Identity Platform: HIPAA 구현 가이드

면책조항

이 가이드는 정보 제공만을 목적으로 합니다. Google이 본 가이드에서 제공하는 정보 또는 권장사항은 법적 자문에 해당하지 않습니다. 필요한 경우 서비스 사용을 자체적으로 평가하여 법률 준수 의무를 이행할 책임은 각 고객에게 있습니다.

주요 대상

건강 보험 이동성 및 책임법(HIPAA, 경제적 및 임상적 건전성을 위한 의료정보기술(HITECH) 법안 도입에 따른 개정 등 개정판 포함) 요건을 준수해야 하는 고객을 위해 Google Cloud의 Identity Platform의 적절한 사용을 통해 HIPAA 규정 준수를 지원할 수 있습니다. 이 가이드는 보안 담당자, 준법 담당자, IT 관리자를 비롯하여 Google Cloud의 Identity Platform을 사용하여 HIPAA 구현 및 규정 준수를 담당하는 기타 직원을 대상으로 합니다.

개인의 건강 또는 의료 서비스에 대한 특정 정보는 HIPAA에 의거하여 PHI(보호 건강 정보)로 분류됩니다. HIPAA가 적용되는 고객이 PHI를 Google Cloud 또는 Identity Platform에서 사용하려는 경우 Google과의 비즈니스 제휴 계약(BAA)을 체결해야 합니다.

Google Cloud 고객은 HIPAA 요구사항이 적용되는지, Google 서비스를 PHI와 연계하여 사용하거나 사용할 의사가 있는지 확인할 책임이 있습니다. PHI와 관련해 Google 서비스를 사용하려는 고객은 Google과 BAA를 체결해야 합니다.

Identity Platform 서비스

Google Cloud의 Identity Platform은 클라우드 기반 인프라를 제공하여 애플리케이션 또는 서비스에 ID 기능을 추가할 수 있는 IDaaS 솔루션입니다. Identity Platform 서비스는 클라우드 기반 사용자 디렉터리/데이터베이스 및 인증 API를 제공하여 애플리케이션의 ID를 개발하고 관리하는데 드는 오버헤드를 최소화할 수 있습니다.

애플리케이션 또는 서비스의 인증 및 승인에 필요한 최소 데이터만 저장하는 것이 좋습니다. Identity Platform 데이터베이스에서 사용자를 만들 때에 이메일/비밀번호 로그인의 경우에는 이메일 주소 속성만, 전화 인증의 경우에는 전화번호 속성만 필요합니다.

Identity Platform은 표시 이름 및 사진 URL을 비롯한 추가적인 선택적 속성뿐만 아니라 사용자 객체에 커스텀 속성/클레임 추가 기능까지 지원하지만 PHI를 이러한 속성에 저장해서는 안 됩니다. PHI를 저장해야 하는 경우, Google Cloud의 구현 가이드에 따라 Google Cloud 내에서 범용 데이터베이스 솔루션을 사용하는 것이 좋습니다.

제휴 ID 공급업체 및 익명 로그인

Identity Platform은 다양한 인터넷 기반 소셜 제휴 공급업체뿐만 아니라 SAML 및 OpenId Connect(OIDC)와 같은 구성 가능한 기업 제휴 표준과의 통합을 지원합니다. 그러나 PHI는 토큰, 클레임, 어설션으로나 어떤 메커니즘을 통해서도 ID 공급업체(IdP)에서 Identity Platform으로 전송되어서는 안 됩니다.

외부 ID 시스템에서 Identity Platform으로의 PHI 동기화는 권장되지 않거나 지원되지 않으며, Google Cloud는 전송 중이거나 제3자가 수신한 정보의 보안에 대해 어떠한 보증이나 보장도 하지 않습니다.

PHI의 상호 작용, 관리 또는 저장 시 익명 계정을 사용해서는 안됩니다.

소프트웨어 개발 키트 및 클라이언트 라이브러리(SDK)

Identity Platform은 Identity Platform 서비스 외부에서 실행되는 소프트웨어 개발 키트 및 클라이언트 라이브러리를 제공합니다. 이러한 SDK는 iOS, Android, 웹을 통해 클라이언트 측이나 자바, C++, Go, NodeJS 등 주요 개발 언어를 통해 서버 코드에서 사용할 수 있습니다.

이 코드는 Identity Platform 서비스 외부에서 실행되므로 Google Cloud는 최종 사용자의 기기와 같이 Identity Platform 서비스 외부의 정보 보안에 대해 어떠한 보증이나 보장도 하지 않습니다. 따라서 PHI의 상호 작용, 관리 또는 저장 시에는 SDK 및 클라이언트 라이브러리를 사용해서는 안 됩니다.

추가 리소스

다음의 추가 리소스는 개인정보 보호, 비밀유지, 데이터 무결성을 위해 Google 서비스가 어떻게 설계되었는지 이해하는 데 도움이 됩니다.