피드로 돌아가기
The RegisterSecurity
원문 읽기
£330M 규모 FDP 구축을 위한 데이터 접근 권한 체계 변경
NHS England confirms: Palantir staff can access patient data
AI 요약
Context
팬데믹 이후 의료 적체 해소를 위해 Federated Data Platform(FDP) 도입 및 National Data Integration Tenant(NDIT) 기반의 데이터 저장소 구축. 기존에는 특정 데이터셋에 한정된 접근 권한만을 부여하여 운영 효율성 및 중앙 집중형 성능 모니터링에 제약 발생.
Technical Solution
- NDIT 내 식별 가능 환자 데이터 접근을 위한 'admin' Role 신규 정의 및 부여
- 데이터 전송 전 단계인 NDIT 계층에서 직접 접근을 허용하는 권한 모델로 변경
- 정부 보안 승인(Security Clearance) 및 디렉터급 승인 절차를 통한 접근 제어 강화
- 규제 준수 확인을 위한 정기 Audit 및 엔지니어링 작업 모니터링 체계 적용
- 데이터 제어권(Data Controller)을 NHS에 귀속시켜 데이터 소유권과 사용처를 엄격히 분리
실천 포인트
1. 데이터 파이프라인 설계 시 Pseudonymization 단계 이전의 원천 데이터 접근 권한(Admin Role) 정의 및 최소 권한 원칙 준수 여부 검토
2. 외부 벤더 솔루션 도입 시 데이터 소유권(Ownership)과 제어권(Control)을 분리하는 계약적/기술적 가드레일 설정
3. 접근 권한 변경에 따른 보안 리스크를 정량화하고 이에 따른 Audit 로그 기록 및 모니터링 방안 수립