HIPAA 개인정보 보호 및 보안 규칙
HIPAA 개인정보 보호 및 보안 규칙은 식별 가능한 건강 정보의 사용, 공개 및 보호를 규율하는 미국 연방의 주요 표준입니다. 1996년 건강 보험 이동성 및 책임에 관한 법률(Health Insurance Portability and Accountability Act of 1996)에 따라 제정된 개인정보 보호 규칙은 보호 대상 건강 정보가 어떻게 사용되고 공개될 수 있는지에 대한 국가 표준을 설정하고 개인이 자신의 정보에 대한 권리를 갖도록 하며, 보안 규칙은 해당 정보가 전자적으로 보관되거나 전송될 때 이를 보호하기 위한 표준을 설정합니다.
Definition
HIPAA 개인정보 보호 규칙은 대상 기관 및 그 사업 제휴 기관이 보유하거나 전송하는 개별 식별 가능한 건강 정보의 보호를 위한 국가 표준을 수립하며, 허용되는 사용 및 공개와 개인의 권리를 정의합니다. HIPAA 보안 규칙은 전자 보호 대상 건강 정보를 보호하는 행정적, 물리적, 기술적 보호 조치에 대한 표준을 수립합니다.
Scope
이 항목은 두 가지 규칙의 구조와 핵심 개념을 설명합니다. 즉, 보호 대상 건강 정보의 정의, 이 규칙이 구속하는 대상 기관 및 사업 제휴 기관의 범주, 허용되는 사용 및 공개와 최소 필수 원칙, 개인의 접근 및 수정 권리, 그리고 전자 정보에 요구되는 행정적, 물리적, 기술적 보호 조치 등이 포함됩니다. 이 항목은 규칙을 참조 및 교육을 위한 규제 프레임워크로 다루며, 특정 조직이나 상황에 대한 준수 여부 결정을 제공하지 않습니다.
Core questions
- 이 규칙은 어떤 조직과 정보에 적용됩니까?
- 개인의 승인 없이 허용되는 보호 대상 건강 정보의 사용 및 공개는 무엇입니까?
- 개인은 자신의 건강 정보에 대해 어떤 권리를 가집니까?
- 전자 보호 대상 건강 정보를 보호하기 위해 어떤 보호 조치가 필요합니까?
- 시행 및 위반 관련 의무는 규칙을 어떻게 강화합니까?
Key concepts
- 보호 대상 건강 정보(PHI)
- 대상 기관 및 사업 제휴 기관
- 허용되는 사용 및 공개
- 최소 필수 표준
- 개인의 접근 및 수정 권리
- 행정적, 물리적, 기술적 보호 조치
- 필수 대 주소 지정 가능 보안 규칙 사양
- 개인정보 보호 관행 통지
Mechanisms
개인정보 보호 규칙은 보호 대상 건강 정보를 정의한 다음, 언제 해당 정보가 사용되거나 공개될 수 있는지 명시함으로써 작동합니다. 일부 사용(예: 치료, 지불 및 의료 운영 목적)은 승인 없이 허용되지만, 다른 많은 경우 개인의 서면 승인이 필요하며, 공개는 최소 필수 원칙에 의해 제한됩니다. 또한 개인의 기록 접근 및 수정 요청 권리를 포함한 개인의 권리를 부여합니다. 보안 규칙은 전자 보호 대상 건강 정보를 처리하는 대상 기관 및 사업 제휴 기관이 위험 분석을 수행하고 세 가지 영역(행정적: 정책, 인력 교육, 접근 관리; 물리적: 시설 및 장치 제어; 기술적: 접근 제어, 감사 제어, 무결성 및 전송 보안)에 걸쳐 보호 조치를 구현하도록 요구함으로써 이를 보완합니다. 일부 구현 사양은 필수적이며 다른 일부는 주소 지정 가능하여 조직의 규모와 위험에 따라 유연성을 허용합니다. 민권 사무국(Office for Civil Rights)은 두 규칙을 모두 시행합니다(HHS OCR, 2013; Nass et al., 2009).
Clinical relevance
이 규칙은 진료 환경에서 일상적인 정보 처리에 영향을 미칩니다. 즉, 치료를 위해 기록이 어떻게 공유되는지, 환자가 무엇에 접근할 수 있는지, 그리고 임상 직원이 어떤 교육과 통제 하에 운영되는지 등을 규정합니다. 평론가들은 개인정보 보호 규칙이 적절하게 적용될 경우 적절한 건강 정보 교환을 방해하기보다는 지원한다고 주장해 왔습니다(McDonald, 2009). 이 항목은 규제 프레임워크에 대한 참조 설명이며, 법적 조언이나 특정 기관에 대한 준수 여부 결정이 아닙니다.
Evidence & guidelines
권위 있는 출처는 규제 텍스트 자체(45 CFR Parts 160 and 164)와 이를 해석하는 민권 사무국 지침(HHS OCR, 2013)입니다. 의학 연구소(Institute of Medicine)는 개인정보 보호 규칙이 건강 연구에 미치는 영향을 조사하고 개인정보 보호와 연구 유용성 간의 균형을 더 잘 맞추기 위한 개혁을 권고했습니다(Nass et al., 2009). 규칙과 그 지침은 주기적으로 개정되므로, 특정 요구 사항에 대해서는 현재의 공식 HHS 출처를 참조해야 합니다.
History
HIPAA는 주로 보험 이동성 및 행정 간소화를 다루기 위해 1996년에 제정되었습니다. 개인정보 보호 및 보안 조항은 2000년대 초에 규칙으로 발표되었으며, 개인정보 보호 규칙과 보안 규칙은 각각 2003년과 2005년에 발효되었습니다. 2009년 HITECH Act는 의무를 사업 제휴 기관에 직접 확대하고, 시행을 강화하며, 위반 통지 요건을 추가했습니다. 2013년 옴니버스 규칙(Omnibus Rule)은 이러한 변경 사항을 통합했습니다. 이 프레임워크는 여전히 많은 미국 건강 정보 관행이 측정되는 기준점으로 남아 있습니다(Nass et al., 2009).
Debates
- 개인정보 보호 규칙이 건강 데이터의 보호와 사용 사이의 균형을 적절하게 맞추고 있습니까?
- 일부에서는 이 규칙이 진료 조정 및 연구를 불필요하게 방해한다고 주장하는 반면, 다른 일부에서는 적절한 건강 정보 교환과 양립 가능하다고 옹호합니다. 의학 연구소는 특히 연구 맥락에 대한 목표 개혁을 권고했습니다.
Related topics
Seminal works
- nass-2009
- mcdonald-2009
Frequently asked questions
- 누가 HIPAA 개인정보 보호 및 보안 규칙을 따라야 합니까?
- 이 규칙은 대상 기관(대부분의 의료 제공자, 건강 보험 계획 및 의료 정보 교환소)과 이들을 대신하여 보호 대상 건강 정보를 생성, 수신, 유지 또는 전송하는 사업 제휴 기관을 구속합니다. 건강 관련 데이터를 처리하는 모든 조직을 직접적으로 다루지는 않습니다.
- 최소 필수 표준이란 무엇입니까?
- 이는 대부분의 사용 및 공개에 대해 대상 기관이 의도된 목적을 달성하는 데 필요한 최소한의 보호 대상 건강 정보로 제한하기 위해 합리적인 노력을 기울여야 한다는 개인정보 보호 규칙의 원칙입니다. 기본적으로 전체 기록을 공유하는 것이 아닙니다.