기사

HIPAA: 건강 정보와 관련한 개인정보 보호

Compliance
소요 시간: 6 분

HIPAA(미국 건강보험 정보 이전 및 그 책임에 관한 법률)는 보호 대상인 건강 정보(PHI)가 환자의 동의 또는 인지 없이 공개되지 않도록 국가 표준을 수립하기 위해 제정되었습니다. 다음은 HIPAA에 관해 자세히 알아볼 수 있도록 정부에서 제공하는 리소스가 나와 있으며, HIPAA의 지침, 준수 요구 사항, 민감한 환자 건강 정보를 올바르게 처리하는 방법을 설명하는 데 도움이 됩니다.

미국 의학 협회(AMA)
의료 서비스 제공자가 HIPAA 규정을 준수하기 위해 해야 할 일을 설명하는 지침, 체크리스트, 도구를 제공합니다.

메디케어 및 메디케이드 서비스 센터(CMS)
HIPAA 적격 거래, 보안, 개인정보 보호 표준에 대한 정보를 제공하며 의료 서비스 제공자, 납부자, 정보 처리 기관에 유용합니다.

HealthIT.gov
기업이 HIPAA 요구 사항에 따라 환자 개인정보 보호 및 보안을 보장하려면 갖춰야 하는 건강 IT 시스템 유형을 설명합니다.

미국 민권 담당국(OCR) 개인정보 보호 규칙 지침
HIPAA 개인정보 보호 규칙을 자세히 설명하고 OCR에서 개인 의료 기록 및 기타 개인 건강 정보를 보호하기 위해 수행하는 일을 설명합니다.

미국 보건복지부(HHS)
HIPAA 규칙, 준수, 시행에 관한 포괄적인 세부 정보와 적용 대상 기관 및 업무 관련자가 PHI를 보호하기 위해 따라야 하는 지침을 제공합니다.

1996년 미국 건강보험 정보 이전 및 그 책임에 관한 법률(HIPAA)

미국 건강보험 정보 이전 및 그 책임에 관한 법률(HIPAA)은 1996년 8월 21일에 제정되었습니다. HIPAA가 제정된 주요 동인은 이직, 실직과 같은 상황에서도 개인의 건강 정보를 보호하면서 의료 보장을 유지하기 위한 것이었습니다.

디지털 시대를 맞아 전자 건강 기록의 채택이 증가하고 사이버 보안 위협이 더욱 만연해지면서 HIPAA의 중요성이 더욱 커졌습니다.

HIPAA는 개인의 건강 상태, 치료, 지불에 관해 전자적으로 저장된 정보를 보호하기 위해 의료 산업 내에서 표준화된 프로세스의 채택을 촉진하는 데 필수입니다.

HIPAA에서는 기업이 PHI를 신중히 기밀로 처리하도록 보장함으로써, 개인이 민감한 데이터를 잘못 사용할 가능성을 방지하고 의료 시스템의 신뢰도를 높입니다. HIPAA를 통해 고품질의 의료 서비스 보장과 공중 보건 보호를 위해 필수적인 데이터 흐름을 허용하면서도 환자 정보를 보호하도록 균형을 맞추는 일은 HIPAA가 효과적으로 기능하는 데 있어 매우 중요합니다.

HIPAA의 세 가지 주요 목적과 목표

  • 의료 서비스 관련 행정 간소화
    HIPAA는 표준화를 통해 의료 서비스 거래를 간소화하고자 합니다. 효율성을 개선하고 행정 비용을 절감할 수 있도록 청구, 지불 등의 의료 서비스 거래에 표준화된 전자 데이터 교환(EDI) 형식을 사용할 것을 규정하고 있습니다.
  • 보험 양도성
    HIPAA가 등장하게 된 최초 동인 중 하나는 개인이 이직하는 기간 동안 건강 보험 적용 범위를 유지할 수 있도록 하기 위함이었습니다. 이를 양도성이라고 일컫는데, 이직 시 기존 질환 제외 또는 적용 범위 격차로 인해 건강 보험을 잃을 위험을 줄이는 것을 목표로 합니다.
  • 의료 서비스 사기 감소
    HIPAA는 의료 서비스 및 건강 보험 부문 전반에서 낭비, 사기, 남용을 줄이고자 조치를 도입했습니다. 이에 따라 사기 범죄에 대한 처벌이 제정되었으며 의료 기관이 사기 행위를 막기 위해 준수해야 하는 정책 및 절차가 개발되었습니다.

HIPAA의 핵심 구성 요소

아마도 가장 잘 알려진 HIPAA 조항은 개인 건강 정보에 대한 개인정보 보호 및 보안일 것입니다. 이는 HIPAA 유출 통지 규칙, HIPAA 시행 규칙, HIPAA 개인정보 보호 규칙, HIPAA 보안 규칙에 요약되어 있습니다.

HIPAA 유출 통지 규칙은 2009년 경제 및 임상 건강을 위한 의료정보기술(HITECH)법의 일환으로 제정되었습니다. HIPAA 적용 대상 기관과 업무 관련자는 보안 처리되지 않은 PHI의 유출이 발생한 후 영향을 받는 개인에게 통지해야 합니다. 통지에 대한 구체적인 일정과 방법은 유출의 특성 및 영향을 받는 개인의 수에 따라 다릅니다.

HIPAA 시행 규칙은 HIPAA 적용 대상 기관과 해당 업무 관련자가 HIPAA 규칙을 준수하지 않는 경우 미국 민권 담당국(OCR)을 통해 미국 보건복지부(HHS)에 불만을 조사할 권한을 부여합니다. 여기에는 미준수에 대한 처벌 부과가 포함됩니다.

HIPAA 개인정보 보호 규칙은 HIPAA 적용 대상 기관이 개인 의료 기록 및 기타 PHI를 보호하도록 준수해야 하는 표준을 수립했습니다.

HIPAA 보안 규칙은 전자 형태로 보관되거나 전송되는 건강 정보를 보호하기 위한 국가 보안 표준의 개요를 설명함으로써 개인정보 보호 규칙을 뒷받침합니다.

HIPAA에서 부여한 개인의 권리

HIPAA는 다음을 포함하여 PHI에 대한 액세스 및 제어와 관련된 다수의 권리를 개인에게 부여합니다.

  • 건강 기록에 액세스하고 사본을 얻을 권리
    개인은 자신의 건강 기록을 얻고 검토할 권리가 있습니다. 그 목적은 투명성을 제공하고 환자가 자신의 의료 서비스에 관여할 수 있도록 하는 데 있습니다.
  • 불만을 제기할 권리
    개인은 자신의 권리가 침해되고 있거나 건강 정보가 보호되지 않는다고 생각되면 제공자, 보험사, 미국 보건복지부에 불만을 제기할 수 있습니다.
  • 공개 기록을 받을 권리
    개인은 자신의 건강 정보에 액세스한 사람에 대해 자세히 설명하는 보고서를 요청할 수 있습니다.
  • 기밀이 보장되는 방식의 의사소통을 요청할 권리
    개인은 기밀 보장을 위해 자신의 건강 정보에 관한 의사소통이 대체 수단이나 장소를 통해 이루어질 수 있도록 요청할 수 있습니다.
  • 수정을 요청할 권리
    개인은 자신의 건강 기록에 실수가 있다고 생각되는 경우 해당 기록에 대한 수정을 요청할 수 있습니다.

개인을 위한 HIPAA 혜택

HIPAA는 다음을 비롯한 여러 혜택을 개인에게 제공합니다.

  • 개인정보 보호는 민감한 건강 정보가 개인의 동의 하에 치료, 지불, 의료 서비스 운영 목적으로만 공유되도록 보장하며, 법률에서 허용하거나 요구하는 경우는 예외입니다.
  • 기록에 대한 액세스 권한을 통해 개인은 자신의 의료 기록에 액세스하고 사본을 요청하고 수정할 수 있습니다.
  • 개인의 명시적 동의 없이 건강 정보를 마케팅, 모금 활동, 기타 목적으로 사용할 수 있는 방법에 대한 제한이 수립되었습니다.
  • 보안 조치는 의료 서비스 제공자와 보험사가 건강 정보(특히 디지털 형태)를 보호하기 위한 조치를 취하고 있다는 확신을 줍니다.

HIPAA 개인정보 보호 규칙

HIPAA 개인정보 보호 규칙은 개인의 의료 기록 및 기타 PHI를 보호하도록 국가 표준을 정의했습니다. 이 규칙은 2000년 말에 제정되어 2003년에 발효되었습니다. HIPAA 개인정보 보호 규칙은 특히 의료 실무가 갈수록 전자 시스템으로 전환됨에 따라 건강 정보의 개인정보 보호 및 보안을 보호해야 할 필요성에 대한 우려가 커지면서 등장하게 되었습니다.

HIPAA 개인정보 보호 규칙이 적용되는 대상 기관

  • 의료 서비스 제공자
    전자 형태로 PHI를 전송하는 개인 또는 조직을 말합니다. 의료 서비스 제공자로는 의사, 병원, 심리학자, 치과 의사, 척추 지압사, 요양원, 약국 등이 있습니다.
  • 의료 서비스 정보 처리 기관
    비표준 건강 정보를 표준 전자 형식 또는 데이터 콘텐츠로 처리하거나 그 반대로 처리하는 모든 기관은 의료 서비스 정보 처리 기관으로 간주됩니다. 여기에는 청구 서비스 및 지역사회 보건 관리 정보 시스템이 포함될 수 있습니다.
  • 건강 보험
    HIPAA에 따라 건강 보험에는 건강 보험 회사, 회사 건강 보험, HMO(건강 유지 조직), 정부 프로그램(예: Medicaid, Medicare)이 포함됩니다.
  • 업무 관련자
    업무 관련자는 PHI를 처리할 때 적용 대상 기관과 상호 작용하거나 해당 기관에 서비스를 제공하는 조직 또는 개인입니다.

HIPAA에 따른 허용된 PHI 사용 및 공개

HIPAA 개인정보 보호 규칙에 따르면 적용 대상 기관은 아래에 약술된 목적으로 개인의 허가 없이 PHI를 사용하고 공개할 수 있습니다. 이러한 목적에 해당하지 않는 경우 HIPAA 개인정보 보호 규칙은 적용 대상 기관이 PHI를 사용하거나 공개하기 전에 개인의 서면 동의를 받을 것을 규정하고 있습니다.

  • 부수적인 사용 및 공개
    허용되는 용도에 부수적으로 따르는 공개 또는 합리적인 보호 조치인 공개(예: 조용히 말하기, 민감한 논의를 위해 개인실 사용하기, 권한이 없는 개인이 화면에 있는 의료 기록을 볼 수 없도록 하기)는 허용됩니다. 예를 들어, 공동 사무 공간에서 의사가 환자의 치료 선택 사항을 간호사와 논의하는 것을 다른 환자가 엿들을 수 있습니다. 그러나 이러한 노출을 최소화하도록 합리적인 보호 조치가 마련되어 있는 한, 이러한 부수적인 공개는 일반적으로 HIPAA에 따라 허용됩니다.
  • 통지
    PHI는 가족 구성원, 개인 대리인, 개인의 간호를 담당한 기타 담당자를 식별하거나 찾는 등 통지 목적으로 사용 또는 공개될 수 있습니다.
  • 동의 또는 반대할 기회
    특정 상황에서 적용 대상 기관은 개인이 참석해 있으며 정보 공유에 동의하거나 반대할 기회를 가지고 있을 때 PHI를 공유할 수 있습니다. 이에 대한 예로 가족 구성원의 입회하에 환자의 치료에 대해 논의하는 경우를 들 수 있습니다.
  • 지불
    PHI는 의료 서비스에 대해 지불 받는 데 사용 및 공개될 수 있습니다. 이에 대한 예로 환자 치료에 대한 청구서를 건강 보험 회사에 보내는 경우를 들 수 있습니다.
  • 공익 및 혜택 활동
    PHI는 공중 보건 활동, 학대, 방치, 가정 폭력의 피해자 보고, 건강 감독 활동 등 다양한 공익 및 혜택을 위해 공개될 수 있습니다.
  • 치료
    PHI는 개인 치료에 관여하는 의료 서비스 제공자 간에 공유될 수 있습니다. 이에 대한 예로 주치의가 치료 과정을 결정하고자 전문의와 환자 상태에 대한 정보를 공유하는 경우를 들 수 있습니다.

HIPAA 보안 규칙

HIPAA 보안 규칙은 개인정보 보호 규칙을 보완하기 위해 2005년에 제정되었습니다. 이 규칙에서는 전자 형태로 보관되거나 전송되는 건강 정보를 보호하기 위한 국가 보안 표준의 개요를 설명합니다.

HIPAA 보안 규칙에 따르면 HIPAA 적용 대상 기관은 전자 보호 의료 정보(ePHI)의 기밀성, 무결성, 보안을 보장하도록 적절한 행정적, 물리적, 기술적 보호 조치를 구현해야 합니다.

이러한 보호 조치는 직원 교육 및 액세스 제어부터 암호화된 데이터 전송까지 다양합니다.

HIPAA FAQ

다음은 HIPAA에 관해 일부 자주 묻는 질문에 대한 답변입니다.

HIPAA의 기능은 무엇인가요?

HIPAA의 주요 기능은 이직, 실직과 같이 삶에서 중요한 변화를 맞게 되었을 때 건강 보험 적용 범위를 유지하면서 개인의 PHI에 대한 개인정보를 안전하게 보호하는 것입니다. 몇 가지 핵심 의무는 의료 시스템 효율성을 강화하고, 환자의 개인정보 보호 권리를 보호하며, 건강 보험의 신뢰성과 양도성을 개선하여 일괄적으로 HIPAA 목표를 지원합니다. 이러한 의무에는 다음이 포함됩니다.

  • 개인이 고용 전환 또는 실직 상태에 있을 때, 특히 기존 질환이 있거나 건강 보험 보장 범위의 연속성과 관련된 기타 문제가 있는 개인의 경우 건강 보험을 유지하여 보험을 소지하지 못할 가능성을 최소화할 수 있도록 합니다.
  • HIPAA 규칙 및 규정을 준수하지 않을 경우 시행 및 처벌에 대한 지침을 수립합니다.
  • 개인의 기존 질환에 대한 배제를 제한하고, 직원 및 부양가족의 건강 상태에 따른 보험 혜택 거부를 금지하고, 건강 보험 혜택의 갱신 및 가용성을 보장합니다.
  • 청구, 의료 서비스 제공자와 보험 회사 간의 연결 등 전자 건강 기록 시스템 및 거래의 표준화를 요구합니다.
  • 물리적 기록, 전자 건강 기록(EHR) 등 PHI 보호를 위한 국가 표준을 설정합니다. HIPAA에 따라 의료 서비스 제공자, 보험 회사, 건강 정보를 처리하는 기타 기관은 개인정보를 보호하고 무단 액세스 및 공개를 제한하려면 적절한 보호 조치를 구현해야 합니다.

HIPAA에 따라 보안 및 개인정보 위험 평가는 얼마나 자주 수행해야 할까요?

HIPAA는 보안 및 개인정보 위험 평가를 수행하는 데 필요한 정확한 빈도를 지정하지 않습니다. 그래도 매년 또는 필요에 따라 수행하는 것이 좋습니다(특히 전자 시스템에 현저한 변화가 발생하는 경우). HIPAA 보안 및 위험 평가의 목적은 전자적으로 저장된 보호 대상 건강 정보(PHI)의 기밀성, 무결성, 보안에 영향을 미칠 수 있는 잠재적 위협과 취약점을 알아내는 데 있습니다.

HIPAA에 따라 환자 정보를 이메일로 전송할 수 있나요?

HIPAA에 따라 환자 정보를 이메일로 전송할 수는 있지만 데이터 보안을 보장하려면 특정 예방 조치를 취해야 합니다. PHI를 이메일로 전송하는 경우 ePHI를 이메일로 보낼 때 발생할 수 있는 위험에 대해 환자에게 알려야 하며 데이터를 암호화하여 전송 중 무단 액세스를 방지해야 합니다.

적용 대상 기관에서는 환자와 어떤 개인 정보 공개를 공유해야 하나요?

HIPAA에 따라 적용 대상 기관은 환자에게 개인정보 처리방침 고지(NPP)를 제공해야 합니다. 이 고지에서는 환자의 PHI가 어떻게 사용 및 공개되는지 명확하게 설명하고 환자가 PHI와 관련하여 보유한 권리를 약술해야 합니다. 또한 NPP는 개인정보 보호를 위한 적용 대상 기관의 법적 의무를 설명하고 개인정보 보호가 위반된 것으로 생각될 때 불만을 제기하는 경우에 대한 절차를 나열해야 합니다.

HIPAA를 이해하여 자신의 권리를 보호하세요

HIPAA는 제정 이후 미국에서 건강 정보 보호와 동일시되고 있습니다. HIPAA 규정을 다루는 일이 의료 서비스 제공자와 보험사에는 복잡한 일이 될 수 있지만, 개인이 누릴 수 있는 이점은 분명합니다. 그것은 바로 건강 정보에 대한 통제력 향상, 개인정보 보호 강화, 의료 시스템의 효율성 개선입니다.

관련 자료

컴플라이언스 유지

컴플라이언스 유지

컴플라이언스를 유지하려면 많은 노력이 필요합니다. SailPoint 아이덴티티 보안은 액세스 정책을 구현하여 신속하게 사용자 액세스를 검토 및 인증할 수 있도록 지원합니다.

더 알아보기

아이덴티티 보안을 활용한 사이버 보안 위험 완화

강력한 보안 태세는 기업과 자산에 액세스할 수 있는 모든 아이덴티티를 보호하는 것에서 시작됩니다.

더 알아보기
Woman on laptop

어디서나 안전한 액세스 제공

언제 어디서나 필요한 때 필요한 리소스에 액세스할 수 있도록 보안과 컴플라이언스를 지원합니다.

더 알아보기

시작하기

세일포인트 아이덴티티 보안 클라우드를 어떻게 활용할 수 있는지 알아보세요

세일포인트 솔루션이 어떻게 오늘날의 기업이 생산성과 혁신을 저해하지 않고 리소스에 안전하게 액세스할 수 있도록 지원하는지 알아보세요.

데모 신청문의하기