HIPAA 보안 규칙과 개인 정보 규칙 정의

비컴플라이언스 결과

HIPAA에서는 비즈니스 제휴사를 포함하여 관련 기관에서 보호되는 건강 정보(PHI)에 대한 기술적, 물리적, 관리적 보호 장치를 마련하도록 요구합니다. 이러한 보호 장치는 개인 정보뿐만 아니라 데이터의 무결성과 접근성도 보호하기 위한 것입니다.

보건 복지부 민권사무국(OCR)은 비범죄적인 HIPAA 위반을 단속합니다. HIPAA를 준수하지 않으면 '동일 조항' 위반당 연간 100~50,000달러의 벌금이 부과될 수 있습니다.

OCR HIPAA 화해에서 1백만 달러가 넘는 벌금이 부과된 경우도 많이 있습니다. 2016년 9월 기준 최대 화해 금액은 Advocate Health Care에 부과된 550만 달러이며, 총 400만 명의 개인이 영향을 받은 여러 차례의 위반으로 인해 발생했습니다.

개인 및 조직은 고의적이거나, 허위로 가장하거나, 상업적 이득이나 악의적인 목적으로 사용할 의도로 PHI를 획득하거나 공개할 경우 민사 처벌 외에도 형사상의 책임을 질 수 있습니다. HIPAA에 따른 형사 범죄는 미국 법무부의 관할권에 속하며 벌금 이외에 최대 10년의 징역형에 처해질 수 있습니다.

개인 정보 및 보안 규칙

HIPAA 개인 정보 규칙에 따라 환자의 의료 기록 및 기타 PHI를 보호하기 위한 표준이 설정됩니다. 정보에 대한 환자의 권한을 지정하고 관련 기관에 해당 정보를 보호하도록 요구합니다. 개인 정보 규칙에서는 기본적으로 PHI를 사용하고 공개하는 방법을 규정합니다. 개인 정보 규칙의 하위 집합인 보안 규칙은 본질적으로 전자 PHI(ePHI)에 적용됩니다.

보안 규칙은 다음과 같은 안전 장치를 규정합니다.

기술

ePHI를 집합적으로 보호하고 이에 대한 액세스를 제어하는 기술과 기술 사용에 대한 정책 및 절차로 정의됩니다.

기술 보호 표준에는 다음이 포함됩니다.

• 액세스 - 데이터를 읽고, 쓰고, 수정하고, 전달하는 기능/수단을 말하며, 파일, 시스템, 애플리케이션을 포함합니다. 제어에는 고유한 사용자 식별자와 자동 로그오프가 포함되며 데이터 암호화는 물론 긴급 상황 시 액세스 절차도 포함될 수 있습니다.
• 감사 제어 - 정보 시스템 내에서 ePHI 관련 활동을 기록하고 검사하는 메커니즘을 말합니다.
• 무결성 - 데이터가 인증되지 않은 방식으로 변경되거나 파괴되지 않도록 보호하기 위한 정책 및 절차가 필요합니다.
• 인증 - 보호된 데이터에 액세스하려는 기관 또는 개인의 ID를 확인해야 합니다.

물리적

자연/환경 위험과 무단 침입으로부터 전자 정보 시스템과 관련 장비 및 건물을 보호하기 위한 물리적 조치, 정책 및 절차로 정의됩니다.

물리적 보호 표준에는 다음이 포함됩니다.

• 시설 액세스 제어 - 정보 시스템이 있는 시설에 대한 액세스를 제한하는 정책 및 절차입니다. 제어에는 손실된 데이터를 복원하기 위한 비상 작업, 시설 보안 계획, 사람의 역할과 기능에 따라 액세스를 제어하고 유효성을 검사하는 절차, 시설 보안에 대한 수리 및 수정 유지 관리 기록이 포함될 수 있습니다.
• 워크스테이션 사용 - 전자 컴퓨팅 장치, 인접한 환경에 보관된 전자 미디어 등 워크스테이션의 업무상 적절한 사용을 설명합니다. 예를 들어 환자 청구를 처리하는 워크스테이션은 브라우저와 같은 다른 프로그램이 백그라운드에서 실행되고 있지 않은 상태에서만 사용할 수 있습니다.
• 워크스테이션 보안 - ePHI에 액세스하는 워크스테이션에 대한 물리적 안전 조치를 구현해야 합니다. 워크스테이션 사용 규칙에서는 ePHI가 포함된 워크스테이션을 사용하는 방법을 설명하지만, 워크스테이션 보안 표준에서는 워크스테이션을 무단 액세스로부터 물리적으로 보호하는 방법을 지정합니다. 여기에는 권한이 있는 개인만 접근할 수 있는 보안 공간에서 워크스테이션을 보관하는 것이 포함될 수 있습니다.
• 장치 및 미디어 제어 - 시설 안팎에서 ePHI가 포함된 하드웨어 및 전자 미디어를 제거하기 위한 정책 및 절차가 필요합니다. 이 표준에서는 미디어 폐기 및 재사용, 모든 미디어 이동 기록 보관, 데이터 백업/저장소에 대해 설명합니다.

관리

ePHI를 보호하고 ePHI 보호와 관련된 직원 행동을 관리하기 위한 보안 조치의 선택, 개발, 구현, 유지보수를 관리하기 위한 관리 작업, 정책 및 절차로 정의됩니다.

HIPAA 보안 규칙의 절반 이상이 관리 보호에 중점을 두고 있습니다. 표준에는 다음이 포함됩니다.

• 보안 관리 프로세스 - 위반을 예방, 탐지, 격리 및 수정하기 위한 정책 및 절차를 포함합니다. 이 표준의 중요한 부분은 위험 분석을 수행하고 위험 관리 계획을 구현하는 것입니다.
• 할당된 보안 책임 - 정책과 절차의 개발 및 구현을 담당하는 보안 담당자를 지정해야 합니다.
• 인력 보안 - 권한 부여, 감독, 정리, 종료 등 ePHI에 대한 직원 액세스를 제어하는 정책 및 절차를 나타냅니다.
• 정보 액세스 관리 - ePHI에 대한 불필요하고 부적절한 액세스를 제한하는 데 중점을 둡니다.
• 보안 인식 및 교육 - 관련 기관의 전체 인력을 대상으로 하는 보안 인식 교육 프로그램을 구현해야 합니다.
• 보안 인시던트 절차 - 인시던트를 식별하고 관련 담당자에게 보고하는 절차를 포함합니다. 보안 인시던트는 '정보에 대해 시도되거나 성공한 무단 액세스, 사용, 공개, 수정, 파괴 또는 정보 시스템의 작동에 대한 간섭'으로 정의됩니다.
• 비상 계획 - 데이터 백업, 재해 복구, 긴급 모드 작업에 대한 계획이 필요합니다.
• 평가 - 지속적인 HIPAA 보안 규칙 준수를 보장하기 위해 구현된 보안 계획 및 절차를 정기적으로 평가해야 합니다.
• 비즈니스 및 제휴 계약 - 모든 관련 기관은 HIPAA 관련 기관을 대신하여 ePHI를 생성, 수신, 유지 관리 또는 전송하는 공급업체, 계약자 및 기타 비즈니스 제휴사를 위한 서면 계약 또는 계약을 마련해야 합니다.

HIPAA 컴플라이언스 보장

HIPAA는 규범적이지 않으며 시간에 따라 기술이 진화함에 따라 각 관련 기관에 대해 유연하게 확장 가능하도록 설계되었습니다. 각 조직은 자체 환경에 따라 합리적이고 적절한 보안 조치를 결정해야 합니다.

일부 솔루션은 비용이 많이 들 수도 있지만 보건 복지부(HHS)는 비용이 유일한 결정 요소가 되어서는 안 된다고 경고합니다. HHS는 위험 평가를 수행하고 위험을 완화하고 관리하기 위한 계획을 구현하는 데 중점을 둡니다.

보안 규칙은 기술에 중립적이지만 즉, 특정 유형의 보안 기술이 필요하지 않지만 암호화는 권장되는 모범 사례 중 하나입니다. OCR에 보고되는 많은 HIPAA 데이터 침해는 암호화되지 않은 장치의 도난 및 손실로 인해 발생합니다.

최근 2~3년 사이에 사이버 공격으로 인한 인시던트도 계속 증가하고 있습니다. 보호된 데이터를 암호화하면 침해가 장치 분실이나 도용에 따른 것인지 사이버 공격으로 인한 것인지 여부에 상관없이 권한 없는 당사자는 암호화된 데이터를 이용할 수 없게 됩니다. 참고로, 암호화된 데이터가 손실되거나 도난당한 경우 데이터 침해로 간주되지 않으며 HIPAA에 따라 보고할 필요가 없습니다.

조직이 클라우드로 전환함에 따라 클라우드 서비스 사용이 HIPAA 보안 규칙 컴플라이언스에 미치는 영향도 고려하고 CASB와 같은 타사 클라우드 보안 솔루션을 탐색해야 합니다. ePHI를 처리하는 클라우드 서비스는 HIPAA에 따라 비즈니스 제휴사로 분류되므로 컴플라이언스를 지정하는 비즈니스 계약에 서명해야 합니다. 하지만 타사에서 데이터 침해를 일으킨 경우에도 실사 및 궁극적인 책임은 해당 기관에 있습니다.

OCR은 보고된 침해를 조사할 뿐만 아니라 감사 프로그램도 구현했습니다. 최근 몇 년 사이에 HIPAA 화해 건수와 벌금이 모두 증가했습니다. 맬웨어 감염, 방화벽 부족, 위험 평가 미시행, 적절한 비즈니스 제휴사 계약 미이행 등 다양한 침해에 대해 벌금이 부과되었습니다.

HIPAA Journal에 따르면 OCR에서 부과한 벌금을 제외하고 조직에서 평균 590만 달러의 HIPAA 데이터 침해 비용이 발생했다고 합니다. OCR 벌금 자체로도 수백만 달러에 달할 수 있지만, 컴플라이언스를 준수하지 않을 경우 비즈니스 손실, 침해 알림 비용, 영향을 받는 개인의 소송 등 다양한 결과를 초래될 수 있으며, 조직의 평판 훼손과 같은 덜 유형적인 비용도 발생할 수 있습니다.