미국 건강 보험 이동성 및 책임법(HIPAA)에 따르면, 개인의 건강 또는 의료 서비스에 대한 특정 정보는 보호 건강 정보(PHI)로 분류됩니다.
Google에서는 고객의 데이터를 안전하게 보호하고 고객이 원할 경우 언제든지 접근할 수 있도록 하기 위해 최선을 다하고 있습니다. Looker Studio는 HIPAA 규정을 Google Cloud Platform 비즈니스 제휴 계약(BAA)의 범위 내에서 준수하지만, 궁극적으로 HIPAA 규정 준수 여부를 평가할 책임은 고객에게 있습니다.
이 도움말에서는 HIPAA 규정 준수를 담당하는 보안 담당자, 규정 준수 담당자, IT 관리자, 기타 직원이 Looker Studio를 규정 준수 요건에 적합한 방식으로 사용하는 방법을 설명합니다.
면책 조항
이 가이드는 정보 제공만을 목적으로 합니다. Google이 본 가이드에서 제공하는 정보 또는 권장사항은 법적 자문에 해당하지 않습니다. 각 고객은 Looker Studio가 어떻게 사용되는지를 자체적으로 평가하여 법률 준수 의무를 이행할 책임이 있습니다.
고객의 책임
Looker Studio 고객은 자체적으로 HIPAA 요구사항의 적용 대상인지와 Looker Studio를 PHI와 연계하여 사용하거나 사용할 의사가 있는지 확인할 책임이 있습니다. HIPAA의 적용 대상이며 PHI와 연계하여 Looker Studio를 사용하려는 고객은 계속하기 전에 Google Cloud Platform 비즈니스 제휴 계약(BAA)을 검토하고 이에 동의해야 합니다. Google과 Google Cloud Platform BAA를 체결하지 않은 고객은 Looker Studio를 PHI와 연계하여 사용해서는 안 됩니다. 신규 고객은 더 이상 이전 Looker Studio BAA를 수락할 수 없습니다.
Google Cloud Platform의 HIPAA 규정 준수에 대해 자세히 알아보세요.
Looker Studio를 PHI와 연계하여 사용하는 방법
HIPAA의 적용 대상인 Looker Studio 고객은 HIPAA를 준수하도록 Looker Studio를 구성할 경우에만 BAA에 따라 PHI와 연계하여 Looker Studio에 액세스할 수 있습니다.
Google Workspace 및 Cloud ID 고객
Google 관리 콘솔에는 데이터를 안전하게 보호하고, 요구사항에 따라서만 데이터를 사용하고 이에 액세스할 수 있는 구체적인 설정이 있습니다. 다음은 구체적인 문제를 해결하는 데 도움이 되는 실행 가능한 권장사항입니다.
계정 활동 모니터링
관리 콘솔 보고서 및 로그를 활용하면 잠재적인 보안 위험을 검토하고, 사용자 공동작업을 평가하고, 누가 언제 로그인했는지 추적하고, 관리자 활동을 분석하는 작업 등을 간편하게 할 수 있습니다. 관리자는 로그 및 알림을 모니터링하기 위해 의심스러운 이벤트가 발생할 경우 알림이 전송되도록 구성할 수 있습니다. 또한 관리자는 정기적으로 보고서 및 로그를 검토하여 잠재적인 보안 위험을 검토할 수 있습니다. 예를 들어 Looker Studio의 관리 콘솔 보고서에는 외부 도메인 사용자와 공유되는 파일이 표시됩니다. 관리자는 PHI가 의도치 않게 공유되는지 확인하기 위해 PHI를 관리하는 직원에 대한 보고서를 정기적으로 확인하는 것을 고려해야 합니다.
공유 옵션
Looker Studio 사용자는 Looker Studio 애셋을 공유할 때 공동작업자의 수정 및 공유 권한을 관리할 수 있습니다. 이러한 애셋의 제목에는 PHI를 넣지 않는 것이 좋습니다.
관리자는 파일 공유 권한을 Workspace 또는 Cloud ID 계정의 적절한 공개 수준으로 설정할 수 있습니다. 관리자는 사용자가 도메인 외부로 문서를 공유하는 것을 '제한' 또는 '허용'할 수 있습니다. 관리자는 파일 공유 권한을 구성하여 PHI를 다루는 사용자가 조직 외부로 Looker Studio 애셋을 공유하지 못하도록 하는 것이 좋습니다.
기술 지원 서비스
Looker Studio 기술 지원 서비스에 액세스할 때 Google에 PHI를 제공해서는 안 됩니다.
추가 리소스
Google은 고객 데이터를 안전하게 보호하며 고객이 원할 경우 언제든지 접근할 수 있도록 하는 것을 가장 중요한 과제 중의 하나로 생각합니다. Google에서는 업계의 보안 표준을 준수한다는 사실을 입증하기 위해 Google Cloud 비즈니스 제휴 계약을 시행하는 것 외에도 Looker Studio와 관련해 여러 인증을 신청하고 취득했습니다.