기술은 데이터 관리의 핵심 도구로 진화했습니다. 기업이 민감한 정보가 담긴 물리적 파일을 관리하던 시대는 지났습니다. 이제 기술의 발전으로 의료 기관은 전자 건강 기록(EHR)을 도입하여 개인과 의료진이 원격으로 정보에 액세스할 수 있게 되었습니다. 하지만 이러한 디지털 전환은 새로운 취약점을 야기합니다. 이러한 위협에 대응하고 전자 보호 건강 정보(ePHI)의 안전한 관리를 보장하기 위해 HIPAA 기술 안전장치가 개발되었습니다..

HIPAA에서 PHI란 무엇인가요?

PHI(보호 대상 건강 정보)는 HIPAA 적용 대상 단체 또는 비즈니스 관계자가 사용하는 모든 식별 가능한 건강 정보를 의미합니다. 보호 대상 건강 정보로 간주되는 HIPAA 데이터에는 18가지 유형이 있으며, 개인의 이름, 주소 또는 의료 기록 등이 PHI의 일부 예입니다.

PII와 PHI 비교: 차이점

개인 식별 정보(PII)는 PHI와 밀접한 관련이 있습니다. 이는 특정 개인을 식별하는 데 사용할 수 있는 모든 환자 데이터로 정의됩니다. 여기에는 사회보장번호나 환자 식별 번호와 같은 식별자가 포함될 수 있습니다. 간단히 말해, PII는 누군가의 신원을 구별하거나 추적하는 데 사용됩니다. 기본적으로 이 둘의 차이점은 PHI는 이러한 식별 가능한 의료 정보를 보유한 HIPAA 적용 대상 기관과 관련이 있다는 것입니다.

5가지 HIPAA 기술적 보호 조치

HIPAA 행정 간소화 규정 텍스트에 정의된 대로 기술적 보호조치는 "전자적으로 보호되는 건강 정보를 보호하고 이에 대한 액세스를 제어하는 기술 및 그 사용에 대한 정책과 절차"입니다. 이 보호 조치를 준수하기 위해 적용 대상 기관은 다음과 같은 기술적 보호 조치를 준수하여 HIPAA 준수를 보장해야 합니다.

HIPAA 기술 보호 조치: 액세스 제어

기술적 보호조치의 일부인 액세스 제어는 데이터 유출을 방지하는 데 중요한 역할을 합니다. 이는 ePHI에 대한 무단 액세스를 제한하고 데이터 유출 위험을 줄입니다. 기업은 HIPAA 보안 규칙에 따라 건강 정보에 대한 액세스를 제어하는 절차를 구현합니다. 첨단 기술의 등장으로 기업은 이제 생체인식 또는 AI 기반 액세스 제어 시스템과 같은 시스템을 활용하여 더 높은 수준의 보안을 제공할 수 있습니다. 워크스테이션 및 정보 시스템의 자동 로그오프, 고유 이름 및 고유 사용자 식별 요구, 이러한 시스템의 물리적 보호 장치와 같은 정책을 구현하세요.

HIPAA 기술적 보호조치: 감사 제어

액세스 제어가 이동 경로의 이탈을 방지하는 반면, 감사 제어는 이동 경로를 추적하는 역할을 합니다. 이를 달성하는 방법에는 여러 가지가 있습니다. 가장 일반적인 방법 중 하나는 전자 PHI가 포함된 파일에 대한 액세스 및 사용과 관련된 활동을 기록하는 것입니다. 이 정보를 조사하기 위해 불만이 제기될 때까지 기다리지 않는 것이 중요합니다. 사전 예방적인 조직은 세션 활동을 감사하는 업무를 IT 팀, 관리자, 팀장 또는 이 분야를 전문으로 하는 감사관에게 할당합니다.

좋은 감사 제어 메커니즘은 단순히 데이터를 수집하는 것 이상을 수반합니다. 요청이 있을 때 보고서를 생성할 수 있어야 합니다. 이러한 데이터에는 특정 파일에 액세스한 사람 수와 시간 등이 포함될 수 있습니다. 또한 규정 위반이 의심되는 특정 직원의 세션 활동도 살펴볼 수 있습니다. 규정 위반이 고의적인 경우 감사 보고서는 위반이 회사 전체의 문제나 느슨한 정책 때문이 아니라 한 직원의 행동임을 보여줌으로써 조직을 보호하는 데 도움이 됩니다.

감사 통제는 해당 조직과 조사자가 취약점을 유발하는 패턴을 발견하는 데 도움이 될 수 있습니다. 때로는 의도하지 않은 경우도 있습니다. 예를 들어 신입 직원이 회사 정책의 모든 기술적 권장 사항을 완전히 이해하지 못하거나 따르지 않을 수 있습니다.

HIPAA 기술 보호 조치: PHI 및 데이터 무결성

HHS는 데이터 무결성을"부적절한 변경 또는 파기"를 경험하지 않은 데이터의 특성으로 정의합니다. HHS는 이러한 경우 환자 안전 문제를 주요 관심사 중 하나로 파악하고 있습니다. 누락되거나 변경된 정보는 누군가가 잘못된 진단, 치료 또는 약물 치료를 받게 할 수 있습니다.

전문가들은 해커나 의료진 등 다른 사람의 악의적인 행동을 의심할 가능성이 가장 높습니다. 그러나 데이터는 자체적으로 손상될 수 있습니다. 시스템의 결함이나 파일 저장 중 오류로 인해 의도하지 않은 무단 변경이 발생할 수 있습니다.

데이터 무결성을 유지하는 가장 좋은 방법 중 하나는 모든 PHI 데이터를 최소 6년 동안 오프사이트에 저장하는 것입니다. 데이터는 원래 형식으로 저장되어야 하며 수정할 수 없어야 합니다. 새로운 데이터가 생기면 새 파일을 만들어야 할 수도 있습니다.

HIPAA 기술적 보호 조치: 개인 또는 법인 인증

액세스 제어, 감사 제어 및 무결성을 준수하기 위해 적용 대상 기업은 인증 기능에 투자해야 합니다. 이 단계를 처리하는 방법에는 여러 가지가 있습니다. 가장 일반적인 방법으로는 이메일, 전화, 앱 또는 웹사이트 사용, 조직을 직접 방문하는 방법 등이 있습니다.

인증은 직원만큼이나 환자에게도 중요합니다. 앞서 설명한 것처럼 개별 로그인을 사용하면 세션 활동을 쉽게 추적할 수 있습니다. 인증과 관련하여 특정 정보에 액세스해서는 안 되는 사람이 시스템에 들어가기 위한 비밀번호에 액세스할 수 없다는 가정이 전제되어야 합니다.

사람들이 전화, 이메일 또는 직접 방문하는 경우에도 증거를 제시하는 것이 필수적입니다. 신원 확인 정보에는 이름과 사진이 있는 정부 발급 신분증, 주민등록번호 또는 기타 개인 정보가 포함될 수 있습니다. 예를 들어 일부 보험회사는 생년월일이나 주소지를 요청할 수 있습니다.

HIPAA 기술적 보호 조치: 전송 보안

PHI를 보호하는 데 있어 가장 어려운 측면 중 하나는 이동 중일 때입니다. 당사자 간에 데이터를 이동하는 경우, 심지어 당사자가 모두 승인된 경우에도 취약점이 발생할 수 있습니다. 한 당사자가 다른 당사자만큼 데이터를 보호하지 못할 수도 있습니다. 또한 연결을 제공하는 네트워크에 취약점이 있을 수도 있습니다. 전송 취약점은 사이버 범죄자가 회사를 해킹하지 않고도 데이터를 가로채고 훔치는 것을 더 쉽게 만들 수 있습니다.

HHS는 전송 중 데이터를 보호하기 위해 두 가지 주요 도구를 사용할 것을 권장합니다. 첫 번째는 무결성 제어이고 두 번째는 암호화입니다. 무결성 제어는 전송된 데이터와 수신된 데이터가 동일한지 확인하는 데 도움이 됩니다. 조직은 네트워크 통신 프로토콜을 업데이트하여 이를 달성할 수 있습니다. 메시지 인증 코드도 효과적입니다.

이메일암호화는 조금 더 복잡합니다. 데이터를 원래의 형태에서 권한이 없는 사람이 이해할 수 없는 형태로 변경해야 합니다. 또한 조직은 데이터의 무결성을 손상시키지 않고 이를 수행해야 합니다. 다행히도 적용 대상 기업이 사용할 수 있는 여러 유형의 데이터 암호화 도구가 있습니다.

한 가지 중요한 점은 암호화 도구가 의도한 대로 작동하려면 발신자와 수신자 모두 동일하거나 호환되는 소프트웨어에 액세스할 수 있어야 한다는 것입니다. 조직 전체에서 사용할 수 있는 하나의 도구를 사용하는 것이 가장 좋습니다.

기술적 보호 조치가 중요한 이유

PHI를 보호하는 것이 중요한 이유는 크게 두 가지입니다. 첫 번째는 윤리이고 두 번째는 법입니다. 윤리적 관점에서 볼 때 환자는 개인정보에 대한 권리가 있습니다. 무단 액세스는 이를 위반하는 것이며 매우 민감한 정보가 잘못된 사람의 손에 들어갈 수 있습니다. 데이터 손상은 환자의 생명에 부정적인 영향을 미치고 고객과 회사에 대한 신뢰에 변화를 가져올 수 있습니다.

기술적 보안 보호 조치의 목적은 무엇인가요?

법적 측면과 관련하여 HIPAA 개인정보 보호 규칙은 PHI를 취급하는 회사가 이러한 데이터를 더 잘 보호하도록 의무화하고 있습니다. HIPAA를 위반하는 기업과 직원은 소송을 당할 수 있습니다. 벌금은 최고 25만 달러까지 부과될 수 있습니다. 또한 이에 해당하는 조직에는 세 가지 유형이 있습니다:

의료 정보 센터
건강 보험 제공자
의료 서비스 제공자

에 따르면 개인정보 보호 규정은 적용 대상 기업이 데이터를 보호하기 위해 취해야 할 구체적인 조치에 대해 자세히 설명하지 않습니다. 다만 기업이 데이터 보안을 우선순위로 삼을 것을 요구하고 있습니다. 그럼에도 불구하고 위에서 강조한 5가지 기술적 보호조치의 대부분은 HHS의 권장 사항을 따릅니다.

PHI 표준에 대한 기술적 보호조치를 충족하는 방법

대부분의 전문가는 기술에 대한 배경 지식이 없더라도 HIPAA 기술적 보호조치에 대해 전반적으로 이해하고 있습니다. 반면에 적절한 구현을 위해서는 강력한 기술적 노하우가 필요합니다. 이를 위해 기업은 필요한 기술을 제공하는 파트너를 선택해야 합니다.

PubNub은 상호 연결성을 향상시킬 뿐만 아니라 데이터 안전을 우선시하는 고객용 API를 구축합니다. 또한 귀사와 귀사의 고객 또는 환자의 요구사항을 충족할 수 있도록 완전히 사용자 정의 가능한 제품을 제공합니다. 문의 양식을 통해 고객과 PHI를 안전하게 보호하는 방법에 대해 자세히 알아보세요.

내용

펍넙이 어떻게 도와드릴까요?

이 문서는 원래 PubNub.com에 게시되었습니다.

저희 플랫폼은 개발자가 웹 앱, 모바일 앱, IoT 디바이스를 위한 실시간 상호작용을 구축, 제공, 관리할 수 있도록 지원합니다.

저희 플랫폼의 기반은 업계에서 가장 크고 확장성이 뛰어난 실시간 에지 메시징 네트워크입니다. 전 세계 15개 이상의 PoP가 월간 8억 명의 활성 사용자를 지원하고 99.999%의 안정성을 제공하므로 중단, 동시 접속자 수 제한 또는 트래픽 폭증으로 인한 지연 문제를 걱정할 필요가 없습니다.

PubNub 체험하기

라이브 투어를 통해 5분 이내에 모든 PubNub 기반 앱의 필수 개념을 이해하세요.

설정하기

PubNub 계정에 가입하여 PubNub 키에 무료로 즉시 액세스하세요.

시작하기

사용 사례나 SDK에 관계없이 PubNub 문서를 통해 바로 시작하고 실행할 수 있습니다.

HIPAA 기술 보호 조치: 민감한 데이터를 보호하는 방법