의료보험 이동성 및 책임에 관한 법률(HIPAA)
'의료정보 이동 및 책임에 관한 법률(HIPAA)'은 민감한 환자 건강 정보가 환자의 동의나 모르게 공개되지 않도록 보호하기 위해 국가적 기준을 마련한 미국 연방법입니다. 미국 보건복지부(HHS)는 HIPAA의 요건을 이행하기 위해 HIPAA 개인정보 보호 규칙을 발표했습니다. HIPAA 보안 규칙은 개인 정보 보호 규칙이 적용되는 정보의 일부를 보호합니다.
HIPAA 규칙 및 규정에는 규정 준수에 필요한 세 가지 유형의 보안 보호 조치가 명시되어 있습니다.
- 관리적 보호 조치는 주로 PHI의 무결성에 대한 잠재적 취약성과 위험을 식별하기 위해 지속적인 위험 평가를 수행해야 하는 요건과 관련이 있습니다.
- 물리적 보호 조치는 PHI에 대한 무단 액세스를 방지하고 화재 및 기타 환경적 위험으로부터 데이터를 보호하기 위해 구현해야 하는 조치에 중점을 둡니다.
- 기술적 보호 조치는 전자 네트워크에서 PHI가 전달될 때 데이터 보안을 보장하기 위해 마련해야 하는 제어와 관련이 있습니다
규정 | 현재 시행 중
2009년 ARRA(American Recovery and Reinvestment Act, 미 경기 부양 및 재투자법)의 일부로 제정된 HITECH 법은 HIPAA 암호화 규정 준수 요건 목록을 확장하여 협력사의 직원, 공급업체, 관련 단체가 가진 데이터를 포함하여 ‘보호되지 않은(암호화되지 않은)' 개인 건강 기록의 데이터 유출 사고를 공개하도록 요구합니다.
HIPAA 규정은 적용 대상 법인 및 협력사에 적용됩니다.
- 적용 대상 기관에는 건강 보험, 건강 보험 기관, 병원, 진료소, 약국, 의사, 치과 등 보호 대상인 개인 건강 정보(PHI)를 생성, 수신, 유지, 전송 또는 액세스하는 모든 의료 서비스 제공업체가 포함됩니다.
- 협력사에는 해당 법인을 대신하여 ePHI를 생성, 수신, 유지, 전송 또는 액세스할 수 있는 제3자 서비스 제공업체가 포함됩니다. 예를 들어 IT 계약업체나 클라우드 스토리지 공급업체가 이에 해당합니다.
HIPAA는 1996년 미국 의회에서 제정되었습니다. 그 이후 이 법은 여러 차례 개정되었는데, 2009년에는 경제 및 임상 건강을 위한 건강 정보 기술법(HITECH)이 통과되어 위반에 대한 새로운 제재 체계가 추가되었고, 보안 규칙을 준수하지 않아 발생한 데이터 침해에 대해 협력사가 직접적인 책임을 지도록 만들어졌습니다.
HIPAA 미준수에 대한 과태료는 과실 정도에 따라 달라지며 개별 위반 건당 100달러에서 5만 달러까지, 연간 최대 190만 달러의 과태료가 부과될 수 있습니다. 위반 시 책임자에게는 1년에서 10년의 징역형을 받을 수 있습니다.
탈레스가 HIPAA 규정 준수를 지원하는 방법
탈레스의 솔루션은 규정 준수를 간소화하고 보안을 자동화하여 보안 및 규정 준수 팀의 부담을 줄임으로써 조직이 HIPAA를 준수할 수 있도록 지원합니다. Dropbox는 법안의 네 가지 항목에 따라 보호 대상 건강 정보(PHI)를 보호하기 위한 필수 요건을 충족하여 조직이 HIPAA를 준수할 수 있도록 지원합니다.
탈레스는 애플리케이션 보안, 데이터 보안, 신원 및 액세스 관리라는 사이버보안의 세 가지 핵심 영역에서 포괄적인 사이버 보안 솔루션을 제공합니다.
HIPAA 규정 준수 솔루션
애플리케이션 보안
클라우드, 온프레미스 또는 하이브리드 모델에서 규모에 맞게 애플리케이션과 API를 보호합니다. 시장을 선도하는 당사의 제품군에는 웹 애플리케이션 방화벽(WAF), 분산 서비스 거부(DDoS) 및 악성 BOT 공격에 대한 보호, API 보안, 안전한 콘텐츠 전송 네트워크(CDN), 런타임 애플리케이션 자가 보호(RASP)가 포함됩니다.
데이터 보안
암호화 토큰화 및 키 관리를 사용하여 하이브리드 IT 전반에서 민감 데이터를 발견·분류하고 저장·전송·사용 중에 어디서나 자동으로 보호합니다. 탈레스 솔루션은 정확한 위험 평가를 위해 잠재적 위험을 식별·평가하고 우선순위를 정하며, 비정상적인 행동을 탐지하고 활동을 모니터링함으로써 규정 준수 여부를 검증하여 조직이 노력을 어디에 투자할지 우선순위를 정할 수 있도록 지원합니다.
ID 및 액세스 관리
고객, 직원, 협력사를 대상으로 애플리케이션과 디지털 서비스에 대한 원활하고 안전하며 신뢰할 수 있는 액세스를 제공합니다. 당사 솔루션은 세분화된 액세스 정책과 다중 인증을 통해 역할과 상황에 따라 내·외부 사용자의 액세스를 제한하여, 적절한 사용자가 적시에 적절한 리소스에 대한 액세스 권한을 받을 수 있도록 지원합니다.
HIPAA 164.306 보안 표준: 일반 규칙
탈레스의 지원 방식:
- 하이브리드 IT 전반에서 민감한 데이터를 식별, 분류, 보호, 모니터링하여 데이터를 항상 안전하게 보호하고 규정을 준수할 수 있습니다.
HIPAA § 164.308 행정적 보호 조치
탈레스의 지원 방식:
- 하이브리드 IT 전반에서 위험에 노출된 정형·비정형 민감 데이터를 식별합니다.
- 데이터 자산의 위험 점수를 결정하여 잠재적 위험을 평가합니다.
- 현재 규정 준수 상태를 파악하고 부족한 부분을 문서화합니다.
- 모든 공개, 비공개 및 섀도 API에 대한 잠재적 위험을 발견 및 분류하고 API 위험 평가를 수행합니다.
탈레스의 지원 방식:
- 랜섬웨어가 침투하기 전에 I/O를 모니터링하고 의심스러운 활동을 차단합니다.
- 악성 소프트웨어와 사용자가 민감한 데이터에 액세스하는 것을 방지합니다.
- 서명, 행동 및 평판 분석을 사용하여 모든 악성 프로그램 주입 공격을 차단합니다.
- 웹 애플리케이션 방화벽을 사용하여 사이버 위협을 탐지하고 예방합니다.
- DDoS 공격과 악성 봇으로부터 중요한 네트워크 자산을 보호합니다.
탈레스의 지원 방식:
- 클라우드 호스팅 데이터를 보호하는 암호키에 대한 온프레미스 제어를 유지하여 제3자로 인한 위험을 줄입니다.
- 클라우드 제공업체 관리자와 조직 간의 역할 분리를 시행하고 민감한 데이터에 대한 액세스를 제한합니다.
- 원치 않는 활동으로 인해 공급망 활동이 중단되는 것을 감지 및 방지할 수 있도록 이상 징후를 모니터링하고 경고합니다.
- 공급업체, 파트너 또는 제3자 사용자와의 관계 관리를 활성화하고, 액세스 권한을 명확하게 위임합니다.
- 관계 기반의 세분화된 권한 부여를 사용하여 권한을 최소화합니다.
- 타사 사용자를 위한 MFA를 활성화하여 피싱 공격을 차단합니다.
HIPAA § 164.312 기술적 보호 조치
탈레스의 지원 방식:
- 정책을 통해 역할과 상황에 따라 시스템 및 데이터에 대한 액세스를 제한합니다.
- 위험 평가에 따라 상황에 맞는 보안 조치를 적용합니다.
- 스마트카드를 활용하여 민감한 시설에 대한 물리적 액세스를 구현합니다.
- 고객이 회사 시스템에서 자신의 정보에 안전하게 액세스할 수 있도록 합니다.
- 정책을 통해 역할과 상황에 따라 시스템 및 데이터에 대한 액세스를 제한합니다.
탈레스의 지원 방식:
- 하이브리드 IT의 정형 및 비정형 데이터에 대한 데이터 활동을 모니터링합니다.
- 모든 시스템에 대한 모든 액세스 이벤트에 대한 감사 추적 및 보고서를 생성하고 로그를 SIEM으로 스트리밍합니다.
탈레스의 지원 방식:
- 가장 광범위한 하드웨어 및 소프트웨어 수단을 통해 다중 인증(MFA)를 활성화합니다.
- 데이터/애플리케이션의 민감도에 따라 적응형 인증 정책을 구축 및 배포합니다.
- 피싱 및 중간자 공격으로부터 보호합니다.
탈레스의 지원 방식:
- 온프레미스, 클라우드, 빅데이터 또는 컨테이너 환경에서 저장된 데이터를 암호화합니다.
- FIPS 140-2 레벨 3 환경에서 암호키를 보호합니다.
- 데이터베이스의 민감한 정보를 익명화합니다.
- 기밀 컴퓨팅을 활용하여 사용 중인 데이터를 보호합니다.
- 민감한 데이터 활동에 대해 완전한 가시성을 확보하고, 누가 접근 권한이 있는지 추적하고, 그들이 하는 일을 감사하고, 문서화합니다.
- 퀀텀 업그레이드 후에도 암호화 민첩성을 유지할 수 있도록 설계된 보안 제품입니다.
탈레스의 지원 방식:
- 고속 암호화로 이동 중인 데이터를 보호합니다.
HIPAA § 164.514 보호 대상인 의료 정보의 사용 및 공개와 관련된 기타 요건
관련 자료
기타 주요 데이터 보호 및 보안 규정
PCI HSM
의무 규정 | 현재 시행 중
PCI HSM 규격은 특히 결제 산업을 위한 HSM의 논리적·물리적 보안 준수 기준을 정의합니다. PCI HSM 규제 준수 인증은 이러한 기준을 충족하는 데 달려 있습니다.
DORA
규정 | 현재 시행 중
DORA는 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다.
데이터 유출 통지법
규정 | 현재 시행 중
전 세계 각국에서는 개인 정보 유출에 따른 데이터 유출 통지 요건을 제정하고 있습니다. 관할권에 따라 다르지만 거의 보편적으로 '세이프 하버' 조항을 포함합니다.
GLBA
규정 | 현재 시행 중
'1999년 금융 서비스 현대화법'이라고도 불리는 '그램 리치 블라일리 법(GLBA)'은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감 데이터를 보호할 것을 요구합니다.