GDPR & HIPAA 준수 AI 프레젠테이션 도구 (2026년 가이드)

의료기관 및 EU 조직의 경우, 특정 규정 준수 기준을 충족하는 AI 프레젠테이션 도구는 제한적입니다. HIPAA(미국 의료, 사업 제휴 계약 서명 필요)의 경우: Microsoft 365 Copilot이 2026년 4월 기준 문서화된 BAA를 제공하는 유일한 주류 옵션입니다; Canva는 엔터프라이즈 계층에서 요청 시 BAA를 제공합니다; Google Gemini for Workspace는 Google의 BAA를 체결한 Workspace Business/Enterprise 고객에게 HIPAA 적격 배포를 제공합니다. GDPR(EU 데이터 처리)의 경우: Microsoft와 Google은 EU 데이터 경계/EU 저장 지역 옵션을 제공합니다; Beautiful.ai, Gamma, Canva, Plus AI는 표준 계약 조항이 포함된 GDPR 준수 DPA를 게시하지만 모두 EU 전용 처리를 보장하지는 않습니다 — 대부분 여전히 미국에 데이터를 호스팅합니다. 일반적인 조달 오류: GDPR을 "지원"하는 AI 프레젠테이션 도구가 EU 데이터 레지던시를 보장하는 도구와 동일하지 않다는 점입니다. 본 가이드는 출처 인용과 함께 모든 주요 도구의 실제 규정 준수 상태를 설명하고, 각 규정이 실제로 적용되는 시점을 설명합니다.

본 가이드는 2026년 4월 기준으로 공개적으로 문서화된 규정 준수 입장을 요약한 것입니다; 특정 배포 결정에 대해서는 귀사의 규정 준수 담당 변호사와 상담하시기 바랍니다. 공급업체가 서면으로 약속하지 않은 규정 준수 주장은 나열하지 않습니다.

HIPAA: BAA 게이트

HIPAA(건강 보험 양도 및 책임에 관한 법, Health Insurance Portability and Accountability Act)는 미국 조직이 보호 대상 건강 정보(PHI, Protected Health Information)를 처리하는 방법을 규제합니다. 프레젠테이션에 환자 이름, 의료 기록 번호, 진단, 영상, 또는 18가지 HIPAA 식별자 중 하나라도 포함될 가능성이 있다면 — 각주나 부록에 있더라도 — PHI를 처리하는 것입니다.

클라우드 서비스가 PHI와 함께 사용되려면, 공급업체는 귀하의 조직과 **비즈니스 제휴 계약(BAA, Business Associate Agreement)**을 체결해야 합니다. BAA는 45 CFR §164.504(e)에 따른 특정 계약으로, 공급업체에게 PHI 보호, 침해 보고, 사용 제한 의무를 부과합니다. BAA가 없으면 도구에 업로드된 모든 PHI는 HIPAA 위반입니다 — 도구가 기술적으로 아무리 안전하더라도 마찬가지입니다.

AI 프레젠테이션 기능에 대해 공개적으로 BAA를 제공하는 업체는?

Microsoft 365 Copilot은 Microsoft의 표준 BAA 적용 대상이며, 이는 HIPAA에 따른 적용 대상 기관 또는 비즈니스 제휴사인 고객에게 Microsoft Online Services Data Protection Addendum를 통해 제공됩니다. BAA는 Service Trust Portal을 통해 접근할 수 있습니다. Microsoft 365 Copilot Enterprise는 적용 범위 내 서비스로 나열됩니다. 고객 데이터는 기본 모델 훈련에 사용되지 않습니다. Microsoft Copilot for Security도 명시적으로 적용 대상입니다.

Google Gemini for Workspace는 2025년 9월 30일부터 HIPAA 적격이 되었습니다. Gemini 앱과 Workspace의 Gemini — Google Slides AI 생성을 지원하는 "작성 도우미," 상황별 스마트 답장, 사이드 패널 기능 포함 — 는 이제 Google Workspace의 HIPAA Business Associate Addendum에 포함된 기능입니다. Google의 BAA를 체결하고 Google Workspace Business 또는 Enterprise를 통해 배포해야 합니다. 소비자용 Gemini 제품은 명시적으로 HIPAA 적격이 아닙니다.

Canva는 요청 시 엔터프라이즈 계층에서 BAA를 제공하지만, 특정 구성에 한해서만 가능합니다. Canva는 SOC 2 Type II 및 ISO 27001 인증을 받았으며, Canva Enterprise는 팀 콘텐츠를 AI 훈련에 사용하지 않습니다. 그러나 기본 Canva 제품 — 무료, Pro, Teams 계층 포함 — 은 HIPAA 준수 대상이 아닙니다. PHI를 업로드하기 전에 Canva의 엔터프라이즈 영업 팀과 BAA 범위를 확인하십시오.

그 외 모든 업체 — Gamma, Beautiful.ai, Plus AI, Tome, Pitch — 는 2026년 4월 현재 AI 프레젠테이션 워크플로에 대한 BAA를 공개적으로 문서화하지 않습니다. 즉, 다른 보안 자격 증명과 관계없이 PHI 사용에 제한이 있습니다.

핵심 요약: 슬라이드에 PHI가 포함된다면, 선택지는 Microsoft 365 Copilot, Google Gemini for Workspace(BAA 체결 필요), Canva Enterprise(요청 시 BAA)입니다. 그 외 모든 것은 컴플라이언스 위험입니다.

GDPR: 데이터 처리 vs 데이터 레지던시

GDPR은 EU 또는 영국 데이터 주체의 개인 데이터를 처리할 때마다 적용됩니다. 프레젠테이션 도구의 경우, 업로드한 슬라이드 콘텐츠(개인 데이터 포함 시), 누가 문서를 생성했는지에 대한 메타데이터, 도구 사용에 대한 원격 측정 정보가 포함됩니다.

공급업체의 GDPR 준수에는 구매자가 자주 혼동하는 두 가지 별개의 계층이 있습니다:

1. GDPR을 준수하는 데이터 처리 부속 계약(DPA). 이는 귀하(컨트롤러)와 공급업체(프로세서) 간의 법적 계약입니다. 국제 전송을 위한 표준 계약 조항(SCCs), 하위 프로세서 목록, 처리 활동 기록, 기술적·조직적 조치(TOMs)를 포함해야 합니다. 대부분의 엔터프라이즈 SaaS 공급업체는 DPA를 공개합니다.

2. EU 데이터 레지던시. 이는 데이터가 저장이나 처리를 위해 EU 인프라를 절대 벗어나지 않는다는 기술적 약속입니다. 대부분의 AI 프레젠테이션 공급업체는 기본 LLM이 종종 미국에 호스팅되어 있기 때문에 이 기능을 제공하지 않습니다.

공급업체는 SCC가 포함된 우수한 DPA를 보유하면서도 귀하의 데이터를 미국에서 처리할 수 있습니다. 이러한 전송은 SCC와 보완 조치가 마련되어 있으면 GDPR에 따라 합법적입니다. 하지만 공공 부문 구매자, Schrems II 민감 산업, 또는 EU 전용 처리를 요구하는 내부 정책이 있는 조직에서는 실격 사유가 될 수 있습니다.

실제 EU 데이터 레지던시 옵션이 있는 도구

Microsoft 365 Copilot은 EU Data Boundary 서비스입니다. 고객 데이터는 EU Data Boundary 내에 계속 저장됩니다. 그러나 Microsoft는 2026년 4월 17일부터 모든 EU/EFTA 테넌트에 대해 "Flex Routing"을 활성화했으며, 이를 통해 Copilot LLM 추론이 수요가 많은 시간에 EU Data Boundary 외부에서 발생할 수 있습니다. 저장 데이터는 EU에 남아 있지만 실시간 추론은 그렇지 않을 수 있습니다. 엄격한 EU 전용 처리가 필요한 조직은 Flex Routing을 명시적으로 비활성화해야 합니다. 또한 Microsoft를 통해 라우팅된 Anthropic 모델은 EU Data Boundary 범위를 벗어납니다.

Google Gemini for Workspace는 Business Plus 이상의 Workspace 고객을 위한 데이터 지역을 지원하며, 해당 데이터를 EU 지역에 저장할 수 있습니다. 실시간 Gemini 추론 동작은 해당 지역의 현재 Google Workspace HIPAA/DPA 문서와 비교하여 확인해야 합니다.

기타 모든 주요 AI 프레젠테이션 도구는 2026년 4월 기준 기본적으로 미국에서 데이터를 처리하고 저장합니다. 여기에는 Gamma, Beautiful.ai, Canva(전송을 위해 SCC가 적용되어 미국에 데이터 저장), Plus AI, Tome이 포함됩니다.

도구별 규정 준수 매트릭스

"공개적으로 명시되지 않음"은 2026년 4월 조사 기준으로 공급업체가 해당 특정 통제에 대해 서면으로 공개적으로 약속하지 않았음을 의미합니다. 명시된 내용이 없다고 해서 규정 준수 또는 미준수로 간주하지 마십시오 — 이는 조달 과정에서 확인해야 할 질문입니다.

의료 분야(미국): 실제로 무엇을 사용해야 할까요?

권장 도구

슬라이드, AI 프롬프트 또는 데이터 연결 시각자료에 PHI(개인 건강 정보)가 나타날 수 있는 모든 워크플로우에서:

1. Microsoft 365 Copilot (Enterprise E3/E5 + Copilot 라이선스). 가장 성숙한 옵션으로, BAA(사업 제휴 계약)가 지원되는 PowerPoint 생성, Teams 통합, 테넌트 수준 제어 기능을 제공합니다. 고객 데이터는 기반 모델 학습에 사용되지 않습니다.

2. Google Workspace Business/Enterprise + Gemini. 2025년 9월부터 HIPAA 적격입니다. Gemini의 "프레젠테이션 만들기 도우미"와 사이드 패널 기능이 포함된 Google Slides는 BAA가 실행되면 HIPAA BAA 적용 대상이 됩니다. Admin Console에서 명시적인 BAA 수락이 필요합니다.

3. Canva Enterprise (BAA 서명 완료). BAA가 실행되고 구성이 엔터프라이즈 티어로 잠긴 경우 마케팅 및 환자 교육 자료에 사용 가능합니다. 임상 프레젠테이션이나 운영 대시보드에는 권장하지 않습니다.

워크플로우 주의사항

• 가능한 경우 비식별화하세요. HIPAA Safe Harbor 비식별화(45 CFR §164.514(b)(2))는 HIPAA를 완전히 제거합니다. 슬라이드에 집계된 수치나 비식별화된 사례 요약을 표시할 수 있다면, 이것이 더 낮은 위험 경로입니다.
• 테넌트 수준 학습 거부 설정을 구성하세요. BAA가 있더라도 테넌트 데이터에 대한 미세 조정이나 개인화를 방지하는 관리 콘솔 설정을 확인하세요.
• 직원의 소비자용 AI 도구 사용을 감사하세요. 2024-2025년 HIPAA 위반의 주요 원인은 임상의가 요약을 위해 소비자용 ChatGPT 또는 Gemini에 노트를 붙여넣는 것이었습니다. BAA가 있는 엔터프라이즈 도구를 배포하고 방화벽에서 소비자 버전을 차단하세요.
• 로깅을 확인하세요. HIPAA §164.312(b)는 감사 제어를 요구합니다. 테넌트가 귀하의 규정 준수 프로그램이 요구하는 수준으로 AI 상호작용을 로그하는지 확인하세요.

임상 및 운영 프레젠테이션 워크플로우에 대한 자세한 내용은 의료 및 의학 슬라이드를 위한 AI 프레젠테이션에 관한 관련 글을 참조하세요.

EU / GDPR: 배포 옵션

EU 조직은 계층화된 의사결정 트리에 직면합니다:

EU 전용 처리가 필요한 경우 (가장 엄격한 기준)

• Flex Routing이 비활성화된 Microsoft 365 Copilot. 이것은 대규모 EU 전용 AI 프레젠테이션 옵션에 가장 가까운 솔루션입니다. 2026년 4월 마감일까지 Microsoft 365 관리 센터에서 Flex Routing을 명시적으로 비활성화해야 하며, 피크 수요 시 일부 Copilot 기능이 저하될 수 있음을 수용해야 합니다.
• EU 데이터 지역을 갖춘 Google Workspace. Business Plus 이상에서 EU 데이터 지역 구성이 가능합니다. 사용하는 특정 Gemini 기능이 해당 지역 범위에 포함되는지 확인하세요.
• 자체 호스팅 또는 EU 네이티브 대안. 가장 높은 보증이 필요한 경우(예: 유럽 공공 부문), EU 호스팅 생성 파이프라인 또는 온프레미스 PowerPoint 생성을 고려하세요. 2Slides는 구성 가능한 데이터 처리 지역을 제공하는 엔터프라이즈 배포를 제공합니다.

SCC가 포함된 DPA가 필요한 경우 (대부분의 엔터프라이즈 사례)

거의 모든 주요 AI 프레젠테이션 공급업체 — Gamma, Beautiful.ai, Canva, Plus AI, Pitch —는 SCC가 포함된 GDPR 준수 DPA를 발행합니다. 법적으로 이는 전송 영향 평가(TIA)가 이를 뒷받침하는 경우 대부분의 GDPR 의무에 충분합니다. 공급업체의 하위 프로세서 목록, 보존 기본값, EU-미국 데이터 프라이버시 프레임워크 상태를 검토하고 TIA를 문서화하세요.

보호 조치와 함께 미국 처리를 허용하는 위험 수용 범위인 경우

공개된 DPA가 있는 모든 주요 도구를 사용할 수 있습니다. 실질적인 위험은 평판상의 위험(미국 기반 프로세서는 규정 준수 감사를 더 복잡하게 만듦)과 기술적 위험(하위 프로세서가 변경될 수 있고 공급망이 불투명함)입니다. 하위 프로세서 변경 알림을 모니터링하고 비상 계획을 수립하세요.

핵심 요점: GDPR 준수는 이진법이 아닌 스펙트럼입니다. 적합한 도구는 조직이 EU 데이터 레지던시를 요구하는지, SCC를 통한 미국 전송을 수용하는지, 또는 더 엄격한 주권 요구사항(예: 독일 BSI, 프랑스 SecNumCloud 또는 EU Schrems II 보충 조치)을 갖는지에 따라 달라집니다.

법률 및 금융 서비스를 위한: 인접 규정

법률 서비스 (미국 및 영국)

고객 데이터를 다루는 로펌은 변호사-고객 비밀유지 특권 의무와 주 변호사회 윤리 규정을 준수해야 합니다 (미국의 경우, 기밀유지에 관한 ABA 모델 규칙 1.6). 이것들은 SOC 2 의미에서의 "컴플라이언스 프레임워크"는 아니지만, 실질적으로 동일한 통제를 요구합니다: 고객 데이터로 학습 금지, 테넌트 격리, 감사 로그, 그리고 공급업체 계약의 기밀유지 조항. Microsoft 365 Copilot과 Google Gemini for Workspace가 주류의 안전한 선택입니다. 소송 및 고객 대면 프레젠테이션의 경우, 법률 팀을 위한 AI 프레젠테이션: 사건 개요 및 고객 제안서 가이드를 참조하세요.

금융 서비스

GLBA (Gramm-Leach-Bliley Act)는 미국 금융기관의 비공개 개인정보(NPI)를 규제합니다. FINRA 규정은 증권중개인의 커뮤니케이션에 적용됩니다. SOX는 상장기업의 재무 보고에 영향을 미칩니다. PCI-DSS는 카드 소지자 데이터를 다룹니다.

이러한 규정 중 어느 것도 HIPAA의 BAA 모델과 직접적으로 매핑되지는 않지만, 모두 유사한 통제를 요구합니다: 데이터 처리 계약, 하위 처리업체 투명성, 보유 기간 제한, 그리고 감사 추적. Microsoft 365 Copilot은 미국 정부 고객을 위한 FedRAMP High 인증을 보유하고 있으며, 이는 금융 서비스 엄격성에 대한 강력한 대리 지표입니다. Google Workspace도 FedRAMP High를 보유하고 있습니다.

교육 (FERPA)

FERPA는 연방 지원금을 받는 미국 교육기관의 학생 교육 기록을 규제합니다. HIPAA와 달리, FERPA는 BAA 메커니즘을 사용하지 않고 "학교 관계자" 예외와 공급업체와의 서면 계약을 사용합니다. Microsoft와 Google 모두 교육용 SKU에 대한 FERPA 전용 약관을 게시합니다. 도구 선택 시 FERPA를 HIPAA와 유사하게 취급하세요 — Microsoft 365 Education, Google Workspace for Education, 또는 적절한 약관이 포함된 Canva for Education을 사용하십시오.

일반적인 규정 준수 함정

1. "엔터프라이즈"가 곧 "HIPAA 준수"를 의미한다고 가정하는 것 Canva Enterprise는 자동으로 BAA 적용 대상이 아닙니다 — 별도로 요청해야 합니다. Beautiful.ai, Gamma, Plus AI의 엔터프라이즈 티어는 공개적으로 BAA를 제공하지 않습니다. 엔터프라이즈 티어는 보안 통제를 개선하지만, 자동으로 HIPAA 책임을 면제해주지는 않습니다.

2. GDPR 준수 DPA를 EU 데이터 레지던시와 혼동하는 것 모든 주요 SaaS 벤더는 GDPR DPA를 보유하고 있습니다. 하지만 실제로 EU 내에서 데이터를 저장하고 처리하는 곳은 소수에 불과합니다. 구체적으로 질문하세요: "실시간 LLM 추론을 포함한 내 데이터 처리가 전적으로 EU 내에서 이루어지나요?"

3. 하위 프로세서 확산을 무시하는 것 AI 프레젠테이션 도구는 텍스트에 OpenAI를, 추론에 Anthropic을, 음성에 ElevenLabs를, CDN에 Cloudflare를 사용할 수 있습니다. 각각이 하위 프로세서이며, 각각 고유한 데이터 정책을 가지고 있고, 어느 하나라도 약관을 변경할 수 있습니다. 공개된 하위 프로세서 목록을 검토하고 변경 알림을 구독하세요.

4. 학습 데이터 기본 설정을 잊는 것 벤더의 DPA에는 "고객 데이터로 학습하지 않습니다"라고 명시되어 있을 수 있지만, 이것이 기본 제품뿐만 아니라 사용 중인 특정 AI 기능에도 적용되는지 확인하세요. Beautiful.ai는 AI 처리 데이터를 30일간 보관합니다. Gamma 엔터프라이즈는 학습 옵트아웃을 제공하지만 기본 소비자 티어는 제공하지 않습니다.

5. 엔터프라이즈 업무에 소비자용 AI 도구를 사용하는 것 ChatGPT Free와 Google Gemini(소비자용)은 BAA나 엔터프라이즈 DPA의 적용을 받지 않습니다 — 절대로. 방화벽이나 DLP 정책으로 차단하고, 승인된 엔터프라이즈 대안을 제공하세요.

6. Microsoft Copilot의 BAA가 모든 Copilot 제품을 포괄한다고 가정하는 것 Microsoft 365 Copilot(Word, Excel, PowerPoint 내)은 BAA를 보유하고 있습니다. 하지만 독립형 Copilot 환경, Copilot Studio 에이전트, Copilot Pro(소비자용)는 다른 적용 범위를 가지고 있습니다. Microsoft Service Trust Portal에서 특정 SKU 및 서비스 이름을 확인하세요.

자주 묻는 질문

ChatGPT는 프레젠테이션 제작 시 HIPAA를 준수하나요?

OpenAI는 ChatGPT Enterprise와 제로 보존 엔드포인트를 사용하는 OpenAI API에 대해 BAA를 제공합니다 — ChatGPT Plus나 ChatGPT Free는 해당되지 않습니다. ChatGPT를 사용하여 슬라이드 콘텐츠 초안을 작성하려면 BAA가 체결된 ChatGPT Enterprise를 사용해야 하며, 슬라이드는 HIPAA가 적용되는 다운스트림 도구에서 렌더링되어야 합니다. ChatGPT Free에 PHI를 붙여넣지 마세요.

Gemini를 사용하는 Google Slides는 HIPAA를 준수하나요?

예, 2025년 9월 30일 기준으로 Google Workspace Business 또는 Enterprise를 사용하고 Google의 BAA를 체결했으며, Workspace 측면 패널이나 Google Slides 통합을 통해 Gemini 기능을 사용하는 경우 준수합니다. 일반 소비자용 Gemini 앱은 적용되지 않습니다.

BAA가 있으면 환자 데이터로 Canva Pro를 사용할 수 있나요?

아니요. Canva의 BAA는 Enterprise 등급에서만 제공되며 Pro는 해당되지 않습니다. Canva Pro는 HIPAA가 요구하는 테넌트 수준 제어가 부족하며, BAA가 이를 포함하지 않습니다.

SOC 2 Type II는 도구가 HIPAA를 준수한다는 의미인가요?

아니요. SOC 2는 보안 감사 프레임워크입니다. HIPAA는 특정 계약 의무(BAA)와 특정 제어(§164.308, §164.312)를 요구합니다. 도구가 SOC 2 인증을 받았더라도 공급업체가 BAA 서명을 거부하면 HIPAA를 준수하지 않는 것입니다.

실수로 HIPAA를 준수하지 않는 AI 도구에 PHI를 업로드하면 어떻게 되나요?

이는 위험 평가에 따라 HIPAA §164.402(침해 통지 규칙)에 따른 보고 대상 사건입니다. 문서화된 사건 대응 프로세스가 있어야 합니다. HIPAA 개인정보 보호 책임자에게 연락하고 해당되는 경우 법률 자문을 받으세요. 실질적인 완화 방법은 PHI가 승인되지 않은 AI 도구에 붙여넣어지는 것을 방지하는 DLP 도구를 배포하는 것입니다.

결론

AI 프레젠테이션 도구 시장은 이제 규정 준수에 민감한 조직들이 실질적인 선택지를 가질 수 있을 만큼 성숙해졌습니다. 하지만 실제 후보 목록은 마케팅 페이지에서 시사하는 것보다 훨씬 좁습니다. 2026년 4월 기준 HIPAA의 경우: Microsoft 365 Copilot, Google Gemini for Workspace, 그리고 Canva Enterprise(BAA 체결 시)만이 문서화된 경로를 가진 주류 도구입니다. 진정한 EU 거주성을 갖춘 GDPR의 경우: Flex Routing을 비활성화한 Microsoft 365 Copilot과 EU 데이터 지역을 사용하는 Google Workspace가 가장 명확한 옵션입니다. 가장 인기 있는 AI 프레젠테이션 생성기 일부를 포함한 나머지 업체들은 SCC(표준계약조항) 하에서 미국에서 데이터를 처리하는데, 이는 합법이지만 주권과는 다른 개념입니다.

규정 준수 담당자의 역할은 정확한 질문을 하는 것입니다. "HIPAA를 지원하나요?"는 마케팅 답변을 얻습니다. "우리가 사용할 특정 AI 기능을 다루는 BAA에 상호 서명하실 건가요, 그리고 Service Trust Portal 범위 내에 어떤 서비스가 포함되나요?"는 계약상 답변을 얻습니다. GDPR도 마찬가지입니다: "GDPR을 지원하나요?"는 "내 데이터가 물리적으로 어디에 저장되고, 실시간 추론은 어디서 발생하나요?"와 같은 질문이 아닙니다. 정확한 질문을 하고, 정확한 답변을 받고, 둘 다 문서화하세요. 엔터프라이즈급 AI 프레젠테이션 도구에 대한 보다 넓은 시각을 위해서는 2026년 엔터프라이즈 AI 프레젠테이션 도구 비교를 참조하세요.

규정 준수에 민감한 배포의 경우 — 학습 금지 약속 및 데이터 거주 옵션이 포함된 엔터프라이즈 등급에 대해 2Slides에 문의하세요.

---

출처:

• Microsoft 365 Copilot HIPAA/BAA 범위 — Microsoft Learn
• Microsoft Copilot for Security HIPAA BAA 발표 — Microsoft Tech Community
• Microsoft 365 Copilot EU 데이터 경계 및 Flex Routing — Office365 IT Pros
• Google Workspace HIPAA 포함 기능 (Gemini) — Google
• Google Workspace는 HIPAA를 준수하나요? — HIPAA Journal
• Canva 데이터 처리 부록
• Canva 신뢰 센터 — 개인정보 보호
• Canva HIPAA 분석 — Paubox
• Gamma 데이터 처리 부록
• Beautiful.ai 보안 및 개인정보 보호
• Microsoft 국내 데이터 처리 발표 (2025년 11월)