HIPAA

개요

많은 의료 서비스 제공자, 보험사 및 IT 전문가가 AWS의 유틸리티 기반 클라우드 서비스를 사용하여 개인 건강 정보(PHI)를 처리, 저장 및 전송하고 있으며, 그 수는 계속 늘어나고 있습니다.

AWS는 HIPAA(1996년 미국 의료 정보 보호법)에 따라 대상 엔터티 및 비즈니스 관련자가 안전한 AWS 환경을 사용하여 개인 건강 정보를 처리, 유지 관리 및 저장할 수 있도록 지원합니다.

AWS를 사용하여 의료 정보를 처리 및 저장하는 방법에 대한 자세한 내용은 Amazon Web Services 기반 HIPAA 보안 및 규정 준수를 위한 아키텍처 설계 백서를 참조하세요.

AWS 의료 서비스 및 생명 과학 고객

• HIPAA 및 HITECH이란 무엇입니까?

  HIPAA(미국 의료 정보 보호법)는 1996년에 제정되었으며, 미국 근로자가 직장을 옮기거나 잃었을 때 의료 보험을 좀 더 쉽게 유지할 수 있도록 고안되었습니다. 또한, 전자 의료 레코드를 장려하여 개선된 정보 공유를 통해 미국 의료 서비스 시스템의 효율성과 품질을 높이고자 제정되었습니다.

  전자 의료 레코드의 사용이 증가함에 따라 HIPAA에 개인 건강 정보(PHI)의 보안 및 개인 정보를 보호하는 조항이 포함되었습니다. PHI에는 보험 및 청구 정보, 진단 데이터, 임상 치료 데이터, 이미지와 테스트 결과와 같은 실험 결과를 비롯하여 광범위한 개인 식별 의료 및 의료 관련 데이터 세트가 포함됩니다. 이 HIPAA 규칙은 환자와 환자 데이터를 직접 다루는 병원, 의료 서비스 제공업체, 고용주 지원 의료 보험, 연구 시설 및 보험 회사를 비롯한 ‘대상 엔터티’에 적용됩니다. 또한, PHI 보호에 대한 HIPAA 요구 사항은 비즈니스 관련자까지 확대 적용됩니다.

  2009년에 HITECH(경제적 및 임상적 건전성을 위한 의료정보기술에 관한 법)에서 HIPAA 규칙을 확대했습니다. HIPAA 및 HITECH는 PHI의 보안 및 개인 정보 보호를 목적으로 함께 연방 표준을 수립했습니다. 이러한 조항은 "Administrative Simplification" 규칙으로 알려진 규칙에 포함되어 있습니다. HIPAA 및 HITECH는 PHI의 사용 및 공개, PHI를 보호하기 위한 적절한 보호 조치, 개인의 권리, 관리 책임과 관련된 요구 사항을 부과합니다.

  HIPAA 및 HITECH에서 어떻게 건강 정보를 보호하는지에 대한 자세한 내용은 미국 보건 사회 복지부의 Health Information Privacy 웹 페이지를 참조하십시오.
  

• HITRUST란 무엇입니까?

  관계자의 말을 인용하면 Health Information Trust Alliance(HITRUST) Common Security Framework(CSF)는 "조직에 규제 준수 및 위험 관리에 대한 포괄적이고 유연하며 효율적인 접근 방식을 제공하는 인증 가능한 프레임워크입니다. 의료 서비스 및 정보 보안 전문가가 함께 개발한 HITRUST CSF는 의료 서비스 관련 규정 및 표준을 하나의 포괄적인 보안 프레임워크로 합리적으로 개선합니다."

  HITRUST CSF는 연방법(HIPAA, HITECH 등), 주법(매사추세츠의 주 거주자의 개인 정보 보호에 대한 표준), 비정부 프레임워크(PCI 보안 표준 위원회 등)의 보안 제어 항목을 의료 서비스 요구 사항에 맞게 조정된 단일 프레임으로 통합하는 역할을 합니다.

  AWS는 안정적이고, 확장 가능하며, 저렴한 컴퓨팅 플랫폼을 제공하여 의료 서비스 고객의 애플리케이션이 HIPAA, HITECH 및 HITRUST CSF를 준수하도록 지원합니다.
  

• Business Associate Addendum이란 무엇입니까?

  HIPAA 규정에 따르면 AWS와 같은 클라우드 서비스 공급자(CSP)는 비즈니스 관련자로 간주됩니다. BAA(Business Associate Addendum)는 AWS가 개인 건강 정보(PHI)를 적절하게 보호하게 하기 위해 HIPAA 규칙에서 요구하는 AWS 계약입니다. BAA는 AWS와 고객 간 관계와 AWS에서 수행하는 활동 또는 서비스를 기반으로 PHI의 사용 및 공개와 관련해 AWS에 허용된 사항을 명확히 하고 적절하게 제한하는 역할을 합니다.
  

• AWS에서는 HIPAA 규칙 및 규정에 명시된 바와 같이 Business Associate Addendum을 체결합니까?

  예. AWS에는 고객에게 전달하여 서명을 받는 표준 BAA(Business Associate Addendum)가 있습니다. BAA에는 AWS가 제공하는 고유 서비스와 AWS 공동 책임 모델이 반영되어 있습니다.

  귀사 계정의 BAA 상태를 검토, 수락 및 관리하려면 AWS Management Console에서 [AWS Artifact]로 로그인하십시오. 계정에 액세스할 권한이 없는 경우, 관리자에게 무료 IAM 계정을 요청하고 Artifact IAM 정책에 대한 액세스 권한을 요청하십시오.
  

  Step-by-step: Learn how to use AWS Artifact to accept agreements for multiple accounts in your org. (2:07)
  

  See how to use AWS Artifact to accept an agreement for your account. (1:39)
  

• AWS는 HIPAA 인증을 받았습니까?

  AWS와 같은 클라우드 서비스 공급자(CSP)를 위한 HIPAA 인증은 없습니다. AWS 운영 모델에 적용되는 HIPAA 요구 사항을 충족하기 위해 AWS에서는 HIPAA 위험 관리 프로그램을 HIPAA 보안 규칙에 대응하는 상위 수준의 보안 표준인 FedRAMP 및 NIST 800-53에 맞추었습니다. NIST는 이렇게 부합되는 점을 확인하고 SP 800-66 An Introductory Resource Guide for Implementing the HIPAA Security Rule을 발행했습니다. 이 안내서는 NIST 800-53이 어떻게 HIPAA 보안 규칙과 부합되는지를 설명합니다.

• AWS와 Business Associate Addendum을 체결한 경우, AWS 계정에서 사용할 수 있는 서비스는 무엇입니까?

  고객은 HIPAA 계정으로 지정된 계정에서 모든 AWS 서비스를 사용할 수 있습니다. 하지만 BAA(Business Associate Addendum)에 정의된 HIPAA 적격 서비스에서만 개인 건강 정보(PHI)를 처리, 저장 및 전송해야 합니다. HIPAA 적격 AWS 서비스의 최신 목록은 HIPAA 적격 서비스 참조 웹 페이지를 참조하십시오.

  AWS는 HIPAA 적격 서비스가 특히 HIPAA에서 요구하는 보안, 제어 및 관리 프로세스를 지원하도록 표준 기반 위험 관리 프로그램을 따르고 있습니다. 이러한 서비스를 사용하여 PHI를 저장 및 처리하면 고객 및 AWS가 AWS의 유틸리티 기반 운영 모델에 적용되는 HIPAA 요구 사항을 해결할 수 있습니다. AWS는 고객 수요에 따라 새로운 적격 서비스의 우선순위를 정하고 이를 추가합니다.

  AWS의 비즈니스 관련자 프로그램에 대해 자세히 알아보거나 새로운 적격 서비스를 요청하려면 AWS에 문의하십시오.
  

• BAA를 체결한 AWS SaaS 파트너로 의료 서비스 공급자 또는 다른 대상 엔터티에 SaaS 솔루션을 판매합니다. 이러한 대상 엔터티도 AWS와 BAA를 체결해야 합니까?

  아니요. 이는 매우 일반적인 경우이며, 많은 HIPAA 솔루션 파트너가 AWS에서 Software as a Service(SaaS) 상품을 실행하고 있습니다. AWS SaaS 파트너인 귀사가 AWS와 BAA(Business Associate Addendum)를 체결한 후, 각 의료 서비스 공급자 또는 대상 엔터티는 AWS SaaS 파트너인 귀사와 BAA를 체결합니다. SaaS 솔루션을 사용하는 대상 엔터티가 HIPAA 관련 시스템을 사용하는 AWS의 직접 고객이기도 한 경우, 대상 엔터티는 귀사 및 AWS와 각각 BAA를 체결해야 할 수 있습니다.
  

• AWS HIPAA 규정 준수 프로그램에 따르면 개인 건강 정보를 처리하는 데 Amazon EC2 전용 인스턴스 또는 전용 호스트를 사용해야 합니까?

  AWS와 BAA(Business Associate Addendum)를 체결한 AWS 고객과 Amazon 파트너 네트워크(APN) 파트너는 개인 건강 정보(PHI)를 처리하는 데 Amazon Elastic Compute Cloud(EC2) 전용 인스턴스 또는 전용 호스트를 사용할 필요가 없습니다. 2017년 5월 15일 이전에는 AWS HIPAA 규정 준수 프로그램에서 Amazon EC2를 사용하여 PHI를 처리하는 고객이 전용 인스턴스 또는 전용 호스트를 사용하도록 규정했지만, 이 요구 사항은 삭제되었습니다.