HIPAA 규정 준수란?

HIPAA는 의료 서비스 제공과 관련된 특정 조직에서 의료 정보를 취급하고 보호하는 방법을 규제하는 연방법입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • HIPAA 규정 준수 설명
  • HIPAA가 중요한 이유 이해
  • HIPAA 규정 준수를 유지하기 위한 권장 사항 살펴보기

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

HIPAA란?

미국 건강 보험 양도 및 책임에 관한 법(HIPAA)은 건강 정보를 처리하고 보호하는 방법을 규제하는 연방법입니다. HIPAA에서는 전자 의료 정보에 대한 보안 통제를 요구하고 개인정보 보호 관행을 의무화하여 의료 정보 보호를 보장합니다.

HIPAA는 의료 서비스 제공자, 의료 플랜, 의료 정보 센터와 같은 "적용 대상 기관"과 청구 회사, 전자 건강 기록(EHR) 벤더, 컨설턴트, IT 제공업체 등 적용 대상 기관의 "사업 제휴자"라는 두 가지 주요 유형의 조직에 영향을 미칩니다.

보호 대상 건강 정보(PHI)란?

보호 대상 건강 정보(PHI)는 보험 적용 대상 기관 및 사업 제휴자가 생성, 수신, 저장, 전송하는 의료 서비스 제공과 관련하여 개인을 식별할 수 있는 모든 건강 정보입니다. PHI는 개인을 식별하는 데 사용할 수 있는 데이터인 개인 식별 정보(PII)의 일종입니다.

다음은 적용 대상 기관 또는 사업 제휴자가 처리하는 경우 데이터가 의료 서비스 제공과 관련된 범위 내에서 PHI가 될 수 있는 데이터 필드입니다.

  • 이름
  • 주소
  • 지문
  • 얼굴 인식
  • 사회 보장 번호
  • 생년월일
  • 건강 보험 정보
  • 의료 기록 번호
  • 계좌 번호
  • IP 주소
  • 청구 기록

한 가지 중요한 점은 PHI가 서면, 구두, 전자 데이터 등 다양한 형태로 발생할 수 있다는 점입니다.

Michael이 의사에게 처음 진료를 받았는데 병원에서 Michael의 이름과 주소를 기록하고 건강 보험 정보를 받은 후 이전 의료 서비스 제공자에게 구두로 의료 기록을 요청한다고 가정해 보겠습니다. 이러한 모든 서면 및 구두 데이터는 PHI로 간주되며 보호되어야 합니다.

이제 Michael이 다음 주에 같은 의사와 원격 진료를 예약했다고 가정해 보겠습니다. 원격 진료 예약에 대한 세부 정보를 보여주는 Michael의 온라인 활동에 대한 정보도 서면 또는 구두 정보가 아닌 전자 정보라 할지라도 PHI로 간주될 수 있습니다.

HIPAA 개인정보 보호 규칙 및 보안 규칙이란?

HIPAA 개인정보 보호 규칙에 따라 적용 대상 기관 및 사업 제휴자는 PHI를 보호하기 위해 적절한 개인정보 보호 장치 및 정책을 구축해야 합니다. 조직에서 개인의 동의 없이 PHI로 수행할 수 있는 작업에 대한 엄격한 규정이 있으며, 개인정보 처리방침에 따라 개인에게 자신의 데이터가 어떻게 사용되는지 알고 수정을 요청할 수 있는 권리가 부여됩니다.

HIPAA 보안 규칙에서는 안전한 시설 액세스 및 장치 제어 보장, 보안 담당자 지정, 인력 교육 실시, 위험 분석 수행 등 PHI를 전자적으로 적절하게 처리하기 위한 관리, 물리적, 기술 측면의 안전장치를 요구합니다.

HIPAA가 중요한 이유는?

HIPAA 보안 및 개인정보 보호 규칙은 개인의 건강 정보를 적절히 보호하는 동시에 양질의 의료 서비스를 제공하고 홍보하며 대중의 건강과 복지를 보호하는 데 필요한 건강 정보의 흐름을 허용하는 데 중요한 역할을 합니다. 이 규칙은 의료 시장의 다양성, 해결해야 할 다양한 사용 및 공개 사례, 그리고 원격 의료, 원격 치료, 전자 건강 기록, 장치 기반 건강 모니터링, AI 보조 치료 등 의료 분야의 혁신적인 신기술 유입을 고려할 때 특히 중요합니다. 특히 이러한 새로운 혁신 기술에는 각각 고유한 보안 및 개인 정보 보호 문제가 수반되며, 조직은 HIPAA 보안 및 개인 정보 보호 규칙에 따라 이를 해결해야 합니다.

일반적인 HIPAA 규정 준수 위반 사례는 무엇일까요?

HIPAA 위반은 막대한 벌금과 법적 조치로 이어질 수 있습니다. 가장 일반적인 위반 사례는 다음과 같습니다.

  • 영리 또는 개인적 이득을 위한 PHI 도용 등 PHI를 적절히 보호하지 못하여 발생하는 데이터 유출
  • PHI 데이터에 대한 무단 액세스 또는 PHI 데이터의 부적절한 공개 또는 사용
  • PHI를 취급하는 직원에 대한 부적절하고 불충분한 교육
  • 데이터 유출 후 관련 기관 및 개인에게 적절하게 알리지 않음
  • 필요한 물리적, 기술적, 관리 측면의 안전장치 부족

Michael의 의사가 Michael의 이름, 생년월일, 주민등록번호, 의학적 우려 사항이 기재된 환자 양식을 대기실에 24시간 동안 두는 바람에 모든 환자나 직원이 열람할 수 있었다고 가정해 보겠습니다. 그런 다음 의사가 비밀번호로 보호되지 않은 온라인 포털에 Michael의 건강 정보를 업로드했다고 가정해 보겠습니다. 두 상황 모두 HIPAA 규정 준수 위반의 예입니다.

HIPAA 위반에 대한 처벌은 어떻게 될까요?

HIPAA 위반에 대한 벌금은 위반 건당 100달러에서 조항당 연간 150만 달러에 달할 정도로 엄중합니다. 미국 민권국(OCR)에서는 심각성과 고의적 태만에 따라 HIPAA 위반을 분류합니다.

  • 1단계: 위반 사실을 인지하지 못함. 해당 법인이 HIPAA 규정을 준수하지 않았다는 사실을 인지하지 못하는 경우 위반 건당 100달러에서 5만 달러까지 벌금이 부과되며, 연간 최대 2만5천 달러까지 부과됩니다.
  • 2단계: 합리적인 원인. 법인이 고의적인 태만으로, 행동하지 않은 경우입니다. 2단계 위반에 대한 벌금은 건당 1천 달러에서 5만 달러까지 부과되며, 연간 최대 10만 달러까지 부과됩니다.
  • 3단계: 고의적인 태만으로, 발견 후 30일 이내에 시정되는 경우입니다. 벌금은 위반 건당 1만 달러에서 5만 달러까지 부과되며, 연간 최대 25만 달러까지 부과될 수 있습니다.
  • 4단계: 고의적인 태만으로, 30일 이내에 시정되지 않는 경우입니다. 가장 엄격한 등급인 4단계 위반에 대한 벌금은 매년 규정 조항당 최대 150만 달러에 이를 수 있습니다.

클라우드 공급자는 어떻게 HIPAA 규정 준수를 유지할까요?

클라우드 공급자 PHI를 생성, 수신, 유지, 전송하기 위해 고객과 HIPAA를 준수하는 사업 제휴 계약(BAA)을 체결해야 합니다. BAA에서는 클라우드 서비스 공급자가 PHI에 대해 적절한 보호 조치를 제공하고 잠재적인 취약점을 식별하기 위해 위험 분석을 수행하도록 요구합니다. 또한 데이터 가용성, 백업, 재해 복구, 데이터 보존에 대한 구체적인 지침이 포함될 수도 있습니다.

또한 클라우드 서비스 공급자는 PHI를 무단으로 공개하거나 PHI를 보호하지 않거나 데이터 유출을 관련 당국에 알리지 않은 경우 책임을 져야 합니다.

HIPAA 규정 준수 모범 사례

다음은 HIPAA 규정 준수를 위한 6가지 권장 사항입니다.

  1. 고유한 위험을 식별하고 교육 프로그램 및 확립된 침해 알림 정책을 포함하여 이러한 위험을 관리하기 위한 정책을 마련합니다.
  2. PHI 사용을 모니터링하고 가능한 경우 보호되는 데이터에 대한 액세스를 최소화합니다.
  3. 보안 및 규정 준수 감사를 포함하여 정기적이고 포괄적인 위험 분석을 수행합니다.
  4. 비밀번호 보호, 장치 및 미디어 사용 제한, 액세스 제어 등 물리적 및 디지털 안전장치를 구축합니다.
  5. 감사 제어, 암호화, 인증 정책 등의 기술적 보호 장치를 통합합니다.
  6. 보안 프로세스 및 인프라를 구현하여 신뢰할 수 있는 벤더가 PHI를 올바르게 처리할 수 있도록 지원합니다.

Cloudflare에서는 조직에서 HIPAA를 준수하도록 어떻게 지원할까요?

Cloudflare는 클라우드 기반 네트워크, 애플리케이션, 기업 보안 서비스를 제공하여 조직에서 HIPAA 보안 규칙의 엄격한 기술 요구 사항을 충족하고 HIPAA 개인정보 보호 규칙을 위반하여 의도치 않게 PHI가 공개되거나 오용되는 것을 방지할 수 있도록 지원합니다. 이러한 서비스에는 다음이 포함됩니다.

  • Cloudflare Zero Trust. Cloudflare의 Zero Trust 제품군에는 조직이 네트워크에서 PHI에 대한 액세스를 세분화하여 제한하고 네트워크 외부로 PHI가 무단으로 공개되는 것을 방지할 수 있는 액세스 제어 및 데이터 손실 방지 기능이 포함되어 있습니다.
  • Cloudflare 네트워크 서비스. Cloudflare의 네트워크 서비스 제품군을 통해 조직에서는 HIPAA 보안 규칙을 준수하여 조직의 안전한 네트워크 경계를 설정할 수 있습니다.
  • Cloudflare 애플리케이션 서비스. Cloudflare의 애플리케이션 서비스 제품군은 환자 웹 사이트와 애플리케이션에 대한 강력한 보호 기능을 제공합니다.

또한 Cloudflare의 제품은 ISO 27001, ISO 27701, SOC 2, EU 클라우드 행동 강령 등 업계에서 인정하는 보안 및 개인정보 보호 기준을 준수합니다. HIPAA는 규정 준수에 대한 공식적인 검증을 제공하지는 않지만, Cloudflare의 네트워크, 관리 인프라, 프로세스는 HIPAA 보안 및 개인정보 보호 규칙 및 관련 규정과 부합합니다.

여기에서 Cloudflare와 미국 개인정보 보호법에 대해 자세히 알아보세요.