HIPAA를 준수해야 하는 사람은 누구이며 그 이유는 무엇입니까?
HIPAA는 요구 사항을 준수해야 하는 두 가지 유형의 조직을 정의합니다.
- 적용 대상: HIPAA는 "적용 대상"을 PHI에 액세스할 수 있는 의료 기관 및 직원으로 정의합니다. 여기에는 의사, 간호사 및 보험 회사가 포함됩니다.
- 비즈니스 관련자: HIPAA에서 "비즈니스 관련자"는 PHI에 대한 액세스와 관련된 서비스를 해당 주체에게 제공하는 조직입니다. 예를 들어, 의료 서비스 제공자에 대한 청구를 처리하는 조직은 HIPAA에 따라 PHI로 보호되는 환자의 이름, 주소 등에 액세스할 수 있습니다.
HIPAA에 따라 적용 대상과 비즈니스 관련자 모두 HIPAA를 준수해야 합니다. 적용 대상은 보건복지부(HHS) 민권 사무국(OCR)의 직접적인 규제를 받습니다. HIPAA 요구 사항은 해당 주체와의 계약을 통해 비즈니스 관련자에게 적용됩니다.
그러나 이 규정은 법률에 따른 대상 법인 또는 비즈니스 관련자의 정의에 부합하는 조직에만 적용됩니다. 건강 정보에 액세스할 수 있지만 해당 기관으로부터 정보를 받지 않는 다른 조직에는 HIPAA 규정이 적용되지 않습니다. 예를 들어 사용자로부터 직접 건강 정보를 수집하지만 의료 기관이 아닌 건강 및 피트니스 앱 개발자는 지침을 준수할 필요가 없습니다.
그러나 이러한 조직은 그렇게 함으로써 이점을 얻을 수 있습니다. HIPAA는 PHI를 보호하기 위한 모범 사례를 설명하며, 이러한 모범 사례를 준수하면 사이버 위협에 대한 조직의 노출과 잠재적인 데이터 침해의 가능성 및 영향을 줄일 수 있습니다. 또한 침해 또는 보안 사고가 발생한 경우 규정을 준수하면 회사가 실사를 수행하고 고객의 데이터를 보호하기 위해 최선을 다했음을 입증하는 데 도움이 됩니다.
HIPAA 규정이란 무엇입니까?
HIPAA는 개인 정보 보호 규칙과 보안 규칙의 두 가지 주요 규칙으로 나뉩니다. 이러한 규칙 외에도 조직이 PHI 위반을 보고하는 방법을 설명하는 위반 알림 규칙과 비즈니스 관련자도 포함하도록 HIPAA 요구 사항을 확장한 옴니버스 규칙이 있습니다.
개인 정보 보호 규칙. 개인 식별 가능한 건강 정보의 개인 정보 보호 표준(개인 정보 보호 규칙)은 의료 기관이 위탁된 특정 유형의 건강 정보를 보호하는 방법을 규정합니다. 개인 정보 보호 규칙은 PHI에 액세스하고 공개할 수 있는 경우를 정의합니다. 또한 해당 주체가 PHI를 보호하기 위해 마련해야 하는 보호 장치를 정의하고 환자에게 PHI에 대한 특정 권리를 부여합니다.
보안 규칙. 전자 보호 대상 건강 정보 보호를 위한 보안 표준(보안 규칙)은 전자적으로 저장되거나 전송되는 개인 건강 정보(PHI)에 대해 기업이 마련해야 하는 IT 보안 제어에 대해 설명합니다. 개인 정보 보호 규칙에 설명된 데이터 보호 요구 사항을 충족하기 위해 조직이 갖추어야 하는 구체적인 IT 보안 제어, 프로세스 및 절차를 제공합니다.
HIPAA에 따라 보호되는 데이터
HIPAA는 환자가 피보험 대상 기관 및 비즈니스 관련자에게 제공하는 PHI를 보호하기 위해 고안되었습니다. HHS는 다음과 같은 18가지 유형의 PHI 식별자를 정의합니다.
- 이름
- 주소
- 주요 날짜
- 소셜 시큐리티 번호
- 전화번호
- 이메일 주소
- 팩스 번호
- 건강 플랜 수혜자 번호
- 의료 기록 번호
- 인증서/라이센스 번호
- 계좌 번호
- 차량 식별자, 일련 번호 또는 번호판 번호
- 디바이스 식별자 또는 일련 번호
- IP 주소
- 웹 URL
- 얼굴 전체 사진
- 지문 또는 성문과 같은 생체 인식 식별자
- 기타 고유한 식별 번호, 특성 또는 코드
일반적인 HIPAA 위반
HIPAA 컴플라이언스는 적용 대상에게 의무 사항이며, 이러한 조직은 컴플라이언스를 사용하지 않을 경우 불이익을 받을 수 있습니다. HIPAA는 다음과 같은 4가지 위반 단계를 정의합니다.
- 티어 1: 해당 주체는 위반 사실을 알지 못했으며, HIPAA를 준수하기 위해 선의의 노력을 기울였다면 현실적으로 위반을 방지할 수 없었을 것입니다. 벌금은 $100에서 $50,000 사이입니다.
- 티어 2: 해당 주체는 위반 사실을 알고 있었지만 HIPAA를 준수하기 위한 선의의 노력을 고려할 때 예방할 수 없었습니다. 벌금은 $1,000에서 $50,000 사이입니다.
- 티어 3: 위반은 해당 주체가 수정하려고 시도한 HIPAA 규칙의 "고의적 무시"로 인해 발생했습니다. 벌금은 $10,000에서 $50,000 사이입니다.
- 티어 4: 위반은 해당 주체가 시정하려는 시도를 하지 않은 "고의적 방치"로 인해 발생했습니다. 과태료는 $50,000부터 시작합니다.
대부분의 HIPAA 위반에는 의도적이든 아니든 PHI 위반이 포함됩니다. 몇 가지 일반적인 HIPAA 위반은 다음과 같습니다.
- 분실 또는 도난 디바이스
- 랜섬웨어 및 기타 멀웨어
- 손상된 사용자 자격 증명
- 이메일, 소셜 미디어 등을 통한 우발적인 데이터 공유
- 실제 사무실 침입
- 전자 건강 기록(EHR) 위반
HIPAA 컴플라이언스 체크리스트
HIPAA 컴플라이언스 달성은 다단계 프로세스입니다. 취해야 할 몇 가지 주요 단계는 다음과 같습니다.
- 컴플라이언스 의무를 결정하십시오. 앞서 언급했듯이 HIPAA는 적용 대상 주체와 해당 주체를 통해 비즈니스 관련자에게 적용됩니다. HIPAA에서 적용 대상은 의료 서비스 제공자, 건강 보험 및 의료 정보 센터로 정의됩니다. 비즈니스 동료는 PHI를 공유하는 모든 조직입니다.
- HIPAA 규칙 알아보기: HIPAA 개인 정보 보호 및 보안 규칙은 HIPAA에 따른 적용 대상 법인 또는 비즈니스 제휴사의 책임을 정의합니다. 필요한 제어, 정책 및 프로세스를 이해하는 것은 컴플라이언스를 달성하고 유지하는 데 필수적입니다.
- 컴플라이언스의 범위 확인: HHS는 PHI로 인정되며 HIPAA에 따라 보호되어야 하는 18가지 유형의 데이터를 정의합니다. 조직의 IT 환경 내에서 이러한 유형의 데이터가 저장, 처리 및 전송되는 위치를 식별하는 것은 HIPAA의 의무가 적용되는 시스템과 인력을 결정하는 데 필수적입니다.
- Perform a Gap Assessment: 조직에는 필요한 HIPAA 제어 항목 중 일부가 있을 수 있지만 다른 제어가 누락될 수 있습니다. HIPAA 요구 사항에 대한 갭 평가는 회사가 컴플라이언스 요구 사항에 미치지 못하는 부분을 식별하는 데 필요합니다.
- 누락된 컨트롤 배포: 갭 평가는 조직이 현재 규정을 준수하지 않는 위치를 식별할 수 있습니다. 이러한 격차를 식별한 후 구멍을 메우기 위한 전략을 개발하고 구현합니다.
- 필요한 문서 만들기: HIPAA는 적용 대상에게 문서화된 특정 정책 및 프로세스를 요구할 것을 요구합니다. 누락되거나 문서화되지 않은 프로세스가 있는 경우 필요한 문서를 생성합니다.
- 컴플라이언스 감사 준비: 컴플라이언스 감사를 통과하려면 조직의 보안 제어, 프로세스 및 절차가 규정의 요구 사항을 충족한다는 것을 감사자에게 입증할 수 있어야 합니다. 심사를 진행하기 위한 계획을 수립하고 심사 전에 필요한 데이터와 보고서를 수집합니다.
체크 포인트가 도움이 되는 방법
HIPAA의 주요 목표는 해당 주체 및 비즈니스 관련자에게 위탁된 PHI를 보호하는 것입니다. HIPAA 개인 정보 보호 및 보안 규칙은 조직이 PHI에 대한 액세스를 제어 및 모니터링하고 무단 액세스로부터 보호하도록 의무화합니다.
체크 포인트는 도움이 되는 다양한 솔루션을 제공합니다. 의료 서비스 제공자 및 기타 조직은 HIPAA 및 기타 규정으로 컴플라이언스를 달성합니다. 체크 포인트 CloudGuard가 수행합니다 컴플라이언스 모니터링, 데이터 수집 및 클라우드 기반 환경을 위한 보고서 생성. CloudGuard로 클라우드 컴플라이언스를 달성하는 방법에 대해 자세히 알아보려면 다음을 방문하십시오. 무료 데모 신청하기.
피드백