Google Cloud와 개인정보 보호법(GDPR)
개인 정보 보호법(GDPR)은 2018년 5월 25일부터 1995년 10월 24일자 95/46/EC 데이터 보호 지침을 대체하는 개인 정보 보호 법안입니다. GDPR은 유럽에서 설립되었거나 유럽 사용자를 대상으로 하는 기업과 단체에 대한 다음과 같은 구체적인 요구사항을 담고 있습니다.
- 기업이 개인 정보를 수집, 사용, 저장할 수 있는 방식 규제
- 현행 문서화 및 보고 의무를 기반으로 책임성 강화
- 요구사항을 준수하지 않은 기업에 과태료 부과
Google Cloud는 고객 개인 정보의 보안과 개인정보 보호를 강화하는 프로젝트를 최우선적으로 추진하고 있으며, Google Cloud 고객이 서비스를 사용하는 데 있어 GDPR 요구사항이 준수되고 있다는 확신을 가질 수 있기를 바랍니다. Google Cloud의 파트너에게는 GDPR 규정 준수를 돕기 위해 다음과 같은 지원이 제공됩니다.
- 모든 Google Cloud 및 Google Workspace 서비스에서 고객 개인 정보 처리와 관련하여 GDPR 준수 의무를 계약에 명시
- 가장 민감한 개인 정보를 더욱 안전하게 보호하는 데 도움이 될 수 있는 추가적인 보안 기능 제공
- Google 서비스의 개인정보 보호 수준을 평가하는 데 도움이 되는 문서 및 리소스 제공
- 규제 환경의 변화에 대응하여 지속적으로 역량 강화
Google Workspace 및 Google Cloud의 GDPR 준수 약속
데이터 컨트롤러는 적절한 기술적, 조직적 수단을 갖춘 데이터 프로세서를 사용해야 합니다. Google Cloud에 대한 GDPR 평가를 실시할 때 다음을 고려하세요.
전문 지식, 신뢰성, 리소스
데이터 보호 전문 지식
Google의 보안 및 개인정보 보호 전문가는 정보, 애플리케이션, 네트워크 보안 분야에서 세계 최고 수준의 역량을 갖추고 있습니다. 이러한 전문가팀이 기업의 방어 시스템을 유지관리하고, 보안 검토 프로세스를 개발하고, 더욱 강력한 보안 인프라를 구축하고, Google의 보안 정책을 정교하게 구현하는 업무를 담당합니다.
또한 Google은 Google Cloud의 개인정보 보호 및 보안 규정 준수를 살피는 변호사, 준법 전문가, 공공 정책 전문가로 폭넓게 구성된 팀을 운영하고 있습니다.
이러한 팀은 Google Workspace 및 Google Cloud 서비스가 고객의 규정 준수 요구사항을 해결하는 데 일조할 수 있도록 고객, 업계 이해관계자, 감독 당국과 긴밀히 협조하고 있습니다.
데이터 보호를 위한 노력
데이터 처리 약관
Google Workspace 및 Google Cloud 데이터 처리 약관에는 고객에 대한 Google의 개인정보 보호 노력이 명시되어 있습니다. Google은 고객과 규제 기관의 피드백을 기반으로 수년에 걸쳐 해당 약관을 개선해 왔습니다.
특히 GDPR을 반영하고 Google Cloud 서비스를 이용하는 고객의 자체적인 규정 준수 평가와 GDPR 대비를 도울 수 있도록 조항을 업데이트했습니다. Google Workspace 데이터 처리 수정안, Google Workspace EU 표준 계약 조항, Google Cloud 데이터 처리 및 보안 약관 및 Google Cloud EU 표준 계약 조항(SCC)을 자세히 알아보세요.
이와 같이 개정된 데이터 처리 약관의 적용을 받으려면 Google Workspace 데이터 처리 수정안과 Google Cloud 데이터 처리 및 보안 약관에서 설명하는 선택적 동의 절차를 따르시기 바랍니다.
지침에 따른 처리
고객 및 사용자가 시스템에 입력하는 모든 데이터는 GDPR을 반영하여 개정된 Google의 데이터 처리 약관에 기술된 대로 고객의 지침에 따라서만 처리됩니다.
직원의 비밀유지 노력
모든 Google 직원은 기밀유지 협약에 서명하고 의무적으로 Google의 윤리 강령 교육은 물론 비밀유지 및 개인정보 보호 교육 과정을 이수해야 합니다. Google의 윤리 강령에는 정보 보호와 관련된 책임 및 갖춰야 할 태도가 구체적으로 명시되어 있습니다.
보조 프로세서 이용
Google 그룹 기업은 Google Workspace 및 Google Cloud 서비스 제공에 필요한 대부분의 데이터 처리 작업을 직접 수행합니다. 그러나 일부 타사 공급업체에 서비스 지원을 의뢰할 때도 있습니다. 각 공급업체는 필요한 기술적 전문 지식이 있는지, 그리고 적정한 수준의 보안과 개인정보 보호를 제공할 수 있는지를 검증하는 엄격한 선정 절차를 거쳐 선정됩니다.
Google은 Google Workspace 및 Google Cloud 서비스를 지원하는 Google 그룹의 보조 프로세서 및 이러한 서비스에 관여하는 제3자 보조 프로세서에 대한 정보를 공개합니다. Google Workspace 보조 프로세서에 대한 세부정보는 여기를 참조하고 Google Cloud 보조 프로세서에 대한 세부정보는 여기를 참조하세요. 또한 데이터 처리 약관에도 보조 프로세서와 관련된 의무사항이 포함되어 있습니다.
서비스 보안
GDPR에 의거하여 위험에 상응하는 적절한 수준의 보안을 구현하기 위해 적절한 기술적, 조직적 조치가 취해져야 합니다.
Google은 정보 처리 수명 주기 전체에 걸쳐 최고 수준의 보안을 제공하도록 설계된 글로벌 인프라를 운영합니다. 이 인프라는 서비스의 안전한 배포, 최종 사용자 개인정보 보호 수단이 적용된 안전한 데이터 저장, 서비스 간의 안전한 통신, 고객과의 안전한 비공개 인터넷 통신, 관리자에 의한 안전한 운영을 제공하도록 설계되었습니다. Google Workspace 및 Google Cloud는 이 인프라에서 실행됩니다.
Google에서는 데이터 센터의 물리적 보안부터 하드웨어 및 소프트웨어의 보안 보호 및 운영 보안 지원에 사용되는 프로세스에 이르기까지 자사의 인프라 보안 체계를 멀티 레이어로 설계했습니다. 이 멀티 레이어의 보안 덕분에 모든 요소에 견고한 보안 기반이 마련됩니다. 인프라 보안에 대한 자세한 설명은 Google 인프라 보안 설계 개요 백서를 확인하세요.
가용성, 무결성, 장애 복구성
Google은 자사 플랫폼의 구성요소가 높은 중복성을 갖도록 설계합니다. Google의 데이터 센터는 지리적으로 분산되어 있어 자연재해 및 국지적 절전과 같은 지역적 장애 요인이 글로벌 제품에 미치는 영향을 최소화합니다. 하드웨어, 소프트웨어, 네트워크 장애가 발생하는 경우 해당 시설의 서비스가 즉각적으로 다른 시설로 옮겨가기 때문에 아무런 지장 없이 작업을 지속할 수 있습니다. Google의 중복성 높은 인프라는 고객의 데이터 손실을 방지합니다.
장비 테스트 및 보안
Google은 바코드와 애셋 태그를 활용해 데이터 센터 장비의 인수부터 설치, 사용 중지, 폐기에 이르기까지 상태와 위치를 추적합니다. 수명 주기 중 언제라도 성능 테스트를 통과하지 못한 구성요소는 인벤토리에서 삭제되어 사용 중지됩니다. Google 하드 드라이브에서는 전체 디스크 암호화(FDE)와 드라이브 잠금과 같은 기술을 활용해 저장 데이터를 보호합니다.
재해 복구 테스트
Google에서는 매년 재해 복구 테스트를 실시하여 인프라 및 애플리케이션팀이 통신 계획, 장애 조치 시나리오, 운영 전환, 기타 응급상황 대응을 테스트할 수 있도록 인프라 및 애플리케이션팀에 협력 플랫폼을 제공합니다. 재해 복구 모의 훈련에 참여하는 모든 팀은 테스트 계획을 개발하고 테스트를 통해 얻은 결과와 교훈을 문서화하는 사후 평가도 시행합니다.
암호화
Google은 암호화를 사용하여 전송 중인 데이터와 저장 데이터를 보호합니다. Google Workspace에서 리전 간에 전송 중인 데이터는 모든 사용자에게 기본적으로 활성화되어 있는 HTTPS로 보호됩니다. Google Workspace 및 Google Cloud 서비스는 고객 측에서 어떠한 조치를 취하지 않아도 하나 이상의 암호화 메커니즘을 사용해 비활성 상태로 저장된 고객 콘텐츠를 암호화합니다. 데이터 암호화 방법에 대한 자세한 내용은 Workspace 암호화 백서, 전송 중인 Google Cloud 암호화, 저장 중인 Google Cloud 암호화를 참조하세요.
액세스 제어
Google 직원의 액세스 권한 및 수준은 최소 권한 및 알 권리를 바탕으로, 규정된 책임에 적합한 접근 권한을 부여하는 방식으로 직무와 역할에 맞게 할당됩니다. 추가 액세스 권한을 요청하려면 Google의 보안 정책에 명시된 대로 데이터나 시스템 소유자, 관리자 또는 기타 책임자의 승인과 요청을 포함하는 공식 프로세스를 따라야 합니다. Google Cloud 시스템과 인프라 구성요소를 수용하는 데이터 센터에는 물리적 접근 제한이 적용되며 연중무휴 24시간 체제로 현장 보안 담당자, 보안 경비, 출입 배지, 생체 인식 메커니즘, 물리적 잠금 장치, 비디오 카메라를 통해 시설 내부 및 외부를 감시하고 있습니다.
사고 관리
Google은 전 세계에 고객 데이터의 보안 및 개인정보 보호와 보안 관리를 담당하는 전담 보안팀을 연중무휴 24시간 체제로 운영하고 있습니다. 개별 팀원은 연중무휴 24시간 사고 관련 알림을 받고 긴급 상황을 해결할 수 있도록 지원합니다. 사고 대응 정책이 마련되어 있으며 중요한 사고를 해결하기 위한 절차도 문서화되어 있습니다. 이러한 이벤트를 통해 얻은 정보는 향후 사고를 예방하는 데 활용되며 정보 보안 교육에서 예시로 사용될 수 있습니다. Google 사고 관리 프로세스 및 대응 워크플로도 문서화되어 있습니다. Google의 사고 관리 프로세스는 ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS1, SOC 2, FedRAMP 프로그램의 일환으로 정기적으로 테스트를 받아 고객과 규제 기관에 Google의 보안, 개인정보 보호, 규정 준수 관리에 대한 독립적 검증 결과를 제공합니다. Google의 사고 대응 프로세스에 대한 자세한 정보는 데이터 사고 대응 프로세스 백서에서 확인할 수 있습니다.
취약점 관리
Google에서는 상용화 도구, 목적에 맞게 제작된 사내 도구, 집중적인 자동/수동 침투 테스트, 품질 보증 프로세스, 소프트웨어 보안 검토, 외부 감사를 조합한 방식으로 소프트웨어 취약점을 검사합니다. 또한 더욱 광범위한 보안 연구 커뮤니티에 의뢰하여 Google Workspace, Google Cloud, 기타 Google 제품의 취약점을 파악하는 데 많은 도움을 받고 있습니다. Google의 취약점 발견 보상 프로그램은 연구자들로 하여금 고객 데이터에 해를 끼칠 수 있는 설계 및 구현 문제를 알리도록 유도하는 효과가 있습니다.
제품 보안: Google Workspace
Google Workspace 고객은 제품 기능과 구성을 활용하여 무단 또는 불법 처리로부터 개인 정보를 한층 더 강력하게 보호할 수 있습니다.
Google Workspace 핵심 서비스(Gmail, Google 관리 콘솔, 캘린더, 드라이브, 문서, Keep, 사이트 도구, Jamboard, 행아웃, Chat, Meet, Cloud Search, Google 그룹스 등)는 사용자의 고유한 요구사항에 따라 조직의 데이터를 안전하게 보호하고, 사용하고, 액세스할 수 있도록 지원하는 구성 가능한 설정을 제공합니다. 2단계 인증은 사용자가 로그인할 때 추가적인 본인 확인을 요청하여 무단 액세스의 위험을 줄입니다.보안 키 강제 적용은 물리적 키를 요구하여 사용자 계정의 보안 레이어를 강화합니다.고급 보호 프로그램은 온라인에서 표적 공격을 당할 위험이 있는 사용자를 위한 Google의 가장 강력한 보호 기능입니다. 의심스러운 로그인 모니터링은 강력한 머신러닝 기능을 통해 의심스러운 로그인을 감지합니다. 이메일 보안 강화 기능으로 이메일 메시지에서 S/MIME(Secure/Multipurpose Internet Mail Extensions)를 통한 서명 및 암호화를 의무화합니다. 암호화: Google Workspace 고객의 데이터는 디스크에 있을 때, 백업 미디어에 저장될 때, 인터넷을 통해 이동할 때 또는 데이터 센터 간에 전송될 때 암호화됩니다. 데이터 손실 방지는 Gmail 및 드라이브의 민감한 정보를 무단으로 공유하지 못하도록 방지합니다. 고급 피싱 및 멀웨어 차단 기능은 신뢰할 수 없는 발신자가 보낸 의심스러운 첨부파일 및 스크립트와 악의적인 링크 및 이미지로부터 보호합니다. 드라이브의 정보 권한 관리 기능으로 고급 공유 메뉴의 파일 다운로드, 인쇄, 복사를 사용 중지하고 파일 액세스 만료 기간도 설정할 수 있습니다. 엔드포인트 관리 기능은 지속적으로 시스템을 모니터링하며 의심스러운 기기 활동이 감지되었을 때 알림을 제공합니다. 알림 센터에서는 Google Workspace와 관련한 중요한 알림, 경고, 보안 조치를 확인할 수 있습니다. 관리자는 알림 센터에서 제공하는 정보를 활용해 조직의 보안 문제 노출 수준을 평가할 수 있습니다. 보안 센터에서는 보안 분석, 우수사례 권장사항, 통합 구제조치 등을 제공하여 조직의 데이터, 기기, 사용자를 보호합니다. 외부 파일 공유에 대한 분석 정보, 조직 내 사용자를 대상으로 하는 스팸 및 멀웨어 확인 정보, 조사 도구를 통한 통합 구제조치도 파악할 수 있습니다. 컨텍스트 인식 액세스를 적용하면 사용자 ID와 요청 컨텍스트를 기반으로 Google Workspace 앱에 대한 액세스를 세부적으로 제어할 수 있습니다. Google Vault로 디지털 증거 검색 및 규정 준수를 위해 조직의 이메일, Google 드라이브 파일 콘텐츠, 채팅 기록을 보관, 보존, 검색하고 내보낼 수 있습니다. 앱 액세스 제어 기능은 OAuth 2.0을 사용하여 Google Workspace 서비스에 대한 액세스를 관리합니다. 조직에서는 Google Workspace 데이터에 액세스할 수 있는 타사 및 내부 앱을 제어하고 이미 사용 중인 타사 앱에 대한 보다 세부적인 정보를 확인할 수 있습니다. 데이터 리전은 데이터 리전 정책을 사용하여 정책 적용 대상인 데이터를 특정 지리적 위치에 저장할 수 있게 해줍니다. 액세스 투명성 기능으로는 Google 직원이 사용자 콘텐츠에 액세스할 때 수행한 작업의 로그를 검토할 수 있습니다.
자세한 내용은 https://workspace.google.com/security 페이지를 참조하세요.
제품 보안: Google Cloud
Google Cloud 고객은 제품 기능과 구성을 활용하여 무단 또는 불법 처리로부터 개인 정보를 한층 더 강력하게 보호할 수 있습니다.
리전 간 전송 중 암호화 기능은 Google Cloud에서 기본적으로 적용되어 전송 전에 요청을 암호화하고 TLS(전송 계층 보안) 프로토콜을 사용하여 원시 데이터를 보호합니다. 데이터가 저장을 위해 Google Cloud로 전송되면 Google Cloud에서 기본적으로 저장 데이터 암호화를 적용합니다. 2단계 인증은 사용자가 로그인할 때 추가적인 본인 확인을 요청하여 무단 액세스의 위험을 줄입니다.보안 키 강제 적용은 물리적 키를 요구하여 사용자 계정의 보안 레이어를 강화합니다. Cloud Identity and Access Management(Cloud IAM)를 사용하면 Google Cloud 리소스에 대한 세분화된 액세스 및 수정 권한을 생성하고 관리할 수 있습니다. Data Loss Prevention API를 통해 특수 범주의 개인 정보 처리를 식별하고 모니터링하여 적절한 제어를 구현할 수 있습니다. Cloud Logging 및 Cloud Monitoring은 로깅, 모니터링, 알림, 이상 감지 시스템을 Google Cloud에 통합합니다. Cloud Identity-Aware Proxy(Cloud IAP)는 Google Cloud에서 구동되는 클라우드 애플리케이션에 대한 액세스를 제어합니다. Cloud Security Scanner는 Google App Engine 애플리케이션의 일반적인 취약점을 스캔하고 감지합니다. VPC 서비스 제어는 매우 민감한 정보를 저장하는 서비스에 대한 경계 보호를 제공하여 서비스 수준 데이터 세분화를 지원합니다. Cloud KMS 및 HSM을 사용하면 FIPS 140-2 Level 3 인증 하드웨어 보안 모듈(HSM)로 구성된 클러스터 내에서 암호화 키 및 암호화 작업을 관리할 수 있습니다. KMS를 통해 고객은 규정 준수 요건을 충족하는 데 필요한 Google 관리 또는 고객 관리 암호화 키를 사용할 수 있습니다. Cloud Security Command Center에서는 고객이 클라우드 애셋 인벤토리를 조회 및 모니터링하고, 스토리지 시스템에서 민감한 정보를 검색하고, 일반적인 웹 취약점을 감지하고, 중요 리소스에 대한 액세스 권한을 검토할 수 있는 중앙화된 단일 대시보드를 제공합니다. 액세스 승인 기능은 Google이 데이터에 액세스하기 전에 반드시 Google 관리자가 고객으로부터 명시적인 승인을 받도록 합니다. 이 기능은 고객이 승인할 수 있는 액세스 요청이 포함된 이메일 또는 Cloud Pub/Sub 메시지를 고객에게 보내는 방식으로 작동합니다. 고객은 메시지의 정보를 사용하여 Google Cloud 콘솔 또는 Access Approval API에서 액세스를 승인할 수 있습니다.
자세한 내용은 https://cloud.google.com/security/ 페이지를 참조하세요.
1 Google Cloud만 해당됩니다.
데이터 보관 및 삭제
관리자는 Google Workspace 또는 Google Cloud 서비스(자세한 내용은 Google Cloud 문서 참조)의 기능을 통해 계약 기간 중 언제든지 고객 데이터를 내보낼 수 있습니다. Google은 수년간 Google의 데이터 처리 약관에 데이터 내보내기 관련 의무사항을 포함해 왔으며 앞으로도 데이터 내보내기 기능을 더욱 향상하는 노력을 지속적으로 기울여 Google Workspace 및 Google Cloud 서비스에서 고객 데이터의 사본을 더욱 쉽게 다운로드할 수 있도록 지원할 것입니다.
Google Workspace 또는 Google Cloud 서비스의 기능을 사용해 언제든 고객 데이터를 삭제할 수도 있습니다. 사용자가 Google에 영구 삭제 요청을 전달하면(예: 이메일을 삭제하면 '휴지통'에서 더 이상 복구되지 않음) Google은 보관 의무가 적용되지 않는 한 최대 180일 내에 모든 시스템에서 관련 고객 데이터를 삭제합니다.
컨트롤러 지원
정보주체의 권리
데이터 컨트롤러는 Google Workspace 및 Google Cloud 관리 콘솔과 서비스 기능을 사용해 자사와 사용자가 시스템에 입력하는 데이터 처리의 액세스, 정정, 제한 또는 데이터 삭제를 수행할 수 있습니다. 이 기능은 GDPR에 따라 본인의 권리를 행사하려는 정보주체의 요청에 대응해야 하는 데이터 컨트롤러로서의 의무를 다하는 데 도움이 됩니다.
데이터 보호팀
Google은 Google LLC와 자회사에 Cloud 제품 및 서비스의 일부로 포함하여 GDPR의 적용을 받는 데이터 처리를 관할하는 DPO를 임명했습니다. Kristie Chon Flynn Google의 데이터 보호 담당자입니다. Kristie Chon Flynn 는 미국 서니베일에서 근무하고 있습니다.
필요한 경우 Google Cloud 제품마다 데이터 보호와 관련된 고객 문의에 대응하는 팀이 마련되어 있습니다. 해당 팀에 연락하는 방법은 관련 계약서에 기술되어 있습니다. Google Workspace의 경우 고객 측 관리자가 관리자 계정에 로그인한 상태로 https://support.google.com/a/contact/googlecloud_dpr에서 Cloud 데이터 보호팀에 연락할 수 있으며 관련 계약서에 기술된 대로 Google에 직접 통지할 수도 있습니다. Google Cloud라면 https://support.google.com/cloud/contact/dpo를 통해 해당 팀에 문의할 수 있습니다.
이슈 통지
Google Workspace 및 Google Cloud는 수년째 이슈 통지와 관련한 계약상의 의무를 제공하고 있습니다. Google은 앞으로도 Google의 현재 계약에 명시된 데이터 이슈 조항에 준하여 고객 데이터와 관련된 이슈를 즉각적으로 통지할 것입니다.
해외 데이터 전송
GDPR은 개인 정보를 EU 외부로 전송하는 여러 가지 메커니즘을 제공합니다. 이러한 메커니즘의 목적은 개인 정보를 제3국에 전송할 때 적정한 보호 수준을 보장하거나 적절한 보호 조치를 시행하는 것입니다.
적정한 보호 수준은 일본 개인정보 보호법(APPI: Act on the Protection of Personal Information)과 스위스 데이터 보호법(Data Protection Act) 등의 근간이 되는 적정성 결정에 준하여 확증될 수 있습니다.
개인 정보가 적정성 결정이 적용되지 않는 EU 외부의 제3국으로 전송되는 경우 Google은 데이터 처리 약관에 따라 GDPR에서 요구하는 대로 이러한 전송을 용이하게 하는 메커니즘을 유지하기 위해 노력합니다. Google은 2017년에 유럽 데이터 보호 당국으로부터 표준 계약 조항에 대한 규정 준수 확인서를 취득함으로써 Google Workspace 및 Google Cloud에 대한 Google의 계약상 의무가 EU에서 적정한 보호 수준이 제공되지 않는 제3의 국가로 개인 정보를 합법적으로 전송하는 데 관련되는 요건에 부합됨을 입증했습니다.
표준 및 인증
Google의 고객과 규제 기관은 보안, 개인정보 보호, 규정 준수 관리에 대해 독립 기관의 검증을 기대합니다. Google Workspace 및 Google Cloud는 보안 수준을 보증하기 위해 여러 제3자 독립 감사 기관으로부터 정기적인 감사를 받고 있습니다.
ISO/IEC 27001(정보 보안 관리)
ISO/IEC 27001은 전 세계에 가장 널리 알려졌으며 국제적으로 사용되는 독립된 보안 표준 중 하나입니다. Google은 Google Workspace 및 Google Cloud 제품은 물론, 공유되는 공통 인프라를 구성하는 시스템, 애플리케이션, 인력, 기술, 프로세스, 데이터 센터에 대해서도 ISO/IEC 27001 인증을 취득했습니다. 이러한 인증서는 규정 준수 보고서 관리자를 통해 확인할 수 있습니다.
ISO/IEC 27017(클라우드 보안)
ISO/IEC 27017은 ISO/IEC 27002를 기반으로 하며 특히 클라우드 서비스의 정보 보안 제어에 관한 내용을 담은 국제 표준 관행입니다. Google은 Google Workspace 및 Google Cloud에 대해 ISO/IEC 27017 규격 인증을 받았습니다. 이러한 인증서는 규정 준수 보고서 관리자를 통해 확인할 수 있습니다.
ISO/IEC 27018(클라우드 개인정보 보호)
ISO/IEC 27018은 퍼블릭 클라우드 서비스의 개인 식별 정보(PII) 보호에 관한 국제 표준 관행입니다. Google은 Google Workspace 및 Google Cloud에 대해 ISO/IEC 27018 규격 인증을 받았습니다. 이러한 인증서는 규정 준수 보고서 관리자를 통해 확인할 수 있습니다.
ISO/IEC 27701(개인정보 관리)
ISO/IEC 27701은 개인 식별 정보(PII)의 수집 및 처리에 대한 글로벌 개인정보 보호 표준입니다. 이 표준은 데이터 개인정보 보호를 포함하도록 ISO/IEC 27001 및 ISO/IEC 27002 요구사항을 확대한 것입니다. Google은 Google Workspace와 Google Cloud에 대해 PII 프로세서로 공인 ISO/IEC 27701 인증을 받았습니다. 이러한 인증서는 규정 준수 보고서 관리자를 통해 확인할 수 있습니다.
SSAE16/ISAE 3402(SOC 2/3)
미국 공인 회계사 협회(AICPA) SOC(Service Organization Controls) 2 및 SOC 3 감사 체제는 보안, 가용성, 처리 무결성, 비밀유지에 관한 신뢰 원칙과 기준을 정의합니다. Google은 Google Workspace와 Google Cloud에 대해 SOC 2와 SOC 3 보고서를 모두 보유하고 있습니다. 이러한 인증서는 규정 준수 보고서 관리자를 통해 확인할 수 있습니다.
28조를 기준으로 한 Google Cloud 평가
GDPR 28조는 데이터 컨트롤러를 대신하여 데이터를 처리하는 데이터 프로세서의 요건을 제시합니다. 이러한 요건이 Google의 조항에 어떻게 반영되어 있는지 확인하세요.
보조 프로세서의 이용
Google Cloud - 데이터 처리 및 보안 약관(DPST)
정의 | 2.1항
데이터 보안 | 7.1.2항
데이터 보안 | 7.3.1 (b)항
데이터 전송 | 10.1항
보조 프로세서 | 11항
제3의 수혜자 | 14항
Google Cloud - EU 표준 계약 조항(SCC)
SCC(EU 컨트롤러-프로세서) | 부록 II, 부록 III
SCC(EU 프로세서-컨트롤러) | 해당 없음
SCC(EU 프로세서-프로세서) | 부록 II, 부록 III
SCC(EU 프로세서-프로세서, Google 내보내기) | 부록 II, 부록 III
SCCs(영국 컨트롤러-프로세서) | 1절, 3.3절, 4(g) 및 (i)절, 5(i) 및 (j)절, 6절, 8절, 11절, 12절, 부록 1, 부록 2.5
관련 콘텐츠: Google Cloud 보조 프로세서
Google Workspace - 데이터 처리 약관
정의 | 2.1항
데이터 보안 | 7.1.2항
데이터 보안 | 7.3.1 (b)항
데이터 전송 | 10.1항
보조 프로세서 | 11항
제3의 수혜자 | 14항
보안 조치 | 부록 2.1~2.5
Google Workspace - EU 표준 계약 조항(SCC)
SCC(EU 컨트롤러-프로세서) | 부록 II, 부록 III
SCC(EU 프로세서-컨트롤러) | 해당 없음
SCC(EU 프로세서-프로세서) | 부록 II, 부록 III
SCC(EU 프로세서-프로세서, Google 내보내기) | 부록 II, 부록 III
SCCs(영국 컨트롤러-프로세서) | 1절, 3.3절, 4(g) 및 (i)절, 5(i) 및 (j)절, 6절, 8절, 11절, 12절, 부록 1, 부록 2.5
관련 콘텐츠: Google Workspace 보조 프로세서 계약
일반 서면 계약
문서화된 지침에 따른 처리
Google Cloud - 데이터 처리 및 보안 약관(DPST)
데이터 처리 | 5.2항
Google Cloud - EU 표준 계약 조항(SCC)
Google Workspace - 데이터 처리 약관
5.2항 | 데이터 처리
Google Workspace - EU 표준 계약 조항(SCC)
5(a) 및 (b)절 | 데이터 수입자의 의무
비밀유지 의무에 따른 처리
Google Cloud - Google Cloud 서비스 약관
기밀 정보 |7항
Google Cloud - 데이터 처리 및 보안 약관(DPST)
데이터 보안 | 7.1.2항
데이터 보안 | 7.5.3항
직원 보안 | 부록 2.4
Google Cloud - EU 표준 계약 조항(SCC)
데이터 수입자의 의무 | 5절
Google Workspace - Google Workspace 계약
기밀 정보 | 6항
Google Workspace - 데이터 처리 약관
데이터 보안 | 7.1.2항
데이터 보안 | 7.5.3항
직원 보안 | 부록 2.4
Google Workspace - EU 표준 계약 조항(SCC)
보안 조치
데이터 컨트롤러 지원
데이터 삭제 및 데이터 반환
규정 준수 입증
Google Cloud - 데이터 처리 및 보안 약관(DPST)
데이터 보안 | 7.4항
관련 콘텐츠: Google Cloud 규정 준수
Google Workspace - 데이터 처리 약관
데이터 보안 | 7.4항
관련 콘텐츠: Google Cloud 규정 준수
FAQ
Google Cloud 및 GDPR에 관한 자주 묻는 질문(FAQ)에 대한 답변
GDPR은 개인 정보를 EU에 저장하도록 의무화하나요?
아니요. GDPR은 95/46/EC 데이터 보호 지침과 마찬가지로 개인 정보를 EU 외부로 전송하는 데 대한 특정 조건을 규정합니다. 표준 계약 조항과 같은 메커니즘을 통해 이러한 조건을 충족할 수 있습니다.
GDPR 요구사항이 약관에 어떻게 반영되었나요?
다년간 Google Cloud는 고객에 대한 Google의 개인정보 보호 및 보안 의무를 명시하는 데이터 처리 약관을 제공해 왔으며 GDPR을 반영하기 위해 해당 약관을 개정했습니다. GDPR을 반영한 Google의 약관은 특히 데이터 컨트롤러의 데이터 프로세서 이용에 적용되는 GDPR 28조의 조항을 반영합니다.
GDPR은 고객이 Google Cloud를 감사할 수 있는 권리를 보장하나요?
GDPR은 데이터 프로세서와 계약을 맺는 데이터 컨트롤러에게 의무적으로 감사권을 부여하도록 하고 있습니다. Google의 개정된 데이터 처리 약관에는 GDPR 적용 대상인 고객을 위한 감사권이 포함됩니다.
GDPR 준수에 있어 제3자 ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701, SOC 2/3 보고서의 역할은 무엇인가요?
Google의 제3자 ISO/IEC 인증 및 SOC 2/3 감사 보고서는 고객이 위험성을 평가하고 적절한 기술적, 조직적 수단이 갖춰졌는지 판단하는 데 사용할 수 있습니다. ISO/IEC 27701 인증은 개인정보 보호와 관련한 역할 및 책임을 보다 명확히 하며 Google이 GDPR을 비롯한 개인정보 보호 규정을 준수하기 위한 노력을 기울이도록 촉진할 수 있습니다.
Google Cloud는 클라우드에서 해외 데이터 전송을 어떻게 지원하나요?
GDPR은 개인 정보를 EU 외부로 전송하는 여러 가지 메커니즘을 제공합니다. 이러한 메커니즘의 목적은 개인 정보를 제3국에 전송할 때 적정한 보호 수준을 보장하거나 적절한 보호 조치를 시행하는 것입니다.
적정한 보호 수준은 일본 개인정보 보호법(APPI: Act on the Protection of Personal Information)과 스위스 데이터 보호법(Data Protection Act) 등의 근간이 되는 적정성 결정에 준하여 확증될 수 있습니다.
개인 정보가 적정성 결정이 적용되지 않는 EU 외부의 제3국으로 전송되는 경우 Google은 데이터 처리 약관에 따라 GDPR에서 요구하는 대로 이러한 전송을 용이하게 하는 메커니즘을 유지하기 위해 노력합니다. Google은 2017년에 유럽 데이터 보호 당국으로부터 표준 계약 조항에 대한 규정 준수 확인서를 취득함으로써 Google Workspace 및 Google Cloud에 대한 Google의 계약상 의무가 EU에서 적정한 보호 수준이 제공되지 않는 제3의 국가로 개인 정보를 합법적으로 전송하는 데 관련되는 요건에 부합됨을 입증했습니다.
Privacy Shield(프라이버시 실드)가 무효화되었는데 EU 개인 정보를 처리할 때 Google Cloud를 사용해도 GDPR 요구사항을 충족할 수 있나요?
Google은 유럽사법재판소(CJEU) 판결 C-311/18의 영향을 계속 검토할 것입니다. 하지만 Google이 유럽 시민에게 높은 수준의 개인정보 보호 기능을 계속 제공하기 위해 적절한 조치를 취할 것이라는 점에는 변함이 없습니다.
Google Cloud는 고객에게 표준 계약 조항(SCC)을 제공하며 Google에서 제공하는 대체 전송 솔루션이 없는 경우 자동으로 이러한 조항이 적용되는 것으로 간주됩니다. Google은 데이터의 위치에 관계없이 데이터 보호를 계속 우선순위로 고려합니다. 자세한 내용은 Google Cloud를 통한 국제 데이터 전송의 보호 장치를 참조하세요.
Google은 ISO/IEC 27001, ISO/IEC 27018, ISO/IEC 27017과 같은 공인된 국제 표준에 대한 인증을 받았습니다. Google 규정 준수 제품의 전체 목록은 규정 준수 리소스 센터에서 확인할 수 있습니다.
GDPR과 관련하여 Google은 이외에 어떠한 정보와 리소스를 제공하나요?
Google Cloud의 개인 정보 보호 리소스 센터 및 Google의 비즈니스 및 데이터 웹사이트를 참조하세요.
기타 유럽 개인 정보 보호 리소스는 어디에서 찾을 수 있나요?
유럽 규정 준수 제품 및 Cloud 개인 정보 보호 리소스 센터를 참조하세요.
면책조항: 여기에 포함된 콘텐츠는 2021년 8월 기준으로 작성되었으며 이 문서가 작성된 당시의 상황을 나타냅니다. Google에서 고객 보호를 지속적으로 개선하고 있으므로 Google Cloud의 보안 정책과 시스템은 앞으로도 계속 변경될 수 있습니다. Google Workspace가 언급될 때 이는 Google Workspace for Education을 가리키기도 합니다. 앞으로 몇 달 안에 교육기관 및 비영리단체 고객에게도 Google Workspace를 지원할 예정입니다.