Last Updated on 6월 5th, 2023, By
 In AppSealing News, 앱실링 블로그

의료정보나 환자 데이터를 다루는 산업에 속한 기업들은 반드시 관련 법규를 준수하고 데이터를 보호할 수 있는 물리적 조치와 네트워크 및 프로세스 관련 보안 조치를 갖추고 시행해야 합니다. 위반이나 침해 시 형사법에 따른 처벌 뿐 아니라 민사 소송까지 당할 수 있습니다. 당연히 벌금도 부과됩니다. 고객들이 개인정보의 중요성을 점차 인식하고 사이버 공간을 이용하여 서비스를 제공하는 의료기관들도 늘어나는 가운데 HIPAA 법에 대한 준수는 모든 기업들이 항상 필수 정보를 안전하게 지키기 위한 표준이라 할 수 있습니다. 또한 이 법은 기업의 평판을 유지하는 가장 좋은 방법이기도 합니다. 

HIPAA 준수

HIPAA는 1996년에 제정된 연방법으로 민감한 환자 정보가 공개되는 것을 방지하는 다양한 표준을 제시합니다. 환자들은 자신의 정보를 보호할 권리가 있으며 이 법은 이 권리를 보장합니다. HIPAA의 핵심은 개인의료정보(PHI)입니다. 

HIPAA 준수의 장점

HIPAA의 세부 규칙들은 그에 대한 준수를 국가적 표준으로 만들어 전체 생태계에 도움을 줍니다. 또한 차별을 방지하고 여러 당사자들 간에 안전한 데이터 공유가 이루어지도록 합니다. 데이터 보호라 함은 국가 차원의 표준화된 식별자를 이용하여 보다 효율적인 시스템과 간소화된 프로세스를 말합니다. 또한 강력한 암호를 강제하고 신뢰도 높은 데이터 백업 계획을 수립, 실천하도록 유도합니다. 정기적인 감사는 이러한 규칙에 대한 준수도를 높이는 데 도움이 됩니다. 

HIPAA 준수의 5대 요소

요소 1: HIPAA 건강보험 개혁

이는 실직자들의 건강보험에 대한 것입니다. 또한 특정(기존) 질병 또는 보험 범위에 대한 서비스 거부를 금지합니다. 

요소 2: HIPAA 행정절차 간소화

이는 전자의료보험 거래에 대한 국가 표준을 제정 및 준수하는 데 초점을 맞춥니다. 안전한 데이터 접근과 관련 준수도 다룹니다.

요소 3: HIPAA 세금 관련 조항

이는 의료 관련 세금과 관련 조세 지침을 다룹니다.

요소 4: 집단 건강보험 요건의 적용과 시행

특정(기존) 질병이 있는 이들이나 추가 보험이 필요한 이들을 다룹니다.

요소 5: 매출 상쇄

회사부담 생명보험을 다룹니다. 또한 소득세 징수를 위해 미국 시민권을 상실하는 이들에 대한 치료를 제공하는 보험도 해당합니다.

HIPAA 준수 체크리스트

HIPAA 준수는 다른 규정과 마찬가지로 주의 깊은 계획이 필요합니다. 아래와 같은 간단한 과정이 보다 효과적인 준수에 도움이 됩니다.

  • HIPAA 준수 위원회를 설치합니다.
  • 갭 분석을 통해 잠재적 누출이 일어나는 곳을 파악합니다.
  • 우리 조직에 중요한 관련 지침을 찾아봅니다.
  • 문제와 결함은 기록합니다.
  • 갭 제거에 초점을 맞춘 계획을 수립합니다.
  • 데이터의 사용, 공유, 관리 방식을 철저히 확인합니다.
  • 정기 감사를 실시합니다.
  • 데이터 침해 대응 규정을 수립합니다.
  • 조직 구성원을 교육하고 준수 담당자를 지정합니다.
  • 관련 법규의 개정안을 정기적으로 확인하고 그에 따라 조치도 강화합니다.
  • 전문가의 지원을 받아 계획을 검토합니다. 

요건과 안전장치

업무 제휴사는 보호 대상인 고객에게 서비스를 제공하는 사람 또는 기업을 말합니다. PHI의 공개나 처리와 관련된 책임도 부여됩니다. 정기 감사 대상이 될 수 있으며 위반사항이 발견될 시 처벌을 받기도 합니다. 구체적인 관련 요건은 다음과 같습니다.

  • 의료기관 식별 표준: 의료 서비스 기업 및 보험사는 각각 10자리 의료인 식별자 코드를 받아야 합니다.
  • 거래 관련 규정과 표준: 기관은 명확히 정리되고 전문적으로 수립된 표준 절차를 따라 비용을 청구, 처리해야 합니다.
  • HIPAA 개인정보 보호규칙: 이 규칙은 환자 의료정보를 보호하는 국가적 표준을 제시합니다.
  • HIPAA 보안규칙: 환자 데이터 보안 관련 표준을 제시합니다.
  • HIPAA 시행규칙: 위반 조사 관련 지침을 제시합니다.

전자 및 물리적 PHI의 안전한 교환과 관리를 위한 안전장치도 중요합니다. 답이 필요한 3가지 질문은 다음과 같습니다.

  • PHI의 출처와 ePHI를 식별할 수 있는가? 이는 PHI의 생성, 관리, 전송에 대한 것입니다. 
  • PHI의 외부 출처가 있는가?
  • PHI와 ePHI가 담긴 시스템에 인적, 자연적, 환경적 위협이 존재하는가?

이에 대한 답을 바탕으로 데이터 백업 전략, 암호화 방법, 인증 기법, 접근 제어 규칙을 수립, 실행해야 합니다. 

HIPAA 관련 규칙

HIPAA와 관련된 규칙은 아래와 같은 것이 있습니다. 

개인정보 보호규칙:

이 규칙은 아래 질문에 대한 답을 제공합니다.

  • HIPAA를 준수해야 하는 조직은 어떤 것이 있는가?
  • PHI는 어떤 정보를 말하는가?
  • PHI는 여러 조직들 간에 어떻게 사용, 공유해야 하는가?
  • PHI의 사용 및 공개를 허용하는 규칙은 무엇인가?
  • 환자의 개인정보 관련 권리는 무엇인가?

HIPAA 적용 대상에는 보험사, 보건의료정산소, 의료기관, 의료 거래를 실시하는 업무 제휴사 등이 있습니다. 

보안 규칙:

이 규칙은 아래 질문을 다룹니다.

  • 본 규칙을 준수해야 하는 조직은 어떤 것이 있는가?
  • 어떤 의료정보를 보호해야 하는가?
  • 어떤 안전조치를 실시해야 하는가?

적용 대상에는 ePHI를 보호해야 하는 조직 및 업무 제휴사가 있습니다. 이러한 규칙은 다음을 충족해야 합니다:

  • PHI의 기밀성, 무결성, 가용성을 기해야 합니다.
  • 모든 위협 및 사용과 공개 행위로부터 ePHI를 보호해야 합니다.
  • 임직원에 관련 교육을 실시해야 합니다. 
  • 적절한 정책을 시행해야 합니다.
  • 위험분석을 실시하여 완화 계획을 수립해야 합니다.

침해 통보 규칙:

본 규칙에 따르면 기업들은 침해가 발견될 시마다 경보 및 알림을 제공해야 합니다. 이 경보는 침해를 파악한 후 60일 이내에 피해 인원, 복지시설, 미디어(해당하는 경우 및 상황이 충분히 심각한 경우)에 전달해야 합니다. 피해 인원이 500명을 넘을 시 즉각적인 통보를 제공해야 합니다. 

마무리하며

코로나19로 인해 기업들은 활동에 더욱 주의하게 되었습니다. 환자 정보가 쉽게 유출될 수 있는 상황에서 기업은 보안 의식이 강해지는 고객들을 만족시킬 수 있도록 데이터를 보호해야 합니다. 전자 환자 데이터는 이제 어디서나 활용되므로 PHI의 보호는 어느 때보다 중요합니다. 해커의 위험도 상존하고 있으며 이들에게 환자 데이터는 정보의 금광이나 다름없습니다. 모바일 앱 등을 통해 원격으로 진료나 상담이 이루어지면서 데이터 보호가 더욱 쉽지 않은 상황입니다. 이러한 상황에서 AppSealing의 클라우드 기반 사용량 기준 과금형 모바일 애플리케이션 보안은 이러한 보호 기능을 간편하고 쉽게 제공합니다. 단 한 줄의 코드도 필요하지 않으며 누구나 쉽게 사용할 수 있습니다. 지금 바로 AppSealing으로 환자의 데이터를 보호하세요. 지금 바로 문의하세요.

 

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.