규정 준수

Google에서는 전 세계 여러 규정 및 의료 기관, 교육 기관 등 다양한 산업 분야의 규정을 준수하고 있으며 그에 대해 자부심이 있습니다. Google에서 사용자의 규정 준수 요건을 충족하는 데 필요한 도구 및 관리 기능이 제공되고 있으므로 Google 서비스를 안심하고 사용하실 수 있습니다.

Google에서는 자주 묻는 질문에 대한 답변을 제공하기 위해 본 FAQ 및 관련 G Suite 보안 사이트를 만들었습니다. Google의 보안 및 개인정보 보호에 대한 궁금증을 해결하는 데 이 자료가 도움이 되기를 바랍니다. Google의 개인정보 보호 및 약관 페이지에서 일반 사용자의 개인정보 보호와 관련된 도구 및 정보를 확인하시기 바랍니다.

악용사례를 신고하려면 Google팀에 악용사례를 신고하는 방법에 대해 자세히 알아보세요

G Suite 및 Google Cloud Platform의 보안 수준을 확인하려면 어떻게 해야 하나요?

고객과 규제 기관은 Google이 보안, 개인정보 보호, 규정 준수 관리에 대해 독립 기관으로부터 검증을 받기를 기대합니다. Google은 보안 수준을 보증하기 위해 여러 제3자 독립 감사 기관으로부터 정기적인 심사를 받고 있습니다. 이는 독립 감사 기관에서 Google의 데이터 센터, 인프라, 운영 환경에 적용되는 보안 관리 체계를 검토했음을 의미합니다. Google 솔루션은 다음 표준 및 규정의 준수 상황에 대해 정기적인 감사를 받고 있습니다.

관련 인증서 및 감사 보고서 사본을 받을 수 있나요? SOC3 감사 보고서는 어디서 다운로드할 수 있나요? Google의 ISO27001 인증서는 어디서 확인할 수 있나요?

SOC3 보고서는 독립적인 회계 법인에서 Google의 관리 체계를 심사했음을 입증합니다. 또한 법인의 비즈니스가 공인 서비스 원칙 및 기준(Trust Services Principles and Criteria)을 준수한다는 경영진의 주장에 대한 전문가의 검증 보고를 담고 있습니다. G Suite SOC3 및 Google Cloud Platform SOC3 보고서를 참고하세요.

G Suite ISO27001 및 Google Cloud Platform ISO27001 인증서는 ISO/IEC 27001:2013의 기능 범위를 증명합니다. 인증은 G Suite, G Suite for Education, Google Cloud Platform, Google Plus, Google Now, Google 애널리틱스, 애널리틱스 프리미엄 서비스, 그리고 이러한 서비스에 포함되거나 이러한 서비스를 통해 수집된 데이터에 국한됩니다.

유럽의 데이터 보호 요구사항에 대한 준수는 어떻게 이뤄지고 있나요?

Google의 고객층은 유럽에도 널리 분포되어 있습니다. 50%가 넘는 Google 기업 고객이 미국 이외의 지역에 있습니다. Google에서는 제29조 작업반에서 제공한 데이터 보호 권장 사항을 충족하기 위해 업무역량 및 계약에 의한 약정을 제공합니다. Google에서는 EU 표준 계약 조항, G Suite의 데이터 처리 수정안, Google Cloud Platform의 데이터 처리 수정안 체결을 권고합니다. 

데이터 처리 수정안을 선택하려면 다음 안내를 따르세요.

관리 콘솔에 로그인합니다. '회사 프로필' > '프로필'을 클릭합니다.

'보안 및 개인정보 보호에 대한 추가 약관' 섹션에서 '데이터 처리 수정안' 옆에 있는 '검토 및 동의'를 클릭합니다. '동의합니다'를 클릭합니다.

EU 표준계약서 옆에 있는 '검토 및 동의'를 클릭합니다. '동의합니다'를 클릭합니다.

Google의 데이터 보호 사례에 대한 제3자 독립 감사 기관의 심사와 Google의 ISO 27001 인증, 그리고 ISO/IEC 27018:2014를 준수하는 개인정보 보호관행 및 계약상 약정에 대한 인증과 함께 EU 데이터 보호 규정을 준수할 수 있는 여러 규정 준수 옵션을 고객에게 제공합니다.

EU 데이터 보호법에서는 개인 정보를 EU/EEA에 저장하도록 규제하고 있지 않나요?

유럽 위원회의 데이터 보호 지침은 1995년 유럽 연합(EU)에서 통과된 개인정보 보호 법규의 중요 부분입니다. 이 지침에서는 개인정보 보호와 관련하여 EU의 '적정성' 기준에 미치지 못하는 EU 역외 국가로 데이터를 이동하는 것을 제한합니다. 개인 정보를 철저히 EU 내에서만 처리하는 것은 규정을 준수하는 방법 중 하나가 됩니다. 유럽 위원회에서 승인한 표준 계약 조항 사용 등 데이터를 EU 내에 두도록 요구하지 않는 다른 규정을 준수하는 방법도 있습니다.

미국 정부는 어떻습니까? 미국 밖에 데이터를 저장하면 미국 정부의 데이터 요청 대상에서 제외되나요?

특정 국가에 데이터를 저장한다고 해서 외국 정부가 데이터에 액세스하는 것을 막을 수 있는 것은 아닙니다. 데이터가 특정 관할 구역에 있는 경우에도 다른 관할 구역에서 공개를 요구할 수 있습니다. 또한 전 세계 여러 곳의 데이터 센터를 연결하는 케이블에 정부가 직접 감청을 시도했음이 보고되기도 했습니다. 그래서 Google에서는 감시 개혁 지지 입장을 표명했습니다. Google에서는 정부에 자사 시스템에 대한 액세스를 제공하거나 정부가 사용자 데이터에 액세스하기 위해 장비를 설치하는 것을 거부합니다. 정부의 데이터 요청을 취급하는 방법에 대한 자세한 내용은 Google의 투명성 보고서를 참고하세요.

Google에서는 내 데이터를 어디에 저장하나요?

사용자의 데이터는 전 세계에 있는 Google의 데이터 센터 네트워크에 저장됩니다. Google에서는 데이터 센터를 여러 지역에 분산시켜 유지 관리하고 있습니다. Google의 컴퓨팅 클러스터는 복원성과 중복성을 염두에 두고 설계되었으며, 단일 장애 지점을 제거하여 일반적인 장비 오류와 환경적 위험으로 인한 영향을 최소화합니다.

Google 시스템에 의료 데이터를 저장해도 되나요?

G Suite에서는 고객의 미국 건강 보험 이동성 및 책임법(HIPAA, Health Insurance Portability and Accountability Act) 준수를 지원합니다. HIPAA가 적용되는 고객이 보호 건강 정보(PHI)를 G Suite에서 사용하려는 경우 Google과의 비즈니스 제휴 계약을 체결해야 합니다. G Suite, G Suite for Education, 공공기관용 G Suite를 사용하는 조직의 관리자는 Google 서비스에서 PHI를 사용하기 전에 BAA를 요청할 수 있습니다. Google에서는 Gmail, Google 캘린더, Google 드라이브, Google Vault에 대한 BAA를 제공합니다. Google Cloud Platform 고객은 Compute Engine, Cloud Storage, Cloud SQL, BigQuery에 대해 BAA를 요청할 수 있습니다.

Google 제품은 학생과 어린이 사용을 위한 개인정보 보호 요구사항을 충족하나요?

4천만 명 이상의 학생들이 G Suite for Education을 사용하고 있습니다. G Suite for Education은 미국 가족 교육권리 및 개인정보 보호법(FERPA)을 준수하며, 이의 준수를 위해 노력한다는 내용이 계약에 포함되어 있습니다. Google에서는 미국의 아동 온라인 개인정보 보호법(COPPA, Child Online Privacy Protection Act)을 준수하는 서비스 사용과 관련하여 COPPA 에 따라 G Suite for Education을 사용하는 학교에서 학부모 동의서를 받도록 계약에 의해 요구하고 있습니다.

미국 정부 기관에서 Google을 사용할 수 있나요?

2002년 연방 정보 보안 관리법(FISMA, Federal Information Security Management Act)은 연방 정부 기관 내 정보 시스템의 정보 보안과 관련된 미국 연방법입니다. FISMA는 미국 연방 정부 기관이나 정부를 대신하는 계약자 또는 기타 조직에서 사용하거나 운영하는 모든 정보 시스템에 적용됩니다. 

연방 위험 및 인증 관리 프로그램(FedRAMP, Federal Risk and Authorization Management Program)은 클라우드 컴퓨팅 서비스를 사용하여 미국 연방 정부 기관에 대해 FISMA를 시행하고 있습니다. FedRAMP는 연방 정부 기관에 적용되는 필수 클라우드 보안 규정 준수 표준입니다.

G Suite for Education, 비영리단체 및 공공기관용 G Suite, Google App Engine을 비롯한 G Suite는 기밀취급정보에 대한 기본 수준인 FIPS 199 Moderate 수준의 FedRAMP 운영 승인(ATO)을 받았습니다.

내 조직은 결제 카드 데이터를 취급하며 PCI DSS의 적용을 받습니다. 규정 준수를 보장하기 위해 어떤 도구를 사용할 수 있나요?

결제 카드 산업 데이터 보안 표준(PCI DSS, Payment Card Industry Data Security Standard)에는 결제 카드 정보를 포함하거나 처리하는 시스템에 대한 정책 및 기술 요구사항이 포함되어 있습니다. Google Cloud Platform은 QSA(Qualified Security Assessor)의 평가에 따라 결제 카드 산업 데이터 보안 표준(PCI DSS) 규정을 준수하는 것으로 확인되었습니다. Google에서는 QSA의 규정 준수 보고서를 사용하여 애플리케이션 개발자가 Google 플랫폼에서 고유한 보안 및 규정 준수 솔루션을 만들고 활용할 수 있음을 확인합니다. G Suite에서는 신용카드 거래의 처리나 저장이 이뤄지지 않습니다. 따라서 고객은 신용카드 정보를 포함하는 이메일이 G Suite에서 발송되는 것을 방지하기 위한 관리조치를 구성할 수 있습니다. 이를 통해 Google 고객은 PCI DSS 규정을 준수할 수 있습니다. 

조직의 법규 준수를 위한 지원에 활용할 수 있는 디지털 증거 검색 도구에는 무엇이 있나요?

Google Vault는 G Suite의 부가기능으로 디지털 증거 검색 및 규정 준수 요건을 충족하기 위해 조직의 이메일을 보관처리, 저장, 검색하고 내보내는 데 사용할 수 있습니다. Vault는 100% 웹 기반이므로 소프트웨어를 설치하거나 관리할 필요가 없습니다. Vault에서 다음과 같은 작업을 수행할 수 있습니다.

국제 무기 거래 규정(ITAR)의 규제를 받는 데이터를 Google 서비스에서 사용할 수 있나요?

ITAR(국제 무기 거래 규정)은 미국 군수품 목록(USML)에 명시된 국방 관련 물품 및 서비스의 수출입을 규제하는 미국 정부의 규정입니다. ITAR 규제가 적용되는 데이터를 Google 서비스에서 사용하는 것은 지원하지 않습니다.

Google 클라우드 서비스는 EU의 개인정보 보호법인 GDPR(General Data Protection Regulation)을 어떻게 준수하나요?

EU의 개인정보 보호법(GDPR)1995년 EU 데이터 보호 지침을 대체합니다. GDPR은 본인과 관련된 개인 정보에 대한 개인의 권한을 강화하고 이 데이터가 처리되는 장소에 무관하게 통일된 데이터 보호 법률을 유럽 전역에 적용하는 내용을 담고 있습니다.

Google에서는 G Suite 및 Google Cloud Platform 서비스 전반에 걸쳐 GDPR 준수를 위한 노력이 지속되고 있습니다. 또한 자사 서비스 및 계약에 수년에 걸쳐 개발된 강력한 개인정보 보호 및 보안 장치를 적용하여 고객이 GDPR을 준수하는 데 어려움이 없도록 최선을 다해 돕고 있습니다.

무엇보다도 데이터 컨트롤러는 GDPR 요건을 만족할 수 있도록 적절한 기술적, 조직적 수단을 구현하기에 충분한 보증을 제공하는 데이터 처리업체만 이용하도록 요구됩니다.

G Suite 및 Google Cloud Platform 데이터 처리 약관은 고객에 대한 Google의 개인정보 보호에 대한 약속을 명시하고 있습니다. Google에서는 고객과 규제 기관의 피드백을 기반으로 수년에 걸쳐 이러한 약관을 개선해 왔으며 특히 GDPR의 변경를 반영하도록 업데이트했습니다.

자세한 내용은 GDPR 사이트를 참고하세요.

G Suite와 일반 소비자용 G Suite 앱 간의 차이점은 무엇인가요?

G Suite 서비스는 G Suite 서비스 약관 및 데이터 처리 수정안에 따라 Google에서 조직에 제공하는 서비스입니다. 소비자 앱은 Google 서비스 약관 및 Google 개인정보처리방침에 따라 Google에서 최종 사용자에게 직접 제공됩니다. G Suite 앱과 일반 소비자용 앱의 역량 및 기능은 상당 부분 유사합니다. G Suite 서비스에서는 조직의 관리자가 조직 앱에 대한 보안 및 개인정보 보호 설정을 관리할 수 있습니다.

Google에서는 일반 소비자용 G Suite 앱에 대해 G Suite 데이터 처리 수정안을 지원하나요?

아니요. G Suite 데이터 처리 약관(데이터 처리 수정안표준 계약 조항 포함)은 G Suite 고객에게만 지원됩니다. 일반 소비자 버전의 G Suite 앱은 Google 서비스 약관개인정보처리방침에 따라 제공됩니다.

개인정보 보호 관련 구체적인 의무사항과 현재의 규정 준수 요구사항에 어떤 모델이 적합할지에 대해서는 변호사와 직접 상담하시기 바랍니다.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?