Google Cloud Platform의 HIPAA 규정 준수

이 가이드에서는 Google Cloud Platform의 HIPAA 규정 준수에 대해 설명합니다. Google Workspace에 대한 HIPAA 규정 준수는 별도의 문서에서 설명합니다.

면책조항

이 가이드는 정보 제공만을 목적으로 합니다. Google이 본 가이드에서 제공하는 정보 또는 권장사항은 법적 자문에 해당하지 않습니다. 필요한 경우 서비스 사용을 자체적으로 평가하여 법률 준수 의무를 이행할 책임은 각 고객에게 있습니다.

주요 대상

건강 보험 이동성 및 책임법(HIPAA, 경제적 및 임상적 건전성을 위한 의료정보기술(HITECH) 법안 도입에 따른 개정 등 개정판 포함) 요건을 준수해야 하는 고객을 위해 Google Cloud Platform에서는 HIPAA 규정 준수를 지원하고 있습니다. 이 가이드는 보안 담당자, 준법 담당자, IT 관리자 그리고 Google Cloud Platform의 HIPAA 구현 및 규정 준수를 담당하는 기타 직원을 대상으로 합니다. 이 가이드를 통해 Google이 HIPAA 규정 준수를 지원하는 방식을 파악하고 HIPAA 관련 요건에 맞게 Google Cloud 프로젝트를 구성하는 방법을 이해할 수 있습니다.

정의

이 문서에서 대문자로 표기되었으나 별도로 정의되지 않은 용어는 모두 HIPPA의 의미를 준용합니다. 또한 이 문서에서 보호 건강 정보(PHI)는 Google이 적용 대상으로부터 수신하는 PHI를 의미합니다.

개요

HIPAA 규정 준수와 관련하여 US HHS가 공인한 인증 제도는 아직 없으며, HIPAA 준수는 고객과 Google의 공동 책임입니다. 특히 HIPAA에서는 보안 규칙, 개인정보 보호 규칙, 위반 통지 규칙 준수를 요구합니다. Google Cloud Platform은 비즈니스 제휴 계약의 범위 내에서 HIPAA 규정 준수를 지원하지만 각자의 HIPAA 규정 준수를 평가할 책임은 궁극적으로 고객에게 있습니다.

Google은 HIPAA에 의거하여 필요에 따라 고객과 비즈니스 제휴 계약을 체결합니다. Google Cloud Platform은 일반적인 온프레미스 보안팀 규모보다 큰 700명 이상으로 구성된 보안 엔지니어링팀의 감독 하에 개발되었습니다. Google이 고객의 데이터를 보호하는 방법과 관련된 조직적, 기술적 통제 수단에 관한 세부정보 등 보안 및 데이터 보호에 대한 Google의 구체적인 접근법은 Google 보안 백서Google 인프라 보안 설계 개요를 참조하세요.

Google은 보안 및 개인정보 보호 설계에 대한 접근법을 문서화할 뿐 아니라, 여러 제3자 기관으로부터 정기적으로 독립 감사를 받아 고객에게 외부 검증 결과를 제공합니다. 해당 보고서 및 인증서는 아래에 링크되어 있습니다. 이러한 독립적인 감사는 Google의 데이터 센터, 인프라, 운영 환경 통제를 대상으로 합니다. Google은 다음 표준에 대한 감사를 연 1회 실시하고 있습니다.

  • SSAE16/ISAE 3402 Type II. 관련된 공개용 SOC 3 보고서를 참조하세요. SOC 2 보고서는 NDA 의거해 제공됩니다.
  • ISO 27001. Google은 Google Cloud Platform을 제공하는 시스템, 애플리케이션, 인력, 기술, 프로세스, 데이터 센터에 대해 ISO 27001 인증을 획득했습니다. ISO 27001 인증서는 Google Cloud 웹사이트의 규정 준수 섹션을 참조하세요.
  • ISO 27017, 클라우드 보안. ISO/IEC 27002를 기반으로 하며 특히 클라우드 서비스의 정보 보안 통제 수단에 대한 내용을 담은 국제 표준 관행입니다. ISO 27017 인증서는 Google Cloud 웹사이트의 규정 준수 섹션을 참조하세요.
  • ISO 27018, 클라우드 개인정보 보호. 퍼블릭 클라우드 서비스의 개인 식별 정보(PII) 보호에 대한 국제 표준입니다. ISO 27018 인증서는 Google Cloud 웹사이트의 규정 준수 섹션을 참조하세요.
  • FedRAMP ATO
  • PCI DSS v3.2.1

이러한 광범위한 제3자 감사 방식은 Google 전반적인 환경에 있어 기밀성, 무결성, 가용성을 보장할 뿐 아니라 동급 최고의 정보 보안을 위한 Google의 노력을 뒷받침합니다. 고객은 이러한 제3자 감사 보고서를 참조하여 Google 제품이 어떻게 HIPAA 규정 준수 요건을 충족하는지를 평가할 수 있습니다.

고객의 책임

고객의 중요한 책임 중 하나는 본인이 HIPAA 규정 적용 대상(또는 적용 대상의 비즈니스 제휴사)인지, 그리고 만약 그렇다면 Google과 비즈니스 제휴 계약을 체결해야 하는지 여부를 판단하는 것입니다.

Google은 위의 설명과 같이 PHI의 저장 및 처리와 관련하여 규정에 맞는 안전한 인프라를 제공하지만, Google Cloud Platform을 기반으로 고객이 개발하는 환경 및 애플리케이션을 HIPAA 규정에 따라 적절히 구성하고 보안을 적용할 책임은 고객에게 있습니다. 이 방식을 클라우드의 공유 보안 모델이라고 합니다.

필수 권장사항:

  • Google Cloud BAA를 시행합니다. 계정 관리자에게 BAA를 직접 요청할 수 있습니다.
  • PHI 관련 작업 시 BAA에 명시적으로 포함되지 않는 Google Cloud 제품(대상 제품 참조)을 중지하거나 사용하지 않도록 기타 조치를 취합니다.

기술적 권장사항:

  • 어떠한 사용자가 프로젝트에 액세스할 수 있는지를 구성할 때 IAM 권장사항을 준수합니다. 특히, 서비스 계정은 리소스에 액세스하는 데 사용될 수 있으므로 이러한 서비스 계정 및 서비스 계정 키에 대한 액세스를 철저히 관리해야 합니다.
  • 조직에 HIPAA 보안 규정 요건에 해당하지 않는 암호화 요구사항이 있는지 여부를 판단합니다. 모든 고객 콘텐츠는 Google Cloud Platform에 암호화 상태로 보관됩니다. 자세한 내용 및 예외는 암호화 백서를 참조하세요.
  • Cloud Storage를 사용하는 경우 객체 버전 관리를 사용 설정하여 해당 데이터의 보관처를 제공하고 데이터가 실수로 삭제될 때 삭제 취소를 지원합니다. 또한 gsutil을 사용한 Cloud Storage와의 상호작용 이전에 보안 및 개인정보 보호 고려사항의 지침을 검토하고 준수합니다.
  • 감사 로그 내보내기 대상을 구성합니다. 감사 로그를 Cloud Storage로 내보내기하여 장기적으로 보관하고, BigQuery로도 내보내기하여 분석, 모니터링, 수사 관련 요구에 대비할 것을 적극 권장합니다. 이러한 대상에는 조직에 적합한 액세스 제어를 구성해야 합니다.
  • 조직에 적합한 액세스 제어를 로그에 구성합니다. 로그 뷰어 역할을 보유한 사용자는 관리자 활동 감사 로그에 액세스할 수 있고, 비공개 로그 뷰어 역할의 사용자는 데이터 액세스 감사 로그에 액세스할 수 있습니다.
  • 감사 로그를 정기적으로 검토하여 보안 및 요구사항 준수를 확인합니다. 위에서 설명한 것처럼 BigQuery는 대규모 로그 분석용으로 탁월한 플랫폼입니다. 타사 통합업체의 SIEM 플랫폼을 활용하여 로그 분석을 통해 규정 준수를 입증할 수도 있습니다.
  • Cloud Datastore에 색인을 만들거나 구성할 때 모든 PHI, 보안 사용자 인증 정보, 기타 민감한 정보를 암호화한 후에 항목 키, 색인화 속성 키 또는 색인의 색인화 속성 값으로 사용합니다. 색인 생성 또는 구성에 대한 자세한 내용은 Cloud Datastore 문서를 참조하세요.
  • Dialogflow Enterprise 에이전트를 만들거나 업데이트할 때 인텐트, 학습 문구, 항목을 비롯한 에이전트 정의에 PHI 또는 보안 사용자 인증 정보를 포함하지 않습니다.
  • 리소스를 만들거나 업데이트하면서 리소스의 메타데이터를 지정할 때 PHI 또는 보안 사용자 인증 정보를 포함하지 않습니다. 그 이유는 해당 정보가 로그에 포착될 수 있기 때문입니다. 감사 로그는 어떠한 경우에도 리소스의 데이터 내용 또는 쿼리 결과를 포함하지 않지만 리소스 메타데이터는 포착될 수 있습니다.
  • 프로젝트에 Identity Platform을 사용할 때는 Identity Platform 실습을 사용하세요.
  • 지속적 통합 또는 개발을 위해 Cloud Build 서비스를 사용할 때는 빌드 구성 파일, 소스 제어 파일 또는 기타 빌드 아티팩트에 PHI를 포함하거나 저장하면 안 됩니다.
  • Cloud CDN을 사용하는 경우 PHI 캐싱을 요청하지 않는지 확인합니다. 캐싱 방지 방법은 Cloud CDN 문서를 참조하세요.
  • Cloud Speech-to-Text를 사용 중이며 HIPAA에 따라 PHI 의무에 관한 BAA를 Google과 체결한 경우 데이터 로깅 프로그램을 선택하면 안 됩니다.
  • Google Cloud VMware Engine을 사용하는 경우 HIPAA 요구사항을 충족하는 데 필요한 기간 동안 애플리케이션 수준의 액세스 로그를 보관할 책임이 있습니다.

대상 제품

Google Cloud BAA에는 GCP의 전체 인프라(모든 리전, 모든 영역, 모든 네트워크 경로, 모든 접속 지점)와 다음 제품이 포함됩니다.

  • Access Context Manager
  • 액세스 투명성
  • Apigee
  • Apigee Hybrid
  • AI Platform
  • AI Platform Training 및 Prediction
  • Anthos Config Management
  • Anthos Service Mesh
  • App Engine
  • 베어메탈 솔루션
  • Binary Authorization
  • Cloud AI Notebooks
  • Cloud Armor
  • Cloud 애셋 인벤토리
  • Cloud AutoML Natural Language
  • Cloud AutoML Tables
  • Cloud AutoML Translation
  • Cloud AutoML Video
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Data Transfer Service
  • Cloud Bigtable
  • Cloud Build
  • Cloud CDN
  • Cloud Console
  • Cloud Console App
  • Cloud Composer
  • Cloud Data Fusion
  • Cloud Data Labeling Service
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Debugger
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Healthcare
  • Cloud HSM
  • Cloud ID
  • Cloud Identity and Access Management
  • Cloud Identity-Aware Proxy
  • Cloud Interconnect
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Life Sciences(이전 명칭 Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Memorystore
  • Cloud Monitoring
  • Cloud Natural Language API
  • Cloud NAT
  • Cloud Profiler
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Run(완전 관리형)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech-to-Text
  • Cloud SQL
  • Cloud Service Consumer Management API
  • Cloud Storage
  • Cloud Storage Transfer Service
  • Cloud Tasks
  • Cloud Trace
  • Cloud Translation API
  • Cloud Text-to-Speech
  • Cloud Video Intelligence API
  • Cloud Vision API
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Data Catalog
  • Dialogflow
  • Document AI
  • 오류 보고
  • Google Cloud VMware Engine(GCVE)
  • Google Service Control
  • Google Service Management
  • Identity Platform
  • Kubernetes Engine
  • Microsoft Active Directory(AD)용 관리형 서비스
  • 네트워크 서비스 등급
  • Persistent Disk
  • 보안 비밀 관리자
  • Security Command Center
  • Sensitive Data Protection (including Cloud Data Loss Prevention)
  • 서비스 디렉터리
  • Traffic Director
  • Transfer Appliance 서비스
  • Virtual Private Cloud(VPC)
  • VPC 서비스 제어
  • Web Security Scanner

대상 제품의 최신 목록은 Google Cloud 규정 준수 사이트를 참조하세요. 이 목록은 HIPAA 프로그램에 새 제품이 포함될 때 업데이트됩니다.

고유 기능

GCP의 보안 관행에 따르면 HIPAA BAA가 적용되는 대상은 클라우드의 특정 부분에 그치지 않고 GCP의 전체 인프라를 아우릅니다. 따라서 고객이 확장성, 운영, 아키텍처와 관련된 혜택을 가진 특정 리전만 사용해야 하는 제한이 적용되지 않습니다. 또한 여러 리전 서비스 중복화에 따른 이점을 누리고 선점형 VM을 사용하여 비용을 절감할 수 있습니다.

HIPAA 규정 준수를 지원하기 위한 보안 및 준법 조치는 Google의 인프라, 보안 설계, 제품에 깊이 뿌리내리고 있습니다. 따라서 HIPAA의 규제를 받는 고객은 여타 고객과 동일한 제품을 동일한 가격으로 사용하면서 장기 사용 할인 혜택도 동일하게 받을 수 있습니다. 다른 퍼블릭 클라우드 업체는 HIPAA 클라우드에 더 많은 요금을 청구하지만, Google은 그렇지 않습니다.

결론

Google Cloud Platform은 고객이 기반 인프라에 신경 쓸 필요 없이 건강 관련 정보를 안전하게 저장하고 분석 및 통계 처리할 수 있는 클라우드 인프라입니다.

추가 리소스