HIPAA | HITECH 데이터 보안 규정 준수
탈레스가 조직이 의료보험 이동성 및 책임에 관한 법률(HIPAA) 및 경제 및 임상 보건을 위한 건강 정보 기술(HITECH) 법을 준수하도록 지원하는 방법
대상 기관은 PHI에 대한 위험을 정확하고 철저하게 평가해야 하며, 비즈니스 협력자는 PHI를 적절하게 보호해야 합니다.
의료보험 이동성 및 책임에 관한 법률(HIPAA)
의료보험 이동성 및 책임에 관한 법률(HIPAA)은 민감한 환자 건강 정보가 환자의 동의나 인지 없이 공개되지 않도록 보호하기 위해 국가 표준으로 마련된 미국 연방법입니다. 미국 보건복지부(HHS)는 HIPAA의 요건을 이행하기 위해 HIPAA 개인정보 보호 규칙을 발표했습니다. HIPAA 보안 규칙은 개인정보 보호 규칙이 적용되는 정보의 하위 집합을 보호합니다.
HIPAA 규칙 및 규정에는 규정 준수에 필요한 세 가지 유형의 보안 보호조치가 명시되어 있습니다:
- 관리적 보호조치는 주로 PHI의 무결성에 대한 잠재적 취약성과 위험을 식별하기 위해 지속적인 위험 평가를 수행해야 하는 요건과 관련이 있습니다.
- 물리적 보호조치는 PHI에 대한 무단 액세스를 방지하고 화재 및 기타 환경적 위험으로부터 데이터를 보호하기 위해 구현해야 하는 조치에 중점을 둡니다.
- 기술적 보호조치 는 전자 네트워크에서 PHI가 통신될 때 데이터 보안을 보장하기 위해 마련해야 하는 통제와 관련이 있습니다
HITECH(경제 및 임상 보건을 위한 건강 정보 기술) 법이란 무엇인가요?
2009년 ARRA(American Recovery and Reinvestment Act, 미 경기부양책)의 일부로 제정된 HITECH 법은 HIPAA 암호화 규정 준수 요건 목록을 확장하여 비즈니스 협력자의 직원, 공급업체, 관련 단체가 가진 데이터를 포함하여 ‘보호되지 않은(암호화되지 않은)' 개인 건강 기록의 데이터 유출을 공개하도록 요구합니다.
어떤 회사가 HIPAA의 적용을 받나요?
HIPAA 규정은 적용 대상 법인 및 비즈니스 협력자에게 적용됩니다:
- 적용 대상 기관에는 건강 플랜, 건강 보험 기관, 병원, 진료소, 약국, 의사, 치과 등 보호 대상 개인 건강 정보(PHI)를 생성, 수신, 유지, 전송 또는 액세스하는 모든 의료 서비스 제공업체가 포함됩니다.
- 비즈니스 협력자에는 해당 법인을 대신하여 ePHI를 생성, 수신, 유지, 전송 또는 액세스할 수 있는 제3자 서비스 제공업체가 포함됩니다. 예를 들어 IT 계약업체나 클라우드 스토리지 공급업체가 이에 해당합니다.
HIPAA는 언제 시행되었나요?
HIPAA는 1996년 미국 의회에서 제정되었습니다. 이 법은 이후 여러 차례 개정되었는데, 2009년에는 위반에 대한 새로운 처벌 구조를 추가하고 보안 규정 미준수로 인한 데이터 침해에 대해 비즈니스 협력자가 직접 책임을 지도록 하는 경제 및 임상 보건을 위한 건강 정보 기술(HITECH) 법이 통과되는 등 여러 차례 개정된 바 있습니다.
HIPAA 규정 미준수에 대한 처벌은 어떻게 되나요?
HIPAA 미준수에 대한 벌금은 과실 정도에 따라 달라지며 개별 위반 건당 $100에서 $50,000까지, 연간 최대 $190만의 벌금이 부과될 수 있습니다. 위반 시 책임자에게는 1년에서 10년의 징역형을 받을 수 있습니다.
탈레스는 HIPAA 규정 준수를 어떻게 지원하나요?
탈레스는 법의 세 섹션에 따라 보호 대상 건강 정보(PHI)를 보호하기 위한 필수 요건을 해결하여 조직이 HIPAA를 준수할 수 있도록 지원합니다.
HIPAA § 164.308 관리적 보호조치
탈레스는 다음과 같은 방법으로 조직을 지원합니다.
- 민감한 데이터 검색 및 분류, 위험 분석 수행
- 제3자(비즈니스 협력자) 위험 감소
HIPAA 요건:
1. 다음을 실시해야 한다...:
"...전자 보호 의료 정보의 기밀성 및 무결성에 대한 위험 평가..."
탈레스 솔루션:
CipherTrust Data Discovery and Classification은 온프레미스 및 클라우드에서 구조화 및 비구조화된 민감한 데이터를 식별합니다. 기본 제공 템플릿으로 규제 대상 데이터를 신속하게 식별하고, 보안 위험을 강조하며, 규정 준수 격차를 발견할 수 있습니다.
8. b. 1:
"적용 대상 기관은 비즈니스 협력자가 정보를 적절히 보호할 경우 ... 비즈니스 협력자가 전자 PHI를 생성, 수신, 유지 또는 전송하는 것을 허용할 수 있다."
저장 중 데이터 보호:
CipherTrust Cloud Key Manager는 제3자 클라우드 제공업체가 'BYOK(Bring Your Own Key)' 시스템에서 호스팅하는 민감한 데이터를 보호하는 키를 금융 기관의 완전한 통제 하에 온프레미스로 유지함으로써 제3자 위험을 줄일 수 있습니다.
CipherTrust Transparent Encryption은 권한이 있는 사용자와 프로세스만 암호화되지 않은 데이터를 볼 수 있는 관리 역할을 완벽하게 분리합니다. 데이터에 액세스할 수 있는 정당한 사유가 제공되지 않는 한, 타사 클라우드에 저장된 민감한 데이터는 권한이 없는 사용자가 일반 텍스트로 액세스할 수 없습니다.
탈레스 데이터 보안 솔루션은 고가용성 및 백업을 기본으로 제공하는 탈레스 Data Protection On Demand(DPoD)부터 클라우드 기반 Luna Cloud HSM 및 CipherTrust 키 관리 서비스, 제로화 옵션을 제공하는 HSE 네트워크 암호화 어플라이언스까지 가장 포괄적인 데이터 보호 기능을 제공합니다.
HIPAA § 164.312 기술적 보호조치
대상 기관은 보호 대상 정보에 대한 액세스를 보호하고, PHI에 액세스하는 개인 및 단체를 인증하며, 저장 및 전송 중인 PHI를 암호화하기 위해 기술적 보호조치를 구현해야 합니다.
탈레스는 다음과 같은 방법으로 조직을 지원합니다.
- PHI에 대한 액세스 관리
- 사용자 및 프로세스 인증
- 저장 중 PHI 암호화 및 암호키 보호
- 전송 중인 PHI 암호화
A. 1:
"액세스 권한이 부여된 사람 또는 소프트웨어 프로그램만 PHI에 액세스할 수 있도록 허용한다"
탈레스 OneWelcome ID 및 액세스 관리 솔루션은 역할과 상황에 따라 내부 및 외부 사용자의 액세스를 제한합니다. 강력한 인증(MFA)을 기반으로 세분화된 액세스 정책과 세분화된 권한 부여 정책을 통해 적절한 사용자에게 적절한 리소스에 대한 액세스 권한을 적시에 부여하여 무단 액세스의 위험을 최소화할 수 있습니다.
탈레스 OneWelcome 동의 및 기본 설정 관리 모듈을 통해 조직은 최종 소비자의 동의를 수집하여 금융 기관이 동의한 데이터에 대한 명확한 가시성을 확보함으로써 활용이 허용된 데이터에 대한 액세스를 관리할 수 있습니다.
CipherTrust Transparent Encryption은 민감한 데이터를 암호화하고 사용자, 프로세스, 파일 유형, 시간 및 기타 매개변수별로 적용할 수 있는 세분화된 권한 사용자 액세스 관리 정책을 시행합니다. 권한이 부여된 사용자와 프로세스만 암호화되지 않은 데이터를 볼 수 있는 완전한 역할 분리를 제공합니다.
D:
"전자 PHI에 액세스하려는 개인 또는 단체가 청구 당사자임을 인증한다."
SafeNet Trusted Access는 가장 광범위한 하드웨어 및 소프트웨어 인증 방법과 폼 팩터로 상용 다중 인증을 제공하는 클라우드 기반 액세스 관리 솔루션입니다.
2. ii:
"전자적으로 보호되는 건강 정보를 암호화하고 해독하는 메커니즘을 구현한다."
CipherTrust Data Security Platform은 파일, 볼륨, 데이터베이스에 저장 중인 데이터를 보호하기 위한 다양한 기능을 제공합니다. 특히 그 중에서도:
- CipherTrust Transparent Encryption은 중앙 집중식 키 관리 및 권한 있는 사용자 액세스 제어를 통해 저장 데이터 암호화를 제공합니다. 이를 통해 온프레미스 환경이나 멀티 클라우드 환경, 빅데이터 및 컨테이너 환경 등 데이터 위치가 어디든지 보호할 수 있습니다.
- CipherTrust Tokenization을 사용하면 데이터베이스의 민감한 정보를 가명화하면서 집계 데이터 분석 기능을 유지할 수 있습니다.
- CipherTrust Enterprise Key Management는 다양한 사용 사례에서 클라우드 및 엔터프라이즈 환경의 키 관리를 간소화하고 강화합니다.
Luna Hardware Security Modules(HSM)는 암호키를 보호하고 안전한 암호화 처리, 키 생성 및 보호, 암호화 등을 위한 FIPS 140-2 레벨 3의 강화된 변조 방지 환경을 제공합니다. Luna HSM은 온프레미스, 서비스형 클라우드, 하이브리드 환경 전반에서 사용할 수 있습니다.
E. 1:
"네트워크를 ... 통해 전송되는 PHI를 보호하기 위한 기술적 보안 조치를 구현한다"
탈레스 고속 암호 생성기(High Speed Encryptor, HSE)는 네트워크에 의존하지 않는 이동 데이터 암호화(계층 2, 3, 4)를 제공하여, 사이트 간 데이터 이동 시 또는 온프레미스에서 클라우드로 데이터를 이동할 때 데이터를 안전하게 보호합니다. 당사의 네트워크 암호화 솔루션을 통해 고객은 성능 저하 없이 데이터, 비디오, 음성, 메타데이터를 도청, 감시, 공개 및 은밀한 가로채기로부터 더욱 효과적으로 보호할 수 있습니다.
HIPAA § 164.514 보호 대상 의료 정보의 사용 및 공개와 관련된 기타 요건
개인 식별이 가능한 건강 정보가 아닌 경우 건강 정보는 PHI로 간주되지 않을 수 있습니다.
탈레스는 다음과 같은 방법으로 조직을 지원합니다.
- 토큰화를 사용한 개인 건강 정보의 가명화 및 비식별화.
A:
"보호 대상 건강 정보의 비식별화. 개인을 식별할 수 없는 건강 정보는 ... 개인을 식별할 수 있는 건강 정보에 해당하지 않는다."
CipherTrust Tokenization를 사용하면 분석 중 또는 보고서에 민감한 데이터를 노출하지 않고 집계 데이터를 분석할 수 있는 기능을 유지하면서 데이터베이스의 민감한 정보를 가명화할 수 있습니다.
관련 자료
Data Security Solutions for HIPAA Compliance - Solution Brief
Ensure HIPAA compliance and implement HIPAA Privacy & Security Rules for comprehensive protection of patient health information, with our data security solutions. The Health Insurance Portability and Accountability Act (HIPAA) is a US federal law that created national...
Protecting healthcare and life sciences data from a cyber-attack pandemic - eBook
Regulations, such as HIPAA and GDPR, and global standards such as ISO 27799:2016 on health informatics, raise the bar for healthcare and life sciences organizations, obligating the protection of sensitive personal data and levying substantial fines for not doing so. Learn how...
기타 주요 데이터 보호 및 보안 지침
GDPR
규제
활성화하기
아마도 현재까지 가장 포괄적인 데이터 개인 정보 보호 표준인 GDPR은 조직 본사의 위치에 관계없이 EU 시민의 개인 데이터를 처리하는 모든 조직에 영향을 미칩니다.
PCI DSS
규정
활성화하기
신용 카드 및 직불 카드 결제 처리를 하든 모든 조직은 계정 데이터의 처리, 저장 및 전송을 위한 엄격한 PCI DSS 규정 요구 사항을 준수해야 합니다.
데이터 침해 통지법
규제
활성화하기
개인정보 유출에 따른 데이터 침해 통보 요건은 전 세계 각국에 의해 제정되었습니다. 이는 지역에 따라 상이하지만 거의 보편적으로 "세이프 하버(safe harbour)" 조항을 포함하고 있습니다.
