유해야 합니다.
2. 목적 식별: 기업은 특정 유형의 데이터를 수집하는 이유를 명시해야 합니다. 이 요구 사항은 세 가지 개인 정보 보호 문제를 해결합니다. 개인이 자신의 데이터가 수집되는 이유를 알고 있는지 확인합니다. 데이터의 부적절한 사용을 방지하기 위한 조치를 취할 수 있도록 회사에 경고 새로운 목적으로 데이터를 사용하려는 경우 회사에 새로운 개인 동의를 받도록 의무화
3. 동의: PIPEDA 지침이 적용되는 회사는 의미 있는 암시적 또는 명시적 소비자 동의를 얻어야 합니다. 피험자는 동의를 강요할 수 없으며 데이터 수집자에게 동의를 제공하는 것의 의미를 이해해야 합니다.
4. 수집 제한: 조직은 필요하고 동의를 구하는 목적과 일치하는 정보만 수집할 수 있습니다.
5. 사용, 공개 및 보유 제한: 기업은 고객 정보가 동의를 얻은 경우에만 사용되도록 보장하는 정책을 만들어야 합니다. 데이터는 데이터 수집자가 명시한 목적을 달성하는 데 필요한 기간 동안만 보유해야 하지만 소비자가 정보에 의문을 제기할 수 있을 만큼 충분히 오래 보유해야 합니다.
6. 정확성:   기업은 수집된 모든 개인 정보가 명시된 목적에 필요한 만큼 정확하고 완전하며 업데이트되었음을 ​​보장해야 합니다.
7. 보호 조치: 이것은 아마도 가장 중요한 PIPEDA 원칙이며 수집된 개인 정보 보호를 직접적으로 다룹니다. 조직은 수집된 데이터를 침해 , 도난, 변조, 복사 및 무단 액세스로부터 보호해야 합니다. 개인 데이터 보호 수준은 민감도에 상응해야 합니다.
8. 개방성: 기업은 데이터가 수집, 처리, 공유 및 저장되는 방식을 사용자에게 알려야 합니다. 책임성 원칙에서 지정한 사람의 이름과 연락처를 공개해야 하며, 수집된 데이터에 접근하는 방법을 이용자에게 알려야 합니다.
9. 개별 액세스: 회사는 수집된 데이터 유형과 사용 및 공개에 대한 정보를 요청자에게 30일 이내에 제공하여 개인 데이터에 대한 서면 요청에 응답해야 합니다. 소비자는 수집된 데이터가 정확한지 판단하고 필요한 수정을 할 수 있어야 합니다.
10. 규정 준수 문제: 조직은 규정 미준수 및 위반에 대한 불만 사항을 접수, 조사 및 해결하기 위한 절차를 개발해야 합니다. 불만 사항이 정당한 경우 개인 데이터와 관련된 정책을 변경해야 할 수 있습니다. 불만 제기자는 불만 사항과 응답에 만족하지 않을 경우 취할 수 있는 조치에 대해 알려야 합니다.

PIPEDA는 누구에게 적용되나요?

캐나다에서 운영되는 모든 조직이 PIPEDA의 적용을 받는 것은 아닙니다. 규정은 다음에 적용됩니다.

• 상업 활동에 참여하면서 개인 정보를 수집, 사용 또는 공개하는 캐나다의 모든 민간 부문 조직
• 은행, 통신 회사 및 국제 운송 회사와 같은 연방 규제 기관
• 주 및 국경을 넘어 데이터를 전송하는 캐나다 회사

PIPEDA는 개인정보를 어떻게 보호하나요?

PIPEDA는 개인 데이터 보안을 보장하기 위해 세 가지 유형의 보호 장치를 지정합니다.

1. 물리적: 조직에서 마련한 물리적 보호 장치는 권한이 없는 직원이 기밀 데이터를 보는 것을 방지해야 합니다. 조치에는 감시 카메라, 사무실 잠그기, 안전한 내부 또는 외부 데이터 센터에서 IT 활동 수행 등이 포함될 수 있습니다.
2. 조직: 이러한 보호 장치는 개인 정보를 보호하기 위한 조직의 정책 및 절차를 나타냅니다. 개인 정보를 강조하는 기업 문화를 만들기 위해 인력을 교육하는 것은 조직 보호 장치의 표준 구성 요소입니다. 민감한 데이터 취급을 담당하는 직원은 보안 승인을 받아야 하며 내부 행위자의 무단 액세스 사례를 모두 조사해야 합니다.
3. 기술적: 조직의 데이터를 보호하기 위해 많은 기술적 조치를 취할 수 있습니다. 중요한 보호 장치에는 데이터 암호화, 사용자 활동 관리 및 로깅, 권한 없는 사용자를 민감한 정보가 포함된 네트워크 및 시스템으로부터 보호하기 위한 강력한 방화벽 구현이 포함됩니다.

데이터 침해에 대응

PIPEDA 표준이 적용되는 조직은 사건이 한 명 이상의 소비자에게 심각한 피해(RROSH)의 실제 위험을 초래할 경우 데이터 침해를 OPC에 보고해야 합니다.

피해 범위에 대한 결정에 영향을 미치는 요소에는 침해에 의해 영향을 받는 정보의 민감도와 악의적인 행위자가 정보를 오용할 가능성이 포함됩니다. 기업은 RROSH를 구성하는지 여부에 관계없이 모든 데이터 침해에 대한 기록을 유지해야 합니다. 이 기록은 최소 2년 동안 보관해야 합니다.

불이행에 대한 처벌

준수하지 않을 경우 두 가지 유형의 처벌을 받을 수 있습니다.

• 재정적 처벌: 2018 PIPEDA 수정안에 따라 고의로 보안을 위반하는 경우 벌금이 부과될 수 있습니다. 위반 시 최대 CAD$100,000의 벌금이 부과될 수 있습니다.
• 부정적인 홍보: 적절한 보호 장치가 없는 회사에 영향을 미칩니다. 이는 고객의 신뢰를 약화시켜 잠재적으로 회사의 비즈니스 목표에 영향을 미칩니다.

PIPEDA 대 HIPAA 대 GDPR

캐나다, 미국 및 유럽 연합(EU)은 개인 정보 사용에 대한 시민의 우려를 해결하는 법률을 제정했습니다. 이러한 법률은 모두 개인 개인 정보를 보호하는 데 중점을 두고 있지만 해당 법률이 제공하는 구체적인 보호와 시행 방법은 매우 다양합니다.

다음은 PIPEDA, 1996년 미국 HIPAA(Health Insurance Portability and Accountability Act) 및 EU GDPR(일반 데이터 보호 규정)을 간략하게 비교한 것입니다.

이 개인 정보 보호 규정의 유사점

세 가지 개인 정보 보호 규정은 모두 민감한 개인 정보를 보호합니다.

• PIPEDA는 건강 정보, 금융 데이터 및 직접 식별자를 포함한 광범위한 개인 데이터를 보호합니다.
• HIPAA는 개인의 보호되는 건강 정보(PHI)에 중점을 둡니다.
• GDPR은 살아있는 사람을 식별하기 위해 직간접적으로 사용할 수 있는 데이터를 보호합니다. 여기에는 개인 데이터로 간주될 수 있는 이름, 주소, IP 주소 및 쿠키 데이터와 같은 명백한 요소가 포함됩니다. GDPR은 또한 인종, 종교적 신념 및 PIPEDA 또는 HIPAA에서 다루지 않는 기타 사항에 대한 정보를 보호합니다.

세 가지 개인 정보 보호 표준은 모두 조직이 수집된 개인 데이터를 보호하기 위한 보호 장치를 구현하도록 요구합니다.

• PIPEDA는 이 기사의 앞부분에서 논의한 바와 같이 조직이 기술적, 물리적, 조직적 보호 장치를 구현하도록 권장합니다.
• HIPAA 규정 은 PHI를 보호할 때 유사한 관리, 기술 및 물리적 보호 장치를 요구합니다.
• GDPR 표준에는 개인 데이터를 보호하기 위한 기술적 및 조직적 조치의 구현이 포함됩니다. 보호 장치에는 민감한 데이터에 대한 무단 물리적 액세스를 제한하는 것이 포함됩니다.

이러한 규제 이니셔티브의 차이점

이 세 가지 데이터 개인 정보 보호 표준에는 상당한 차이가 있습니다. 과태료는 규제 기준 위반에 따라 다르게 책정됩니다.

• PIPEDA: 위반당 최대 100,000캐나다 달러
• HIPAA: 위반의 심각도에 따라 벌금이 부과되며 가장 심각한 위반에 대해 연간 최대 한도가 $1,500,000입니다.
• GDPR: 위반자는 회사의 연간 글로벌 매출의 최대 4% 또는 2천만 유로 중 더 큰 금액을 벌금으로 부과할 수 있습니다.

개인의 권리는 어떤 지침이 적용되는지에 따라 다릅니다.

• PIPEDA: 소비자는 자신에 대해 수집된 데이터를 보고 수정할 권리가 있습니다.
• HIPAA: 환자는 조직이 수집하고 저장하는 PHI를 볼 권리가 있습니다.
• GDPR: 개인은 자신의 데이터를 보고 조직의 데이터베이스에서 삭제를 요청할 수 있습니다.

PIPEDA 규정 준수란 무엇입니까?

PIPEDA 규정 준수는 기업이 개인 정보 표준을 충족하기 위한 일련의 캐나다 연방 개인 정보 보호 규칙 및 규정입니다. PIPEDA를 준수하기 위해 상업 조직은 법이 수반하는 내용을 이해하고 지침을 따라야 합니다. 이를 준수하지 않으면 벌금이 부과되고 소비자 신뢰가 저하될 수 있습니다.

PIPEDA 규정 준수가 필수적인 이유는 무엇입니까?

전자 상거래 및 소셜 미디어의 부상으로 PIPEDA를 포함한 데이터 개인 정보 보호 규정 준수가 강화되었습니다. 규정 준수는 여러 가지 이유로 비즈니스와 고객에게 매우 중요합니다.

• 고객의 민감한 개인 데이터는 권한이 없고 잠재적으로 악의적인 행위자가 오용하거나 액세스하지 못하도록 보호해야 합니다.
• PIPEDA와 같은 규제 표준을 준수하지 않으면 상당한 벌금이 부과될 수 있습니다.

데이터 보호 규정을 준수하지 않는 기업은 고객의 신뢰와 회사 평판을 영원히 회복할 수 없습니다.

PIPEDA 준수를 얻는 방법

PIPEDA 준수를 유지하기 위해 조직은 개인의 개인 정보를 보호하기 위한 안전 장치를 구현해야 합니다. PIPEDA를 준수해야 하는 회사는 두 가지 주요 옵션을 사용할 수 있습니다.

사내 규정 준수와 공급업체 지원 규정 준수

조직은 사내 리소스를 사용하여 필요한 인프라 및 규정 준수 시스템을 구현하거나 경험이 풍부한 타사 클라우드 규정 준수 소프트웨어 를 선택할 수 있습니다. 각 접근 방식에는 장점과 단점이 있습니다.

사내 리소스 사용

• 내부 리소스를 사용하여 규정을 준수하는 인프라를 구축하는 회사는 수집 및 처리하는 민감한 데이터를 더 많이 제어할 수 있습니다.
• 환경을 구축하기 위해 새 하드웨어를 구입할 때 자본 비용이 높을 수 있습니다.
• 제한된 IT 부서가 있는 조직은 PIPEDA 호환 환경을 구현하고 유지하는 데 필요한 전문 지식이나 무료 주기가 없을 수 있습니다.

타사 클라우드 파트너 참여

• 클라우드 호스팅이 컴퓨팅 인프라를 제공하기 때문에 자본 비용이 절감됩니다.
• 평판이 좋은 공급자의 전문 지식은 데이터 침해 또는 PIPEDA에 설명된 보안 예방 조치의 위반 가능성을 줄입니다.
• 기업은 클라우드 리소스를 사용하여 빠르게 확장하거나 축소하여 변동하거나 계절에 따라 달라지는 고객 수요를 충족할 수 있습니다.

규정 준수 상태를 유지하세요.

PIPEDA 준수를 간과해서는 안됩니다. 재정적 처벌은 회사의 수익에 큰 영향을 미치지만 덜 가시적인 효과는 훨씬 더 많은 비용이 들 수 있습니다. 데이터 침해로 개인 데이터가 손상되면 고객의 신뢰를 회복하는 것이 불가능할 수 있습니다.

PIPEDA를 준수해야 하는 기업은 평판이 좋은 웹 호스팅 제공업체와 협력하여 규정 준수를 유지하는 데 따르는 스트레스와 복잡성을 크게 줄일 수 있습니다. 올바른 공급자는 PIPEDA 표준을 준수하는 인프라를 제공할 수 있으므로 회사가 모든 규제 요구 사항을 충족하는 것을 보장하는 핵심 비즈니스 목표에 집중할 수 있습니다.

온라인 고객 데이터의 미래가 궁금하십니까? 쿠키가 없는 미래에 무엇을 기대할 수 있는지 알아보십시오.