Google Cloud Platform의 HIPAA 규정 준수

이 가이드에서는 Google Cloud Platform의 HIPAA 규정 준수에 대해 설명합니다. G Suite의 HIPAA 규정 준수는 별도의 문서에서 설명합니다.

면책조항

이 가이드는 정보 제공만을 목적으로 합니다. Google이 본 가이드에서 제공하는 정보 또는 권장사항은 법적 자문에 해당하지 않습니다. 각 고객에게 필요한 경우 서비스 사용을 자체적으로 평가하여 법률 준수 의무를 이행할 책임이 있습니다.

주요 대상

건강 보험 이동성 및 책임법(약어로 HIPAA이며 경제적 및 임상적 건전성을 위한 의료정보기술(HITECH) 법안 도입 등으로 개정됨) 요건을 준수해야 하는 고객을 위해 Google Cloud Platform은 HIPAA 규정 준수를 지원합니다. 이 가이드는 보안 담당자, 준법 담당자, IT 관리자 그리고 Google Cloud Platform의 HIPAA 구현 및 규정 준수를 담당하는 기타 직원을 대상으로 합니다. 이 가이드를 통해 Google이 HIPAA 규정 준수를 지원하는 방식을 파악하고 HIPAA 관련 요건에 맞게 Google Cloud 프로젝트를 구성하는 방법을 이해할 수 있습니다.

정의

이 문서에서 대문자로 표기되었으나 별도로 정의되지 않은 용어는 모두 HIPAA의 의미를 준용합니다. 또한 이 문서에서 보호 건강 정보(PHI)는 Google이 적용 대상으로부터 수신하는 PHI를 의미합니다.

개요

HIPAA 규정 준수와 관련하여 US HHS는 어떠한 인증 제도도 인정하지 않으며, HIPAA 준수는 고객과 Google의 공동 책임입니다. 특히 HIPAA에서는 보안 규칙, 개인정보 보호 규칙, 위반 통지 규칙 준수를 요구하고 있습니다. Google Cloud Platform은 비즈니스 제휴 계약의 범위 내에서 HIPAA 규정 준수를 지원하지만 각자의 HIPAA 규정 준수를 평가할 책임은 궁극적으로 고객에게 있습니다.

Google은 HIPAA에 의거하여 필요에 따라 고객과 비즈니스 제휴 계약을 체결합니다. Google Cloud Platform은 일반적인 온프레미스 보안팀 규모보다 큰 700명 이상으로 구성된 보안 엔지니어링팀의 감독 하에 개발되었습니다. 보안과 데이터 보호에 대한 Google의 구체적인 접근법은 Google 보안 백서Google 인프라 보안 설계 개요를 참조하세요. Google의 데이터 보호 방식과 관련된 조직 및 기술적 통제 수단을 비롯해 자세한 내용을 확인하실 수 있습니다.

Google은 보안 및 개인정보 보호 설계에 대한 접근법을 문서화할 뿐 아니라, 여러 제3자 기관으로부터 정기적으로 독립 감사를 받아 고객에게 외부 검증 결과를 제공합니다. 해당 보고서 및 인증서는 아래에 링크되어 있습니다. 이러한 독립적인 감사는 Google의 데이터 센터, 인프라, 운영 환경 통제를 대상으로 합니다. Google은 다음 표준에 대한 감사를 연 1회 실시하고 있습니다.

  • SSAE16/ISAE 3402 Type II. 관련된 공개용 SOC 3 보고서를 참조하세요. SOC 2 보고서는 NDA 의거해 제공됩니다.
  • ISO 27001. Google은 Google Cloud Platform을 제공하는 시스템, 애플리케이션, 인력, 기술, 프로세스, 데이터 센터에 대해 ISO 27001 인증을 획득했습니다. ISO 27001 인증서는 웹사이트의 규정 준수 섹션을 참조하세요.
  • ISO 27017, 클라우드 보안. ISO/IEC 27002를 기반으로 하며 특히 클라우드 서비스의 정보 보안 통제 수단에 대한 내용을 담은 국제 표준 관행입니다. ISO 27017 인증서는 웹사이트의 규정 준수 섹션을 참조하세요.
  • ISO 27018, 클라우드 개인정보 보호. 공용 클라우드 서비스의 개인 식별 정보(PII) 보호에 대한 국제 표준입니다. ISO 27018 인증서는 웹사이트의 규정 준수 섹션을 참조하세요.
  • FedRAMP ATO
  • PCI DSS v3.2

이러한 광범위한 제3자 감사 방식은 Google 전반적인 환경에 있어 기밀성, 무결성, 가용성을 보장할 뿐 아니라 동급 최고의 정보 보안을 위한 Google의 노력을 뒷받침합니다. 고객은 이러한 제3자 감사 보고서를 참조하여 Google 제품이 고객의 HIPAA 규정 준수 요건 충족 여부를 평가할 수 있습니다.

고객의 책임

고객의 중요한 책임 중 하나는 본인이 HIPAA 규정 적용 대상(또는 적용 대상의 비즈니스 제휴사)인지, 그리고 만약 그렇다면 Google과 비즈니스 제휴 계약을 체결해야 하는지 여부를 판단하는 것입니다.

Google은 위의 설명과 같이 PHI의 저장 및 처리와 관련하여 규정에 맞는 보안 인프라를 제공하지만, Google Cloud Platform을 기반으로 고객이 개발하는 환경 및 애플리케이션을 HIPAA 규정에 따라 적절히 구성하고 보안을 적용할 책임은 고객에게 있습니다. 이 방식을 클라우드의 공유 보안 모델이라고 합니다.

필수 권장사항:

  • Google Cloud BAA를 시행합니다. 계정 관리자에게 BAA를 직접 요청할 수 있습니다.
  • PHI 관련 작업 시 BAA에 명시적으로 포함되지 않는 Google Cloud 제품(대상 제품 참조)을 중지하거나 사용하지 않도록 기타 조치를 취합니다.

기술적 권장사항:

  • 어떠한 사용자가 프로젝트에 액세스할 수 있는지를 구성할 때 IAM 권장사항을 준수합니다. 특히, 서비스 계정은 리소스에 액세스하는 데 사용될 수 있으므로 이러한 서비스 계정 및 서비스 계정 키에 대한 액세스를 철저히 관리해야 합니다.
  • 조직에 HIPAA 보안 규정 요건에 해당하지 않는 암호화 요구사항이 있는지 여부를 판단합니다. 모든 고객 콘텐츠는 Google Cloud Platform에 암호화 상태로 보관됩니다. 자세한 내용 및 예외는 암호화 백서를 참조하세요.
  • Cloud Storage를 사용하는 경우 객체 버전 관리를 사용 설정하여 해당 데이터의 보관처를 제공하고 데이터가 실수로 삭제될 때 삭제 취소를 지원합니다. 또한 gsutil을 사용한 Cloud Storage와의 상호작용 이전에 보안 및 개인정보 보호 고려사항의 지침을 검토하고 준수합니다.
  • 감사 로그 내보내기 대상을 구성합니다. 감사 로그를 Cloud Storage로 내보내서 장기적으로 보관하고 BigQuery로 내보내서 분석, 모니터링 또는 수사 요구사항에 대응하는 것이 좋습니다. 이러한 대상에는 조직에 적합한 액세스 제어를 구성해야 합니다.
  • 조직에 적합한 액세스 제어를 로그에 구성합니다. 로그 뷰어 역할을 보유한 사용자는 관리자 활동 감사 로그에 액세스할 수 있고, 비공개 로그 뷰어 역할의 사용자는 데이터 액세스 감사 로그에 액세스할 수 있습니다.
  • 감사 로그를 정기적으로 검토하여 보안 및 요구사항 준수를 확인합니다. 위에서 설명한 것처럼 BigQuery는 대규모 로그 분석용으로 탁월한 플랫폼입니다. 타사 통합업체의 SIEM 플랫폼을 활용하여 로그 분석을 통해 규정 준수를 입증할 수도 있습니다.
  • Cloud Datastore에 색인을 만들거나 구성할 때 모든 PHI, 보안 사용자 인증 정보, 기타 민감한 정보를 암호화한 후에 항목 키, 색인화 속성 키 또는 색인의 색인화 속성 값으로 사용합니다. 색인 생성 또는 구성에 대한 자세한 내용은 Cloud Datastore 문서를 참조하세요.
  • Dialogflow Enterprise 에이전트를 만들거나 업데이트할 때 인텐트, 학습 문구, 항목을 비롯한 에이전트 정의에 PHI 또는 보안 사용자 인증 정보를 포함하지 않습니다.
  • 리소스를 만들거나 업데이트하면서 리소스의 메타데이터를 지정할 때 PHI 또는 보안 사용자 인증 정보를 포함하지 않습니다. 그 이유는 해당 정보가 로그에 포착될 수 있기 때문입니다. 감사 로그는 어떠한 경우에도 리소스의 데이터 내용 또는 쿼리 결과를 포함하지 않지만 리소스 메타데이터는 포착될 수 있습니다.

해당 제품

Google Cloud BAA에는 GCP의 전체 인프라(모든 리전, 모든 영역, 모든 네트워크 경로, 모든 접속 지점)와 다음 제품이 포함됩니다.

  • App Engine
  • Cloud Armor
  • Cloud AutoML Natural Language
  • Cloud AutoML Translation
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Data Transfer Service
  • Cloud Bigtable
  • Cloud Console
  • Cloud Composer
  • Cloud Data Loss Prevention
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Deployment Manager
  • Cloud Firestore
  • Cloud Functions
  • Cloud Genomics
  • Cloud Healthcare
  • Cloud ID
  • Cloud Identity-Aware Proxy
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud Machine Learning Engine
  • Cloud Natural Language API
  • Cloud NAT
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech API
  • MySQL용 Cloud SQL
  • PostgreSQL용 Cloud SQL
  • Cloud Service Consumer Management API
  • Cloud Storage
  • Cloud Translation API
  • Cloud Video Intelligence API
  • Cloud Vision API
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Dialogflow Enterprise Edition
  • Google Service Management
  • Kubernetes Engine
  • Stackdriver Debugger
  • Stackdriver Error Reporting
  • Stackdriver Logging
  • Stackdriver Profiler
  • Stackdriver Trace
  • Transfer Appliance 서비스
  • Virtual Private Cloud(VPC)

대상 제품의 최신 목록은 Google Cloud 규정 준수 사이트를 참조하세요. 이 목록은 HIPAA 프로그램에 새 제품이 포함될 때 업데이트됩니다.

고유 기능

GCP의 보안 관행에 따르면 HIPAA BAA가 적용되는 대상은 클라우드의 특정 부분에 그치지 않고 GCP의 전체 인프라를 아우릅니다. 따라서 고객은 확장성, 운영, 아키텍처와 관련된 혜택을 가진 특정 리전만 이용하도록 제한받지 않습니다. 또한 여러 리전 서비스 중복화에 따른 이점을 누리고 선점형 VM을 사용하여 비용을 절감할 수 있습니다.

HIPAA 규정 준수를 지원하기 위한 보안 및 준법 조치는 Google의 인프라, 보안 설계, 제품에 깊이 뿌리내리고 있습니다. 따라서 HIPAA의 규제를 받는 고객은 여타 고객과 동일한 제품을 동일한 가격으로 사용하면서 장기 사용 할인 혜택도 동일하게 받을 수 있습니다. 다른 공용 클라우드 업체는 HIPAA 클라우드에 더 많은 요금을 청구하지만, Google은 그렇지 않습니다.

결론

Google Cloud Platform은 고객이 기반 인프라에 신경 쓸 필요 없이 건강 관련 정보를 안전하게 저장하고 분석 및 통계 처리할 수 있는 클라우드 인프라입니다.

추가 리소스

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.