HIPAA는 의료 서비스 제공과 관련된 특정 조직에서 의료 정보를 취급하고 보호하는 방법을 규제하는 연방법입니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
미국 건강 보험 양도 및 책임에 관한 법(HIPAA)은 건강 정보를 처리하고 보호하는 방법을 규제하는 연방법입니다. HIPAA에서는 전자 의료 정보에 대한 보안 통제를 요구하고 개인정보 보호 관행을 의무화하여 의료 정보 보호를 보장합니다.
HIPAA는 의료 서비스 제공자, 의료 플랜, 의료 정보 센터와 같은 "적용 대상 기관"과 청구 회사, 전자 건강 기록(EHR) 벤더, 컨설턴트, IT 제공업체 등 적용 대상 기관의 "사업 제휴자"라는 두 가지 주요 유형의 조직에 영향을 미칩니다.
보호 대상 건강 정보(PHI)는 보험 적용 대상 기관 및 사업 제휴자가 생성, 수신, 저장, 전송하는 의료 서비스 제공과 관련하여 개인을 식별할 수 있는 모든 건강 정보입니다. PHI는 개인을 식별하는 데 사용할 수 있는 데이터인 개인 식별 정보(PII)의 일종입니다.
다음은 적용 대상 기관 또는 사업 제휴자가 처리하는 경우 데이터가 의료 서비스 제공과 관련된 범위 내에서 PHI가 될 수 있는 데이터 필드입니다.
한 가지 중요한 점은 PHI가 서면, 구두, 전자 데이터 등 다양한 형태로 발생할 수 있다는 점입니다.
Michael이 의사에게 처음 진료를 받았는데 병원에서 Michael의 이름과 주소를 기록하고 건강 보험 정보를 받은 후 이전 의료 서비스 제공자에게 구두로 의료 기록을 요청한다고 가정해 보겠습니다. 이러한 모든 서면 및 구두 데이터는 PHI로 간주되며 보호되어야 합니다.
이제 Michael이 다음 주에 같은 의사와 원격 진료를 예약했다고 가정해 보겠습니다. 원격 진료 예약에 대한 세부 정보를 보여주는 Michael의 온라인 활동에 대한 정보도 서면 또는 구두 정보가 아닌 전자 정보라 할지라도 PHI로 간주될 수 있습니다.
HIPAA 개인정보 보호 규칙에 따라 적용 대상 기관 및 사업 제휴자는 PHI를 보호하기 위해 적절한 개인정보 보호 장치 및 정책을 구축해야 합니다. 조직에서 개인의 동의 없이 PHI로 수행할 수 있는 작업에 대한 엄격한 규정이 있으며, 개인정보 처리방침에 따라 개인에게 자신의 데이터가 어떻게 사용되는지 알고 수정을 요청할 수 있는 권리가 부여됩니다.
HIPAA 보안 규칙에서는 안전한 시설 액세스 및 장치 제어 보장, 보안 담당자 지정, 인력 교육 실시, 위험 분석 수행 등 PHI를 전자적으로 적절하게 처리하기 위한 관리, 물리적, 기술 측면의 안전장치를 요구합니다.
HIPAA 보안 및 개인정보 보호 규칙은 개인의 건강 정보를 적절히 보호하는 동시에 양질의 의료 서비스를 제공하고 홍보하며 대중의 건강과 복지를 보호하는 데 필요한 건강 정보의 흐름을 허용하는 데 중요한 역할을 합니다. 이 규칙은 의료 시장의 다양성, 해결해야 할 다양한 사용 및 공개 사례, 그리고 원격 의료, 원격 치료, 전자 건강 기록, 장치 기반 건강 모니터링, AI 보조 치료 등 의료 분야의 혁신적인 신기술 유입을 고려할 때 특히 중요합니다. 특히 이러한 새로운 혁신 기술에는 각각 고유한 보안 및 개인 정보 보호 문제가 수반되며, 조직은 HIPAA 보안 및 개인 정보 보호 규칙에 따라 이를 해결해야 합니다.
HIPAA 위반은 막대한 벌금과 법적 조치로 이어질 수 있습니다. 가장 일반적인 위반 사례는 다음과 같습니다.
Michael의 의사가 Michael의 이름, 생년월일, 주민등록번호, 의학적 우려 사항이 기재된 환자 양식을 대기실에 24시간 동안 두는 바람에 모든 환자나 직원이 열람할 수 있었다고 가정해 보겠습니다. 그런 다음 의사가 비밀번호로 보호되지 않은 온라인 포털에 Michael의 건강 정보를 업로드했다고 가정해 보겠습니다. 두 상황 모두 HIPAA 규정 준수 위반의 예입니다.
HIPAA 위반에 대한 벌금은 위반 건당 100달러에서 조항당 연간 150만 달러에 달할 정도로 엄중합니다. 미국 민권국(OCR)에서는 심각성과 고의적 태만에 따라 HIPAA 위반을 분류합니다.
클라우드 공급자 PHI를 생성, 수신, 유지, 전송하기 위해 고객과 HIPAA를 준수하는 사업 제휴 계약(BAA)을 체결해야 합니다. BAA에서는 클라우드 서비스 공급자가 PHI에 대해 적절한 보호 조치를 제공하고 잠재적인 취약점을 식별하기 위해 위험 분석을 수행하도록 요구합니다. 또한 데이터 가용성, 백업, 재해 복구, 데이터 보존에 대한 구체적인 지침이 포함될 수도 있습니다.
또한 클라우드 서비스 공급자는 PHI를 무단으로 공개하거나 PHI를 보호하지 않거나 데이터 유출을 관련 당국에 알리지 않은 경우 책임을 져야 합니다.
다음은 HIPAA 규정 준수를 위한 6가지 권장 사항입니다.
Cloudflare는 클라우드 기반 네트워크, 앱, 기업 보안 서비스를 제공하여 조직에서 HIPAA 보안 규칙의 엄격한 기술 요구 사항을 충족하고 HIPAA 개인정보 보호 규칙을 위반하여 의도치 않게 PHI가 공개되거나 오용되는 것을 방지할 수 있도록 지원합니다. 이러한 서비스에는 다음이 포함됩니다.
또한 Cloudflare의 제품은 ISO 27001, ISO 27701, SOC 2, EU 클라우드 행동 강령 등 업계에서 인정하는 보안 및 개인정보 보호 기준을 준수합니다. HIPAA는 규정 준수에 대한 공식적인 검증을 제공하지는 않지만, Cloudflare의 네트워크, 관리 인프라, 프로세스는 HIPAA 보안 및 개인정보 보호 규칙 및 관련 규정과 부합합니다.
클라우드 연결성에 내장된 보안, 개인정보 보호, 규제 준수 기능에 대해 자세히 알아보세요.