HIPAA란 무엇일까요?

HIPAA(Health Insurance Portability and Accountability Act, 1996년 제정)는 건강 데이터 또는 ePHI(electronic Protected Health Information)를 보호하도록 설계되었습니다. 이 법은 환자의 의료 기록 및 기타 건강 정보를 보호하기 위해 개인정보 보호 표준을 제공하도록 고안된 미국 법률입니다. HIPAA는 ePHI의 정의, ePHI 사용 및 공유에 대한 규칙 및 정책, 권한이 없는 당사자가 ePHI를 오용하거나 유출할 경우 받는 처벌을 규정합니다. 원래 목표는 동의 기반 접속을 통한 데이터 프라이버시 관리와 ePHI의 이식성 보장으로 보험 상품 변경을 간소화하는 것이었으나, HIPAA는 업계의 요구사항이 변화함에 따라 토대로 삼을 정책의 기초를 마련했습니다. 

ePHI는 대부분의 표준 헬스케어 교환 포맷에 포함되며 모든 당사자(공격자 포함)가 민감한 데이터에 접속하는 데 관심이 있기 때문에 오늘날 그 어느 때보다 관련성이 높아졌습니다. 미국 보건복지부(HHS) 정보 보안 사무소의 2023년 보고서에 따르면 2012년과 2021년 사이에 헬스케어 데이터 유출이 증가하고 있다고 합니다. 보고서는 또한 헬스케어 데이터 유출 사고가 지난 3년 동안 두 배로 증가했다고 강조합니다. 헬스케어 기관 및 보험과 같은 관련 기관은 PHI(Protected Health Information) 관리 기관입니다. 따라서 이러한 기업은 사이버 범죄자에게 매력적인 표적이 됩니다. 헬스케어 분야에 대한 사이버 공격에는 랜섬웨어 및 데이터 보안 문제의 교묘한 위협이 포함되며, 이는 종종 무단 접속과 최소 권한 접속 제어의 부족으로 시작됩니다. 

HIPAA는 1996년 8월 21일에 제정되었습니다. 그러나 그 이후로 프레임워크에 몇 가지 주요 추가 사항이 있었습니다. 여기에는 보안 규정, 개인정보 보호 규정, 유출 통지 규정, 옴니버스 최종 규정이 포함됩니다. HHS는 HIPAA를 규제하지만, OCR(Office for Civil Rights)이 HIPAA를 시행합니다.

'행정 간소화' 아래에서 HIPAA는 다음과 같은 여러 구성요소를 통해 정의됩니다.

• 트랜잭션 및 코드 세트 표준
• 식별자 표준
• 개인정보 보호 규정
• 보안 규정
• 적용 규정
• 유출 통지 규정

이러한 규정과 표준이 함께 ePHI 보호의 기준을 설정합니다.

ePHI 보호는 HIPAA 컴플라이언스의 핵심입니다. Akamai 보안 솔루션은 인텔리전스와 엔드투엔드 보호 기능을 제공해 유출과 우발적 노출로부터 ePHI 보호를 지원합니다. Akamai는 기존의 엔드포인트 탐지를 넘어 데이터 보안과 개인정보 보호를 위한 강력한 제로 트러스트 솔루션을 제공함으로써 보안팀이 보안 투자의 효과와 ROI를 향상할 수 있도록 지원합니다. 

Akamai에서는 다음을 제공합니다.

• IT 환경에 대한 포괄적인 커버리지로 제로 트러스트 보안을 가능하게 하는 글로벌 보안 플랫폼

• 자산, 접속, 네트워크 흐름에 대한 심층적인 가시성

• 고객이 설정한 보안 정책의 세분화된 적용

건강 데이터를 취급하는 비즈니스 관계자를 포함해 모든 헬스케어 기업은 HIPAA의 엄격한 데이터 보안 및 개인정보 보호 규정을 준수해야 합니다. 기업이 HIPAA 적용 대상인 경우 PHI의 접속 및 처리에 영향을 미치는 규정을 준수해야 합니다. 영향을 받는 기업이 HIPAA의 보안 및 개인정보 보호 규정을 위반하면 유출 통지 규정의 적용을 받습니다. 500명 이상의 사용자가 유출의 영향을 받는 경우 인시던트 알림을 OCR에 전달해야 합니다. 유출 세부 정보는 검색 가능한 퍼블릭 웹사이트인 '유출 포털: 보안되지 않은 PHI의 유출에 대한 HHS 장관 통지'를 참조하시기 바랍니다.

HIPAA의 영향을 받는 특정 유형의 기업은 다음과 같습니다.

_{호텔 및 관광업}

HIPAA 개인정보 보호 규정은 병원에서 환자의 개인정보 보호 권리에 대한 명확한 설명을 제공하도록 규정하고 있습니다. 또한, 보안은 환자 데이터 보호의 필수 구성요소이며, HIPAA 규정 45 CFR 164.502(b), 164.514(d)는 적용 대상 기관이 '… 보호되는 건강 정보에 대한 불필요하거나 부적절한 접속 및 공개를 제한하기 위해 필요에 따라 관행을 평가하고 보호 조치를 강화해야 한다'는 요건을 명시하고 있습니다. 

따라서 병원에는 무단 데이터 접속의 리스크를 최소화할 수 있는 조치가 필요합니다. 데이터 접속에 대한 제로 트러스트 보안 접근 방식은 병원 환경 내에서 PHI에 대한 리스크를 방어하는 프레임워크를 제공합니다.

_{비즈니스 관계자}

HIPAA에 따른 비즈니스 관계자는 적용 대상 기업을 대신하여 '보호되는 건강 정보(PHI)를 생성, 수신, 유지 관리 또는 전송'하는 모든 비즈니스로 정의됩니다. 여기에는 소프트웨어 공급업체, 클라우드 서비스 사업자, 청구 기관 등의 기업이 포함됩니다. 비즈니스 관계자는 기술적 조치 및 보호 조치를 통해 PHI의 기밀성, 무결성, 접근성을 보호하고 유지해야 합니다. 리스크를 식별하고 PHI를 보호하기 위한 보안 조치는 HIPAA의 필수 요건입니다. 제로 트러스트 플랫폼은 확장된 데이터 생태계 전반에 대한 가시성을 제공함으로써 강력한 보안 조치를 적용해 무단 데이터 접속을 차단합니다.

HIPAA는 ePHI의 보안과 개인정보 보호를 보장하기 위한 엄격한 보호 조치를 갖추고 있습니다. HIPAA의 원칙을 적용하면 적용 대상 기관과 환자에게 일련의 장점을 제공할 수 있습니다. 가장 중요한 장점은 다음과 같습니다.

환자 개인정보 보호 개선: 환자 건강에 대한 개인적이고 민감한 정보는 반드시 알아야 하는 사람에게만 국한됩니다. 특정 조건에서 환자는 건강 데이터를 공유하는 데 동의해야 합니다.

역할 기반 접속 및 최소 권한 원칙 적용: 데이터는 반드시 알아야 하는 사람만 사용할 수 있습니다. 제로 트러스트 보안은 이러한 원칙을 적용하는 데 도움이 될 수 있습니다.

강력한 인증 요구: HIPAA는 모든 적용 대상 기관이 접속 제어 정책을 적용하는 데 도움이 되는 강력한 인증을 구축하도록 요구합니다.

멀웨어 방어: 랜섬웨어는 병원 및 기타 헬스케어 기관을 공격합니다. 이로 인해 ePHI가 취약해집니다. HIPAA 컴플라이언스는 멀웨어 감염을 방지합니다.

Akamai는 제로 트러스트 보안을 제공하는 포괄적인 솔루션 제품군을 통해 HIPAA 컴플라이언스를 준수하고 유지할 수 있도록 지원합니다. 고객사는 Akamai의 선도적인 보안 솔루션을 업계 최고 수준으로 인정합니다. Akamai의 헬스케어 고객은 Akamai를 사용해 ePHI를 보호하고 최소 권한 원칙 및 강력한 접속 제어를 적용합니다. Akamai의 보안 포트폴리오는 포인트 솔루션 모음에서 포괄적이고 강력한 제로 트러스트 플랫폼으로 성장했습니다. Akamai의 세계적 수준의 솔루션은 데이터 보안, 가용성, 무결성, 기밀성, 개인정보 보호를 포괄하는 HIPAA의 보안 및 개인정보 보호 규정을 지원하는 보안 제어 기능을 제공합니다. Akamai는 IT 환경과 확장된 인프라 전반에 대해 비즈니스 관계자까지 포함하는 심층적인 가시성을 제공합니다.

Akamai Cloud: 클라우드 컴퓨팅, 보안, 콘텐츠 전송을 제공하는 대규모로 분산된 엣지 및 클라우드 플랫폼입니다. Akamai Cloud는 HIPAA 적용 대상 기업이 클라우드 컴퓨팅을 사용하고 규정을 준수할 수 있도록 설계되었습니다.

Akamai Identity Cloud: 개인정보 보호 및 보안은 설계상 Akamai Identity Cloud에 내장되어 있습니다. 이 솔루션은 확장성이 뛰어난 ID 관리를 제공하고 복잡한 사용 사례를 처리합니다. Identity Cloud는 고객 데이터를 매우 안전한 방식으로 저장하고 최소 권한 원칙을 적용해 사이버 공격을 방어합니다. 또한 HIPAA, GDPR, CCPA, PIPEDA 등 규정을 준수하기 위한 동의 관리 기능이 내장되어 있습니다.

HHS는 HIPAA 적용 대상 기업을 다음과 같은 세 가지 클래스로 분류합니다.

1. 헬스케어 공급업체: 의사, 클리닉, 치과 의사, 약국 포함
2. 건강 보험: 건강 보험 회사 및 회사 건강 보험 상품 포함
3. 헬스케어 정보 센터: 다른 주체로부터 비표준 의료 정보를 처리하는 조직 

PHI의 보호는 옴니버스 규정에 의해 확장되어 건강 데이터를 처리하는 모든 비즈니스 관계자를 포함합니다.

HIPAA 규정에 따른 ePHI(electronic Protected Health Information)는 개인 식별 보건 정보 또는 개인 건강 정보를 의미합니다. HIPAA에는 18개의 '식별자'가 포함됩니다. 이러한 식별자는 HIPAA가 다루는 다양한 종류의 식별 데이터를 나타냅니다. 정보의 종류에는 환자 이름, 이메일 주소, 사회보장번호, 전자 건강 기록(EHR), 의료 기록, 생체 인식 데이터 등이 있습니다. 이러한 데이터가 포함된 기록을 해제하려면 환자 승인이 필요합니다.

HIPAA 개인정보 보호 규정의 HIPAA 164.514(a)조에 따른 ' 식별 해제 표준'을 사용해 식별 정보를 제거할 수 있는 경우 ePHI는 HIPAA 제어 대상에서 제외됩니다.

PHI를 생성, 수신, 사용 또는 유지하는 HIPAA 적용 대상 주체는 HIPAA 보안 규칙을 준수해야 합니다. 이 규칙은 ePHI의 기밀성, 무결성, 보안을 보장하는 관리적, 물리적, 기술적 보호 조치를 명시적으로 다룹니다. HIPAA를 준수하고 PHI를 보호하는 데 도움이 되는 기술적 보호 조치는 다음과 같습니다.

• ePHI에 대한 접속 제어
• 개인 또는 기관 인증
• 전송 보안(예: 암호화)

기타 보안 조항에는 직원 컴플라이언스 교육 및 인식, 물리적 접속 보호 조치가 포함됩니다.

HIPAA 개인정보 보호 규정은 2000년 12월에 추가되었으며 2002년 8월에 업데이트되었습니다. 적용 대상 기관이 개별적으로 식별 가능한 건강 정보를 보호하고 보호된 건강 정보의 공개를 제어하기 위한 개인정보 보호 프레임워크를 제공합니다. 관련 데이터도 개인정보 보호 규정의 적용을 받으며, 예를 들면 다음과 같습니다.

• 과거, 현재, 미래의 신체적 또는 정신적 상태
• 상태에 대한 치료
• 치료에 관한 결제 정보

HIPAA 및 HITECH 법(The Health Information Technology for Economic and Clinical Health Act)은 ePHI 보호와 관련이 있습니다. 그러나 HITECH는 HIPAA 암호화 컴플라이언스 요구사항과 '보호되지 않은'(암호화되지 않은) PHI의 데이터 유출 공개를 확대합니다. 즉, 환자는 PHI의 공개 통지를 요청할 수 있습니다.

HIPAA에는 HIPAA 위반 시 유출 통지를 트리거하는 대상을 정의하는 유출 통지 규정이 있습니다. 유출 통지의 기본 규칙은 다음과 같습니다.

• 500명 이상의 개인에게 영향을 미치는 유출: 적용 대상 기관은 유출 후 60일 이내에 부당한 지체 없이 장관에게 통보해야 합니다.
• 500명 미만의 개인에게 영향을 미치는 유출: 적용 대상 기관은 매년, 그러나 유출이 발생한 해당 연도 종료 후 60일 이내에 장관에게 통보할 수 있습니다.

HIPAA 유출 통지 규정은 HIPAA 45 CFR §§ 164.400-414에서 확인할 수 있습니다.

HIPAA 미준수에 대한 처벌에는 HIPAA 위반 건당 최대 5만 달러의 벌금이 포함되며, 형사상 처벌이 포함될 수도 있습니다.