이 건강보험 이동성 및 접근성에 관한 법률(Health Insurance Portability and Accessibility Act) (HIPAA)는 미국 내에서 환자의 의료 정보를 보호하기 위해 고안된 규정입니다. 보호된 건강 정보(PHI)에 액세스할 수 있는 특정 조직은 HIPAA 규정에 설명된 보안 제어, 프로세스 및 절차를 구현해야 합니다.
HIPAA는 요구 사항을 준수해야 하는 두 가지 유형의 조직을 정의합니다.
HIPAA에 따라 적용 대상과 비즈니스 관련자 모두 HIPAA를 준수해야 합니다. 적용 대상은 보건복지부(HHS) 민권 사무국(OCR)의 직접적인 규제를 받습니다. HIPAA 요구 사항은 해당 주체와의 계약을 통해 비즈니스 관련자에게 적용됩니다.
그러나 이 규정은 법률에 따른 대상 법인 또는 비즈니스 관련자의 정의에 부합하는 조직에만 적용됩니다. 건강 정보에 액세스할 수 있지만 해당 기관으로부터 정보를 받지 않는 다른 조직에는 HIPAA 규정이 적용되지 않습니다. 예를 들어 사용자로부터 직접 건강 정보를 수집하지만 의료 기관이 아닌 건강 및 피트니스 앱 개발자는 지침을 준수할 필요가 없습니다.
그러나 이러한 조직은 그렇게 함으로써 이점을 얻을 수 있습니다. HIPAA는 PHI를 보호하기 위한 모범 사례를 설명하며, 이러한 모범 사례를 준수하면 사이버 위협에 대한 조직의 노출과 잠재적인 데이터 침해의 가능성 및 영향을 줄일 수 있습니다. 또한 침해 또는 보안 사고가 발생한 경우 규정을 준수하면 회사가 실사를 수행하고 고객의 데이터를 보호하기 위해 최선을 다했음을 입증하는 데 도움이 됩니다.
HIPAA는 개인 정보 보호 규칙과 보안 규칙의 두 가지 주요 규칙으로 나뉩니다. 이러한 규칙 외에도 조직이 PHI 위반을 보고하는 방법을 설명하는 위반 알림 규칙과 비즈니스 관련자도 포함하도록 HIPAA 요구 사항을 확장한 옴니버스 규칙이 있습니다.
개인 정보 보호 규칙. 개인 식별 가능한 건강 정보의 개인 정보 보호 표준(개인 정보 보호 규칙)은 의료 기관이 위탁된 특정 유형의 건강 정보를 보호하는 방법을 규정합니다. 개인 정보 보호 규칙은 PHI에 액세스하고 공개할 수 있는 경우를 정의합니다. 또한 해당 주체가 PHI를 보호하기 위해 마련해야 하는 보호 장치를 정의하고 환자에게 PHI에 대한 특정 권리를 부여합니다.
보안 규칙. 전자 보호 대상 건강 정보 보호를 위한 보안 표준(보안 규칙)은 전자적으로 저장되거나 전송되는 개인 건강 정보(PHI)에 대해 기업이 마련해야 하는 IT 보안 제어에 대해 설명합니다. 개인 정보 보호 규칙에 설명된 데이터 보호 요구 사항을 충족하기 위해 조직이 갖추어야 하는 구체적인 IT 보안 제어, 프로세스 및 절차를 제공합니다.
HIPAA는 환자가 피보험 대상 기관 및 비즈니스 관련자에게 제공하는 PHI를 보호하기 위해 고안되었습니다. HHS는 다음과 같은 18가지 유형의 PHI 식별자를 정의합니다.
HIPAA 컴플라이언스는 적용 대상에게 의무 사항이며, 이러한 조직은 컴플라이언스를 사용하지 않을 경우 불이익을 받을 수 있습니다. HIPAA는 다음과 같은 4가지 위반 단계를 정의합니다.
대부분의 HIPAA 위반에는 의도적이든 아니든 PHI 위반이 포함됩니다. 몇 가지 일반적인 HIPAA 위반은 다음과 같습니다.
HIPAA 컴플라이언스 달성은 다단계 프로세스입니다. 취해야 할 몇 가지 주요 단계는 다음과 같습니다.
HIPAA의 주요 목표는 해당 주체 및 비즈니스 관련자에게 위탁된 PHI를 보호하는 것입니다. HIPAA 개인 정보 보호 및 보안 규칙은 조직이 PHI에 대한 액세스를 제어 및 모니터링하고 무단 액세스로부터 보호하도록 의무화합니다.
체크 포인트는 도움이 되는 다양한 솔루션을 제공합니다. 의료 서비스 제공자 및 기타 조직은 HIPAA 및 기타 규정으로 컴플라이언스를 달성합니다. 체크 포인트 CloudGuard가 수행합니다 컴플라이언스 모니터링, 데이터 수집 및 클라우드 기반 환경을 위한 보고서 생성. CloudGuard로 클라우드 컴플라이언스를 달성하는 방법에 대해 자세히 알아보려면 다음을 방문하십시오. 무료 데모 신청하기.
피드백