API 및 데이터 보존

데이터 보존에 대한 Anthropic의 접근 방식

API와 기능마다 저장 및 보존 요구 사항이 다릅니다. 고객 프롬프트나 응답의 저장이 필요하지 않은 API 또는 기능은 ZDR 적용 대상이 될 수 있습니다. 고객 프롬프트나 응답의 저장이 반드시 필요한 API 또는 기능의 경우, Anthropic은 가능한 최소한의 보존 범위를 설계합니다. 이러한 기능의 경우:

• 보존된 데이터는 귀하의 명시적 허가 없이 모델 훈련에 사용되지 않습니다.
• API 및 기능 작동에 기술적으로 필요한 것만 보존됩니다. 대화 내용(귀하의 프롬프트 및 Claude의 출력)은 명시적으로 언급되지 않는 한 보존되지 않습니다.
• 데이터는 가장 짧은 실용적인 TTL로 삭제되며, Anthropic은 고객이 데이터 보존 기간을 제어할 수 있도록 하는 것을 목표로 합니다. 보존되는 내용과 특정 TTL이 적용되는 경우의 보존 기간은 각 기능 페이지에 문서화되어 있습니다.

기능 적용 가능성 표에서 일부 기능은 ZDR 적용 가능 열에 "예 (조건부)"로 표시되어 있습니다. 귀하의 조직에 ZDR 계약이 있는 경우, Anthropic이 보존하는 내용이 최소한이며 최적의 성능을 위해 필요한 것임을 확신하고 이러한 기능을 사용할 수 있습니다.

제로 데이터 보존(ZDR) 범위

ZDR이 적용되는 항목

• 특정 Claude API: ZDR은 Claude Messages 및 Token Counting API에 적용됩니다
• Claude Code: 상업용 조직 API 키와 함께 사용하거나 Claude Enterprise를 통해 사용할 때 ZDR이 적용됩니다 (Claude Code ZDR 문서 참조)

ZDR이 적용되지 않는 항목

• Console 및 Workbench: Console 또는 Workbench에서의 모든 사용
• Claude 소비자 제품: Claude Free, Pro, 또는 Max 플랜(해당 플랜의 고객이 Claude의 웹, 데스크톱, 모바일 앱 또는 Claude Code를 사용하는 경우 포함)
• Claude Teams 및 Claude Enterprise: Claude Teams 및 Claude Enterprise 제품 인터페이스는 ZDR 적용 대상이 아닙니다. 단, 조직에 ZDR이 활성화된 Claude Enterprise를 통해 사용하는 Claude Code는 예외입니다. 다른 제품 인터페이스의 경우, 상업용 조직 API 키만 ZDR 적용 대상입니다.
• 서드파티 통합: 서드파티 웹사이트, 도구 또는 기타 통합에 의해 처리된 데이터는 ZDR 적용 대상이 아닙니다. 단, 일부는 유사한 서비스를 제공할 수 있습니다. Claude API와 함께 외부 서비스를 사용할 때는 해당 서비스의 데이터 처리 방식을 반드시 검토하세요.

HIPAA 준비

Claude API는 보호 건강 정보(PHI)를 처리하는 조직을 위한 HIPAA 준비 통합을 지원합니다. 서명된 BAA와 HIPAA 활성화 조직을 통해 지원되는 API 기능을 사용하여 PHI를 처리하면서 조직의 HIPAA 준수를 지원할 수 있습니다.

이전에는 Claude API에 HIPAA 준비가 필요한 조직은 ZDR을 활성화해야 했습니다. HIPAA 준비 API 액세스는 이 요구 사항을 제거하고 Anthropic이 HIPAA 준비 감사를 거친 추가 기능을 점진적으로 활성화할 수 있는 기반을 제공합니다.

시작하기

HIPAA 준비 API 액세스를 설정하려면:

HIPAA 준비 범위

HIPAA 준비가 적용되는 항목

• Claude API: HIPAA 준비는 기능 적용 가능성 표에 나열된 적용 가능한 기능에 대해 Claude API(api.anthropic.com)에 적용됩니다.

HIPAA 준비가 적용되지 않는 항목

• Claude 소비자 제품: Claude Free, Pro, 또는 Max 플랜
• Console 및 Workbench: Claude Console 인터페이스를 통한 사용
• 서드파티 플랫폼: AWS Bedrock 또는 Google Cloud Vertex AI의 Claude (해당 플랫폼의 준수 문서 참조)
• 서드파티 통합: 애플리케이션에 연결된 외부 도구 또는 서비스에 의해 처리된 데이터
• Claude Code: Claude Code는 HIPAA 준비 적용 대상이 아닙니다
• 베타 기능: 베타 기능은 기능 적용 가능성 표에 적용 가능한 것으로 명시적으로 나열되지 않는 한 일반적으로 BAA에 포함되지 않습니다

PHI 처리 지침

보호 건강 정보(PHI)에는 개인 식별 가능한 모든 건강 정보가 포함됩니다. Claude API의 맥락에서 PHI는 일반적으로 다음에 나타납니다:

• 메시지 내용(프롬프트 및 Claude의 응답)
• 첨부 파일(이미지, PDF)
• 메시지 내용과 관련된 파일 이름 및 메타데이터

다음 필드는 BAA에 따라 PHI를 포함하지 않을 것으로 예상됩니다: 워크스페이스 이름, 사용자 정보(이름, 이메일, 전화번호), 청구 데이터, 지원 티켓.

스키마 및 도구 정의 제한

strict: true와 함께 구조화된 출력 또는 도구를 사용할 때, API는 JSON 스키마를 메시지 내용과 별도로 캐시되는 문법으로 컴파일합니다. 이러한 캐시된 스키마는 프롬프트 및 응답과 동일한 PHI 보호를 받지 않습니다.

JSON 스키마 정의에 PHI를 포함하지 마세요. 이 제한은 다음에 적용됩니다:

• 스키마 속성 이름
• enum 값
• const 값
• pattern 정규 표현식

환자별 정보는 HIPAA 보호 조치에 따라 보호되는 메시지 내용에만 나타나야 합니다.

HIPAA 오류 처리

서명된 BAA는 어떤 기능이 포함되는지에 대한 공식적인 진실의 원천입니다. API는 이러한 제한을 자동으로 적용합니다: HIPAA 활성화 조직이 적용 불가능한 기능을 포함하는 요청을 보내면, API는 BAA에 포함되지 않는 기능의 우발적 사용을 방지하기 위해 400 오류를 반환합니다:

{
  "type": "error",
  "error": {
    "type": "invalid_request_error",
    "message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
  }
}

오류 메시지는 요청에서 감지된 적용 불가능한 기능을 나열합니다. 요청에서 이러한 기능을 제거하고 다시 시도하세요.

기능 적용 가능성

다음 표는 어떤 Claude API 기능이 ZDR 및 HIPAA 준비 계약에 적용 가능한지 나열합니다. HIPAA 활성화 조직의 경우, HIPAA 열에 "아니오"로 표시된 기능은 자동으로 차단되며, 해당 기능을 포함하는 요청은 400 오류를 반환합니다.

¹ 동적 필터링은 ZDR 또는 HIPAA에 적용되지 않습니다.

² 웹 가져오기는 ZDR 적용 가능하지만, 웹사이트 게시자는 자체 정책에 따라 요청 데이터(가져온 URL 및 요청 메타데이터 등)를 보존할 수 있습니다.

³ PHI는 JSON 스키마 정의에 포함되어서는 안 됩니다. PHI 처리 지침을 참조하세요.

제한 사항 및 예외

ZDR에 대해 CORS 미지원

**교차 출처 리소스 공유(CORS)**는 ZDR 계약이 있는 조직에 대해 지원되지 않습니다. 브라우저 기반 애플리케이션에서 API 호출을 해야 하는 경우:

• 프론트엔드를 대신하여 API 호출을 수행하는 백엔드 프록시 서버를 사용하세요
• 프록시 서버에서 자체 CORS 처리를 구현하세요
• 브라우저 JavaScript에서 API 키를 직접 노출하지 마세요

정책 위반 및 법률에 의해 요구되는 경우의 데이터 보존

ZDR 또는 HIPAA 계약이 있더라도, Anthropic은 법률에 의해 요구되거나 사용 정책 위반 및 Anthropic 플랫폼의 악의적 사용에 대응하기 위해 데이터를 보존할 수 있습니다. 따라서 채팅 또는 세션이 그러한 위반으로 표시된 경우, Anthropic은 최대 2년 동안 입력 및 출력을 보존할 수 있습니다.

자주 묻는 질문

관련 리소스

• 개인 정보 보호 정책
• 구조화된 출력
• 프롬프트 캐싱
• 배치 처리
• Files API
• Trust Center