FERPA(가족 교육권 및 개인 정보 보호법)
FERPA 개요
FERPA(가족 교육권 및 개인 정보 보호법)는 개인 식별 및 디렉터리 정보를 포함하여 학생의 교육 기록의 개인 정보를 보호하는 미국 연방법입니다. FERPA는 18세 이상의 학부모와 학생이 해당 기록에 액세스하고, 변경 내용을 요청하고, FERPA가 동의 없이 공개할 수 있는 특정하고 제한된 경우를 제외하고 정보 공개를 제어할 수 있도록 하기 위해 제정되었습니다.
이 법은 미국 교육부로부터 자금을 받는 학교, 학군 및 기타 기관에 적용됩니다. 즉, 거의 모든 공립 K-12 학교와 학군뿐만 아니라 대부분의 중등 교육 기관(공공 및 사립)에는 적용됩니다.
보안은 FERPA 준수의 핵심이며, 무단 공개로부터 학생 정보를 보호해야 합니다. 클라우드 컴퓨팅을 사용하는 교육 기관은 기술 공급업체가 중요한 학생 데이터를 적절하게 관리한다는 계약상의 확신이 필요합니다.
Microsoft 및 FERPA
FERPA는 감사 또는 기타 인증을 요구하거나 인식하지 않으므로 FERPA의 적용을 받는 모든 교육 기관은 클라우드 서비스 사용이 FERPA 요구 사항을 준수하는 능력에 영향을 미치는지 여부와 방법을 자체적으로 평가해야 합니다. 온라인 서비스 약관 DPA(데이터 보호 부록 )에서 Microsoft는 FERPA에 정의된 대로 고객 데이터에 '합법적인 교육 이익'을 가진 '학교 공무원'으로 지정하기로 동의합니다. 고객 데이터에는 학교의 Azure 사용을 통해 제공된 모든 학생 레코드가 포함됩니다. Microsoft가 학생 교육 기록을 처리할 때 Microsoft는 학교 관계자와 마찬가지로 34 CFR 99.33(a)에 의해 부과되는 제한 사항과 요구 사항을 준수하기로 동의합니다. Microsoft는 Azure 고객이 FERPA 규정 준수 요구 사항을 충족하도록 지원하는 지침 설명서를 게시했습니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
Microsoft가 고객 데이터에 '합법적인 교육적 이익'을 가진 '학교 공무원'으로 지정하는 데 동의하는 서비스는 다음과 같습니다.
- Azure 및 Azure Government
- Azure DevOps Services
- Dynamics 365
- Intune
- Office 365, Office 365 미국 정부, Office 365 미국 정부 - 높음 및 Office 365 미국 정부 국방
Azure 지침 문서
FERPA 규정 준수 요구 사항을 충족하는 데 도움이 되는 다음 문서를 다운로드할 수 있습니다.
Office 365 및 FERPA
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.
| 적용 가능성 | 범위 내 서비스 |
|---|---|
| 상업용 | Microsoft Entra ID, Azure Information Protection, Bookings, 준수 관리자, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Office 365용 Microsoft Defender, Microsoft Graph, Microsoft Teams, 웹용 Microsoft To-Do, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 Cloud App Security, Office 365 그룹, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, StaffHub, Stream, Sway, Viva Engage |
| GCC | Microsoft Entra ID, 준수 관리자, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, harePoint Online, 비즈니스용 Skype, Stream |
| GCC High | Microsoft Entra ID, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype |
| DoD | Microsoft Entra ID, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, Power BI, SharePoint Online, 비즈니스용 Skype |
Office 365 감사, 보고서 및 인증서
FERPA는 감사 또는 인증을 요구하거나 인식하지 않습니다.
질문과 대답
FERPA가 중요한 이유는 무엇인가요?
이 미국 연방법은 학생들의 교육 기록의 개인 정보를 보호하도록 규정하고 있습니다. 또한 학부모와 적격 학생에게 해당 레코드에 대한 액세스 권한과 이를 수정할 수 있는 능력뿐만 아니라 제3자에게 기록 공개와 관련된 특정 권한을 부여합니다.
COPPA 및 CIPA는 Azure에 어떤 규정 준수 영향을 미치나요?
COPPA 및 CIPA는 어린이의 개인 정보를 보호하기 위한 추가 법률입니다. 그러나 Azure에 직접 적용되지는 않습니다. COPPA(아동 온라인 개인 정보 보호법)는 13세 미만 아동의 개인 정보를 보호하기 위해 제정된 미국 연방법입니다. FTC(연방거래위원회)는 COPPA를 관리합니다. COPPA는 아동을 대상으로 하는 웹 사이트 및 온라인 서비스 적용되며, 이러한 사이트와 서비스는 자녀에게 속한 개인 정보의 수집 및 사용에 대한 부모의 동의를 요구해야 한다고 규정합니다. 아동 인터넷 보호법 (CIPA)은 인터넷을 통해 유해한 콘텐츠에 대한 어린이의 액세스에 대한 우려를 해결하기 위해 제정되었습니다. FCC(연방 통신 위원회)는 CIPA를 구현하는 규칙과 CIPA에 적용되는 학교 및 라이브러리에 대한 정의된 요구 사항을 발표했습니다. Azure 채택의 맥락에서 COPPA 및 CIPA에 대한 질문이 있는 고객은 온라인 서비스 약관 DPA의 교육 기관 섹션을 검토해야 합니다. 여기서 고객은 최종 사용자의 Microsoft 온라인 서비스 사용에 대한 부모의 동의를 얻을 책임이 있음을 설명합니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.
리소스
- Azure 규정 준수 문서
- 가족 교육권 및 개인 정보 보호법
- 전자 연방 규정: FERPA
- Microsoft Online Services 약관 데이터 보호 부록
- 연방 등록: FERPA 최종 규칙
- 미국 교육부 FERPA 방문 페이지
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기