개인 건강 정보 보호법(노바스코샤)

개요

PHIA(개인 건강 정보 보호법)는 개인 건강 정보의 수집, 사용, 공개, 보존, 처리 및 폐기에 적용되는 노바스코샤주의 개인 정보 보호법입니다. PHIA는 개인 건강 정보를 보호할 개인의 권리와 의료 서비스를 제공, 지원 및 관리하기 위해 개인 건강 정보를 수집, 사용 및 공개해야 하는 관리자의 필요성을 모두 다룹니다.

AWS에 저장된 콘텐츠에 액세스하고 이를 관리하는 방법에 대한 제어권은 언제나 고객에게 있습니다. AWS는 고객의 데이터가 PHIA 법규의 적용을 받는지 여부를 포함하여 고객이 네트워크에 업로드하는 내용에 대해 알지 못하며, 고객은 자체적으로 PHIA 규정을 준수할 책임이 있습니다. AWS 고객은 AWS 환경을 설계 및 구현할 수 있으며, PHIA 규정을 준수하는 방식으로 AWS 서비스를 사용할 수 있습니다.

AWS 캐나다(중부) 리전에서는 현재 Amazon Elastic Compute Cloud(EC2), Amazon Simple Storage Service(S3) 및 Amazon Relational Database Service(RDS)를 비롯하여 다양한 서비스를 제공합니다. AWS 리전 및 서비스의 전체 목록을 보려면 글로벌 인프라 페이지를 방문하십시오. 캐나다 리전 요금은 제품 및 서비스 페이지에 있는 각 서비스의 세부 정보 페이지에서 확인할 수 있습니다. 

  • PIPEDA(Personal Information Protection and Electronic Documents Act)는 모든 캐나다 주에서 펼쳐지는 상업 활동 과정에서 개인 정보의 수집, 사용 및 공개에 적용되는 캐나다 연방법입니다. 또한, 일부 캐나다 주에서는 공공 및 민간 부문에 적용되는 독자적인 일반 개인 정보 보호법뿐만 아니라 개인 건강 정보와 관련된 보호법도 도입했습니다. PIIDPA(Personal Information International Disclosure Protection Act)는 캐나다 외부에서 노바스코샤 주민의 개인 정보가 공개되는 것을 막기 위해 제정된 개인 정보 보호법입니다. PHI(개인 건강 정보)는 PIIDPA에 따라 식별되는 개인 정보의 하위 집합입니다. PHIA(개인 건강 정보 보호법)는 관리자의 보관하거나 관리하는 개인 건강 정보의 수집, 사용, 공개, 보존, 처리 및 폐기에 적용되는 노바스코샤주의 개인 정보 보호법입니다.

    개인 건강 정보란 PHIA에 정의된 대로 건강 기록, 자격 또는 등록 정보와 관련된 정보 중 생사 여부 및 기록된 형식인지 기록되지 않은 형식인지는 관계없이 개인을 식별할 수 있는 정보를 말합니다. ‘관리자’란 개인이나 조직의 권한 또는 의무를 이행하는 것과 관련하여 또는 이행한 결과로 그리고 PHIA에 정의된 대로 개인 건강 정보를 보관하거나 관리하는 개인 또는 조직을 말합니다. 관리자에는 PHIA에 정의된 대로 규제 대상 의료 전문가 및 그룹 업무, 의료 기관, 의료 센터, 위원회, 약국, 캐나다 혈액 센터 및 요양 보호 시설이 포함됩니다.

    AWS 고객이 PIIDPA, PHIA 또는 기타 캐나다 주 개인 정보 보호 요구 사항의 적용을 받는지 여부와 적용을 받는 범위는 고객의 비즈니스에 따라 다릅니다.

    그 밖의 조직도 PIPEDA 또는 주 개인 정보 보호법의 적용을 받을 수 있습니다. PIPEDA에 대한 자세한 정보는 여기 AWS 웹사이트를 참조하십시오.

    자사에 적용되는 개인 정보 보호법을 이해하고자 하는 고객은 직접 법률 자문을 구하시기 바랍니다.

  • AWS 고객은 AWS 환경을 설계 및 구현할 수 있으며, PHIA 규정을 준수하는 방식으로 AWS 서비스를 사용할 수 있습니다.

    PHIA의 적용을 받는 고객은 개인 건강 정보의 수집, 사용, 공개, 보존, 처리 및 폐기와 관련한 요구 사항을 준수해야 합니다. AWS는 AWS 서비스를 사용할 때 콘텐츠가 저장되거나 처리되는 방식을 고객이 제어하도록 합니다. 여기에는 콘텐츠 보안 방법과 해당 콘텐츠에 액세스할 수 있는 사람에 대한 제어가 포함됩니다. AWS는 고객이 AWS에 저장하는 개인 건강 정보의 보안에 도움이 되도록 고객이 구성하고 사용할 수 있는 서비스를 제공합니다. 적용되는 개인 정보 보호 요구 사항에 부합하는 솔루션을 설계하는 것은 고객의 책임입니다.

    PHIA 규정 준수는 SOC, PCI, FedRAMP 인증과 달리 공식적으로 인정되는 ‘인증’이 없다는 사실을 참고하십시오. 대신 AWS는 고객에게 AWS에서 설정하고 운영하는 정책, 프로세스 및 제어와 관련하여 상당한 양의 정보를 제공합니다. AWS는 AWS 규정 준수 리소스 페이지를 통해 워크북, 백서 및 모범 사례 가이드를 제공하며 고객은 요청 시 AWS 아티팩트에서 AWS 타사 감사 보고서에 액세스할 수 있습니다.

  • 고객은 언제든 AWS에 저장된 콘텐츠를 관리하고 액세스하는 방법을 제어할 수 있습니다. AWS는 고객이 액세스 및 콘텐츠를 관리하도록 돕기 위해 고급 액세스, 암호화 및 로깅 기능 집합을 제공합니다. AWS는 고객이 지시하거나, 법적 구속력이 있는 정부 명령을 받거나, 관할 규제 기관의 명령을 받지 않는 한 고객 콘텐츠를 액세스하거나 공개하지 않습니다. AWS는 AWS 서비스의 사용과 관련해 법적으로 금지하고 있거나 분명한 불법적 행동의 조짐이 있지 않은 한, 고객 콘텐츠를 공개하기 전에 이를 고객에게 알려 고객이 필요한 보호 조치를 할 수 있도록 합니다. 자세한 내용은 데이터 프라이버시 FAQ를 참조하십시오.

  • 개인 정보 보호법 준수와 관련된 문제는 고객이 직접 법률 자문을 구해야 합니다. PHIA 법에 따르면 관리자는 특정 요건에 따라 개인 건강 정보를 노바스코샤 외부에 저장하거나 공개할 수 있습니다. PIIDPA에 따르면 공공 기관은 캐나다 내에서 개인 정보를 저장하고 액세스해야 할 수 있습니다. 노바스코샤 또는 캐나다 외부에 데이터를 전송 및 저장하는 행위가 PHIA 또는 PIIDPA에 따른 보안 및 개인 정보 보호 의무를 충족하는지 판단하는 것은 각 고객의 책임입니다.


    AWS 고객은 PIPEDA 또는 캐나다 다른 주의 법 적용을 받는지 확인하고 데이터 레지던시 제한에 대해 해당 법을 검토해야 합니다. AWS 고객이 콘텐츠가 저장되는 리전을 선택합니다. AWS에서는 고객의 동의 없이는 고객이 선택한 리전 외부로 고객 콘텐츠를 이동하거나 복제하지 않습니다.

  • PHIA에는 건강 정보 암호화와 관련한 요구 사항이 없습니다. 하지만 PHIA의 적용을 받는 엔터티는 건강 정보 보호를 위한 조치를 취해야 하며 암호화가 보안 의무를 적절히 충족하는지 판단하는 것은 각 고객의 책임입니다. AWS는 건강 정보를 저장 시 및 전송 시 항상 암호화할 것을 권장합니다.

  • AWS는 고객이 AWS 환경과 보안 제어를 이해하는 데 도움이 되도록 광범위한 자료를 제공합니다. AWS는 고객에게 AWS Artifact에 있는 타사 감사 보고서(SOC 1 및 SOC 2 보고서 등)에 대한 온디맨드 액세스를 제공합니다. AWS는 또한 AWS에서 워크로드를 안전하게 운영하는 방법에 대하여 AWS 규정 준수 리소스 페이지에서 워크북, 백서 및 모범 사례를 제공합니다.

  • 공동 책임 모델의 일환으로 고객은 규정 준수 요구 사항을 충족하기에 충분한 방식으로 고객의 AWS 환경 전체에 걸쳐 감사 및 로깅을 구현하는 것을 고려해야 합니다. AWS는 확장 가능한 로깅 및 로그 분석 아키텍처의 구현을 단순화하는 서비스를 제공합니다. AWS는 또한 AWS Marketplace에서 보안 로깅 솔루션을 제공하는 다양한 파트너를 보유하고 있습니다. AWS에서 로깅을 구현하는 방법에 대한 자세한 정보는 AWS 보안 로깅 기능 페이지를 참조하십시오.

  • 최신 블로그 게시물에서 캐나다 의료 서비스 동향에 대한 내용을 확인할 수 있습니다. 여기에서 AWS 클라우드의 의료 서비스 규정 준수와 관련된 정보를 찾아볼 수 있습니다.

PHIA 리소스

캐나다 의료 서비스 주요 추이
캐나다 공공 부문
질문이 있으신가요? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »