본문

의사가 HIPAA와 데이터 보안에 대해 알고 싶어하는 것

개인정보보호

등록일  2023.08.11

조회수  514

기사 1. What Doctors Wish You Knew About HIPAA and Data Security

기사 2. Vendor Data Breach Impacts 1.7M Oregon Health Plan Members

 

체서피크 지역 정보 시스템의 법률고문 겸 최고 개인정보책임자이자 미국 여러지역에서 비영리 건강 정보 교환을 하는 니콜 스위니가 말한다. “대중은 소비자가 생성한 데이터가 보호되지 않는다는 것을 깨닫지 못할 수도 있다. 우리가 각자 자신의 정보로 하는 것들은 안전하지 않다. 연방정부는 건강 데이터 그 자체를 규제하지 않는다.” 새로운 웨어러블 측정기들? 본인 스스로 자신의 데이터를 이용하는 사람들은 HIPAA의 보장을 받을 수 없다.

 

온 가족을 보호하십시오

(전 국토안보부 고문이자 의사인) 크리스 피어슨은 "누군가 단 한 가지 정보만 얻을 수 있게 되면 그것으로 다른 개인정보에 이를 수 있다는 사실을 사람들이 깨닫지 못한다고 생각한다"고 했다. "컴퓨터의 원래 주인만이 아니라 추가 가족 구성원의 ID가 손상될 수 있다.“

 

 2단계 인증은 노력할 가치가 있습니다

피어슨은 다단계 인증 시스템을 사용하는 것이 얼마나 중요한지 언급한다. 보안 암호와 일회성 인증 코드를 사용하는 것만으로도 보호 수준이 상당히 높아진다.

 

소셜 미디어 및 추적

소셜 미디어는 의료 서비스 제공자와 기업가가 대중과 소통하고 종종 치료나 조언을 판매하는 인기 있는 방법이 되고 있다. 그러나 온라인 의사의 배경이나 인기는 그들이 강력한 개인 정보 보호 지침을 준수하거나 거래를 보호한다는 것을 보장하지 않는다. 소셜 미디어 및 소비자에게 직접 제공하는 건강관리 옵션은 거대한 규모의 데이터 추적이 따라온다. 공식적인 의료 행위 외에는 감시가 예외적인 일이 아닌 예상 가능한 것으로 보아야 한다.

 

질문하세요

새로운 의사의 환자 포털이나 온라인 상점을 통해 서비스에 가입할 때, 데이터가 어떻게 저장되고 어디로 가는지 물어보라. 개인 정보 보호 정책 및 설정을 간략하게라도 읽고 데이터의 판매 또는 재사용을 제한하는 데 필요한 옵션을 알아보라.

 
 

미국 내 의료데이터 유출사건

남부 캘리포니아, 로드아일랜드, 펜실베이니아, 코네티컷 전역에서 16개 병원과 165개 이상의 진료소를 운영하는 Prospect Medical Holdings가 랜섬웨어 공격을 받음.

202389Progress SoftwareMOVEit Transfer 소프트웨어에 대한 사이버 공격으로 인해 지역 사회 건강 플랜을 위한 플랫폼 및 관리 서비스를 제공하는 공급업체 중 하나인 PH TECH에서 7만명 회원의 데이터 침해 발생

테네시 주 채터누가 심장 연구소(Chattanooga Heart Institute)202338일부터 316일 사이, 승인되지 않은 당사자가 연구소 네트워크에 액세스하여 170,450명의 데이터 유출 발생

텍사스 브라조스 밸리의 MHMR 당국은 83,000명 이상의 비영리 지역 보건 센터의 직원과 환자에게 영향을 미치는 데이터가 유출됐다고 밝혀.

 

 

HIPAA 법 이란?

입법 취지 및 배경

HIPAA1996821에 제정되었다. HIPAA 261~264에 따라 보건복지부 장관은 건강정보의 전자교환, 개인정보보호 및 보안에 대한 표준을 공개해야 한다. 이를 통칭하여 행정 단순화 조항이라고 한다.  20023, 보건복지부는 개인정보법을 개정안을 발표했다. 보건복지부는 11,000개 이상의 의견을 수렴하였다. 최종 개정안은 2002814일에 공포되었다.

HIPAA는 원래 실업과 이직에 있어서 건강보험 보장의 이동성과 책임성을 향상시키기 위하여 제정되었다. 그러나 점점 더 많은 건강보험 거래가 전자적으로 수행됨에 따라 보건복지부장관은 건강정보를 보유 또는 전자적으로 전송될 때 이에 대한 안전표준을 개발하도록 지시를 받았다. 또한 개별적으로 식별가능한 건강정보의 개인정보보호 표준을 권고하라는 지시를 받았다. 이러한 지침은 궁극적으로 HIPAA 규정준수 지침을 게시하는 결과를 낳았다.

 

주요내용

(1) 정보의 주체인 개인에게, 보호되는 건강 정보를 공개

(2) 정보 주체는 자신의 치료, 지불 및 의료 운영 활동을 위해 보호되는 건강 정보를 사용 및 공개 가능

(3) 동의 또는 이의를 제기할 수 있는 기회에 한하여 사용 및 공개

(4) 부수적 사용으로부터의 위협받지 않고, 보호된 건강정보의 공개 제거 가능

(5) 국가적 12가지 목적에 따른 경우에, 보호된 건강 정보의 사용 및 공개 허용

(6) 제한된 데이터 세트(친지, 고용주 등이 제거된)는 연구, 건강 관리 운영 및 공중 보건 목적으로 사용 및 공개 가능

 

23HIPAA 주요 변경 사항

-환자가 보호된 건강정보의 사본을 획득하고 접근할 권리 및 그 요청들에 대하여 응답하는 기간(현재 30)

-허가 없는 PHI(Protected Health Information) 공개에 대한 제한 완화

-치료 및 치료 조정을 위한 정보 공유 장려

-PHI에 대한 의료 정보 센터의 액세스 확대 등

 

참조 

1. 미국 보건복지부 홈페이지 

2.  The HIPAA Journal - HIPAA Updates and HIPAA Changes in 2023