규정 준수

Google은 전 세계 여러 규정 및 의료, 교육 등 다양한 산업 분야의 규정을 준수할 수 있도록 최선을 다하고 있습니다. Google은 사용자의 규정 준수 요건을 충족하는 데 필요한 도구 및 관리 기능을 제공하므로 사용자는 Google 서비스를 안심하고 사용할 수 있습니다.

Google에서는 자주 묻는 질문에 대한 답변을 제공하기 위해 본 FAQ 및 관련 Google Workspace 보안 사이트를 만들었습니다. Google의 개인 정보 보호 및 약관 페이지에서 일반 사용자의 개인 정보 보호와 관련된 도구 및 정보를 확인하시기 바랍니다.

악용사례를 신고하려면 Google팀에 악용사례를 신고하는 방법에 대해 자세히 알아보세요

Google Workspace 및 Google Cloud Platform의 보안 수준을 확인하려면 어떻게 해야 하나요?

고객과 규제 기관은 Google이 보안, 개인 정보 보호, 규정 준수 관리에 대해 독립 기관으로부터 검증을 받기를 기대합니다. Google은 보안 수준을 보증하기 위해 여러 서드 파티 독립 감사 기관으로부터 정기적인 감사를 받고 있습니다. 이는 독립 감사 기관에서 Google의 데이터 센터, 인프라, 운영 환경에 적용되는 보안 관리 체계를 검토했음을 의미합니다. Google 솔루션은 다음 표준 및 규정의 준수 상황에 대해 정기적인 감사를 받고 있습니다.

  • SOC1 (SSAE-18/ISAE-3402): Google Workspace 및 Google Cloud Platform
  • SOC2: Google Workspace 및 Google Cloud Platform 
  • SOC3: Google Workspace 및 Google Cloud Platform
  • ISO27001: Google Workspace 및 Google Cloud Platform
  • ISO27017: Google Workspace 및 Google Cloud Platform
  • ISO27018: Google Workspace 및 Google Cloud Platform
  • ISO27701: Google Workspace 및 Google Cloud Platform
  • HIPAA: Google Workspace 및 Google Cloud Platform
  • FedRAMP: Google Workspace 및 Google Cloud Platform
관련 인증서 및 감사 보고서 사본을 받을 수 있나요? SOC3 감사 보고서는 어디서 다운로드할 수 있나요? Google의 ISO27001 인증서는 어디서 확인할 수 있나요?

SOC3 보고서는 독립 회계 법인에서 Google의 관리 체계를 심사했음을 입증하는 것으로, 법인의 비즈니스가 공인 서비스 원칙 및 기준(Trust Services Principles and Criteria)을 준수한다는 경영진의 주장에 대한 전문가의 검증 보고를 담고 있습니다.

ISO27001 인증서는 ISO/IEC 27001:2013 표준의 기능 범위를 증명합니다. 인증은 Google Workspace, Google Workspace for Education, Google Cloud Platform, Google Plus, Google Now, Google 애널리틱스, 애널리틱스 프리미엄 서비스 및 이러한 서비스 및 지정된 기능에 포함되거나 수집된 데이터에 국한됩니다.

계정에 로그인하면 규정 준수 보고서 관리자 페이지에서 규정 준수 보고서 사본을 다운로드할 수 있습니다. 

Google에서는 유럽의 데이터 보호 요구사항을 어떻게 충족하나요?

Google은 유럽에 넓은 고객층을 확보하고 있습니다. 50%가 넘는 Google 기업 고객이 미국 이외의 지역에 있습니다. Google에서는 관련 데이터 보호법을 준수할 수 있도록 만들어진 기능 및 계약상 약정을 제공하며, Google Workspace 및 Google Cloud의 Cloud 데이터 처리 추가 조항(CDPA)을 제공합니다.

Google에서는 Google의 데이터 보호 관행에 대한 서드 파티 독립 감사 기관의 감사, Google의 ISO 27001 인증, ISO/IEC 27018:2014를 준수하는 개인 정보 보호 관행 및 계약상 약정에 대한 인증과 함께 EU 데이터 보호 규정을 준수할 수 있는 여러 규정 준수 옵션을 고객에게 제공합니다.

EU 데이터 보호법에서는 개인 정보를 EU/EEA에 저장하도록 규제하고 있지 않나요?

EU의 GDPR(개인 정보 보호법)은 유럽 경제 지역(EEA) 거주자의 개인 정보를 보호하며, 제한된 상황에서 '적절한' 데이터 보호를 제공하는 것으로 인정되지 않은 EEA 이외 국가에 대해서는 개인 정보만 전송할 수 있도록 허용합니다. 영국의 GDPR 및 스위스 연방 데이터 보호법에서도 유사한 제한사항을 적용하며, 승인된 표준 계약 조항(SCC)을 통해 이러한 제한사항을 준수할 수 있습니다.

Google Cloud에는 Cloud 데이터 처리 추가 조항(CDPA) 및 DPST에 SCC가 통합되어 대체 전송 솔루션이 없는 경우 유럽, 중동, 아프리카(EMEA) 고객의 개인 정보가 자동으로 보호됩니다. 유럽, 중동, 아프리카 이외의 국가에 거주하는 고객은 (대체 전송 솔루션이 없는 경우) 유럽 데이터 보호법이 적용되고 있음을 관리 콘솔을 통해 인증해야 데이터에 SCC를 적용할 수 있습니다.

미국 정부는 어떻습니까? 미국 이외 지역에 데이터를 저장하면 미국 정부의 데이터 요청 대상에서 제외되나요?

정부는 해외에 저장된 정보의 공개를 강제할 수 있는 권한을 보유하므로 특정 국가 외부에 데이터를 저장한다고 해서 정부의 데이터 액세스를 막을 수 있는 것은 아닙니다. 그래서 Google에서는 감시 개혁 지지 입장을 표명했습니다. Google에서는 정부에 자사 시스템에 대한 액세스를 제공하거나 정부가 사용자 데이터에 액세스하기 위해 장비를 설치하도록 허용하지 않습니다. 정부의 데이터 요청을 처리하는 방법에 대한 자세한 내용은 Google Cloud를 통한 국제 데이터 전송의 보호 장치 백서 및 Google의 투명성 보고서를 참고하세요.

Google에서는 내 데이터를 어디에 저장하나요?

사용자의 데이터는 전 세계에 있는 Google의 데이터 센터 네트워크에 저장됩니다. Google에서는 데이터 센터를 여러 지역에 분산시켜 유지 관리하고 있습니다. Google의 컴퓨팅 클러스터는 복원성과 중복성을 염두에 두고 설계되었으며, 단일 장애점을 제거하여 일반적인 장비 오류와 환경적 위험으로 인한 영향을 최소화합니다.

Google 시스템에 의료 데이터를 저장해도 되나요?

Google Workspace는 고객이 미국의 1996년 건강 보험 이동성 및 책임법(HIPAA)을 준수할 수 있도록 지원합니다. HIPAA가 적용되는 고객이 보호 건강 정보(PHI)를 Google Workspace에서 사용하려는 경우 Google과의 비즈니스 제휴 계약(BAA)을 체결해야 합니다. Google Workspace, Google Workspace for Education, Google Workspace for Government를 사용하는 조직의 관리자는 Google 서비스에서 PHI를 사용하기 전에 BAA를 요청할 수 있습니다. HIPAA 지원 Google Workspace 기능 목록은 여기를 확인하세요.

Google 제품은 학생과 어린이 사용을 위한 개인 정보 보호 요구사항을 충족하나요?

수백만 명의 학생이 Google Workspace for Education을 사용하고 있습니다. Google Workspace for Education은 미국 가정 교육 권리 및 개인 정보 보호법(FERPA)을 준수하며, 이를 준수하기 위해 노력한다는 내용이 계약에 포함되어 있습니다. Google은 미국의 아동 온라인 개인 정보 보호법(COPPA)을 준수하는 서비스 사용과 관련하여 COPPA에 따라 Google Workspace for Education을 사용하는 학교에서 학부모 동의서를 받도록 계약에 의해 요구하고 있습니다.

미국 정부 기관에서 Google을 사용할 수 있나요?

2002년 연방 정보 보안 관리법(FISMA, Federal Information Security Management Act)은 연방 정부 기관 내 정보 시스템의 정보 보안과 관련된 미국 연방법입니다. FISMA는 미국 연방 정부 기관이나 정부를 대신하는 계약자 또는 기타 조직에서 사용하거나 운영하는 모든 정보 시스템에 적용됩니다. 

연방 위험 및 인증 관리 프로그램(FedRAMP, Federal Risk and Authorization Management Program)은 클라우드 컴퓨팅 서비스를 사용하여 미국 연방 정부 기관에 대해 FISMA를 시행하고 있습니다. FedRAMP는 연방 정부 기관에 적용되는 필수 클라우드 보안 규정 준수 표준입니다.

Google Workspace(Google Workspace, Google Workspace for Education, Google Workspace for Nonprofits, Google Workspace for Government, Google App Engine 포함)는 통제 대상 비기밀 정보에 대한 표준 수준인 FIPS 199 보통(Moderate) 영향 수준으로 FedRAMP 운영 승인(ATO)을 받았습니다.

내 조직은 결제 카드 데이터를 취급하며 PCI DSS의 적용을 받습니다. 규정 준수를 보장하기 위해 어떤 도구를 사용할 수 있나요?

결제 카드 산업 데이터 보안 표준(PCI DSS, Payment Card Industry Data Security Standard)에는 결제 카드 정보를 포함하거나 처리하는 시스템에 대한 정책 및 기술 요구사항이 포함되어 있습니다. Google Cloud Platform은 공인 보안 평가자(QSA, Qualified Security Assessor)의 평가에 따라 결제 카드 산업 데이터 보안 표준(PCI DSS) 규정을 준수하는 것으로 확인되었습니다. Google은 QSA의 규정 준수 보고서를 사용하여 애플리케이션 개발자가 Google 플랫폼에서 고유한 보안 및 규정 준수 솔루션을 만들고 활용할 수 있음을 확인합니다. Google Workspace는 신용카드 거래를 처리하거나 저장하지 않습니다. 따라서 고객은 신용카드 정보를 포함하는 이메일이 Google Workspace에서 발송되는 것을 방지하는 관리 기능을 설정할 수 있으며 이를 통해 Google 고객은 PCI DSS 규정을 준수할 수 있습니다. 

Google Cloud Platform은 매년 서드 파티 감사를 거쳐서 개별 제품의 PCI DSS 인증을 받습니다. 즉, 고객이 이러한 서비스에서 제공하는 인프라를 사용하여 카드 소지자 데이터를 저장, 처리 또는 전송하는 자체 서비스나 애플리케이션을 구축할 수 있습니다. 이때 애플리케이션이 PCI DSS를 준수하는지 확인할 책임은 여전히 고객에게 있다는 점에 반드시 유의해야 합니다. Google Cloud Platform을 사용하여 애플리케이션에서 PCI DSS를 구현하는 방법은 PCI 데이터 보안 표준 규정 준수를 참고하세요.

조직의 법규 준수를 위한 지원에 활용할 수 있는 디지털 증거 검색 도구에는 무엇이 있나요?

Google Vault는 Google Workspace의 부가기능으로, 디지털 증거 검색 및 규정 준수 요건을 충족하기 위해 조직의 이메일을 보관, 보관처리, 검색, 내보내기 하는 데 사용할 수 있습니다. Vault는 100% 웹 기반이므로 소프트웨어를 설치하거나 관리할 필요가 없습니다. Vault에서 다음과 같은 작업을 수행할 수 있습니다.

  • 원하는 기간만큼 데이터를 보관합니다.
  • 필요가 없어지면 데이터를 삭제합니다.
  • 관심 있는 데이터를 검색, 보존 조치하고 내보냅니다.

자세한 내용은 Google Vault란 무엇인가요?를 참고하세요.

국제무기거래규제(ITAR)의 규제를 받는 데이터를 Google 서비스에서 사용할 수 있나요?

ITAR은 미국 군수품 목록(USML)에 명시된 국방 관련 물품 및 서비스의 수출입을 규제하는 미국 정부의 규정입니다. Google은 ITAR 규제가 적용되는 데이터를 Google 서비스에서 사용하는 것은 지원하지 않습니다.

Google Cloud 서비스는 EU의 개인 정보 보호법(GDPR)을 어떻게 준수하나요?

GDPR은 복잡한 법입니다. Google Cloud의 GDPR 접근 방식에 대한 자세한 내용은 Google Cloud 및 개인 정보 보호법(GDPR)을 참고하세요.  GDPR에서 요구하는 데이터 전송 제한사항과 관련하여 Google Cloud에는 CDPA 및 DPST에 표준 계약 조항(SCC)이 포함됩니다.  대체 전송 솔루션이 없는 경우 유럽, 중동, 아프리카(EMEA) 고객의 고객 개인 정보를 자동으로 보호하며, 고객이 Google 관리 콘솔을 통해 유럽 데이터 보호법의 적용을 받고 있음을 인증하는 경우 EMEA 이외 지역 고객의 고객 개인 정보를 보호합니다.

Google Workspace와 일반 소비자용 Google Workspace 앱 간의 차이점은 무엇인가요?

Google Workspace 서비스는 Google Workspace 서비스 약관 및 Cloud 데이터 처리 추가 조항에 따라 Google에서 조직에 제공하는 서비스입니다. 일반 소비자용 앱은 Google 서비스 약관 및 Google 개인정보처리방침에 따라 Google에서 최종 사용자에게 직접 제공됩니다. Google Workspace 앱과 일반 소비자용 앱의 역량 및 기능은 상당 부분 유사합니다. Google Workspace 서비스에서는 조직의 관리자가 조직 앱에 대한 보안 및 개인 정보 보호 설정을 관리할 수 있습니다.

Google에서는 일반 소비자용 Google Workspace 앱에 Google Cloud 데이터 처리 추가 조항을 제공하나요?

아니요. 통합 표준 계약 조항을 포함한 Google Cloud 데이터 처리 추가 조항은 Google Workspace를 사용하는 고객에게만 제공됩니다. 일반 소비자 버전의 Google Workspace 앱은 Google 서비스 약관개인정보처리방침에 따라 제공됩니다.

개인 정보 보호 관련 구체적인 의무사항과 현재의 규정 준수 요구사항에 어떤 모델이 적합할지에 대해서는 변호사와 직접 상담하시기 바랍니다.

Google의 AADC 요구사항에 대한 준수는 어떻게 이뤄지고 있나요?

Google은 기본적으로 안전하고 개인 정보 보호를 우선으로 설계되었으며 사용자가 제어할 수 있는 제품을 만들기 위해 노력하고 있습니다. 또한 Google 정책에 따라 동의 연령 미만의 어린이가 표준 Google 계정을 만드는 것이 허용되지는 않지만 Google은 어린이, 청소년, 가족을 대상으로 하는 풍족한 제품 환경을 설계하는 데 많은 노력을 기울입니다.  

변호사와 함께 연령 적합 설계 규약(AADC) 및 기타 어린이 개인 정보 보호에 초점을 둔 규정에 따른 의무를 평가하는 것이 좋습니다. 

Google Workspace Business 및 Enterprise 계정의 경우 도메인 관리자가 도메인의 모든 사용자에게 AADC를 적용할지를 결정합니다. AADC를 적용한다면 만 18세 미만의 사용자에게는 모든 추가 서비스를 사용 중지하는 것이 좋습니다. Google Workspace Business 및 Enterprise 요금제가 비즈니스 계정이며, 비즈니스 계정을 통해 액세스하는 추가 서비스에는 현재 어린이를 대상으로 하는 개인 정보 보호 기능이 포함되어 있지 않습니다. Google Workspace for Education 도메인에서 연령 기반 액세스 설정을 구현한 Google Workspace for Education 계정은 예외입니다. 자세한 내용은 Google 서비스에 대한 연령별 액세스 권한 관리하기를 참고하세요.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?
true
기본 메뉴
15872888477469402364
true
도움말 센터 검색
true
true
true
false
false