건강 정보법(앨버타)

개요

건강 정보법(HIA)은 관리 하에 있거나 관리인의 통제를 받는 건강 정보의 수집, 사용, 공개 및 보호에 적용되는 앨버타의 개인 정보 보호법입니다.

고객은 언제든 AWS에 액세스해 저장된 콘텐츠를 관리할 수 있습니다. AWS는 데이터가 HIA 법률의 적용을 받는지 여부를 포함하여 고객이 네트워크에 업로드하는 내용을 볼 수 없고 알지 못하기 때문에, 고객은 스스로 HIA 규정을 준수할 책임이 있습니다. AWS 고객은 HIA에 따라 의무를 준수하면서 AWS 환경을 설계 및 구현하고, AWS 서비스를 사용할 수 있습니다.

AWS 캐나다(중부) 리전에서는 현재 Amazon Elastic Compute Cloud(EC2), Amazon Simple Storage Service(S3), 및 Amazon Relational Database Service(RDS)를 비롯한 여러 서비스를 제공합니다. AWS 리전 및 서비스의 전체 목록을 보려면 글로벌 인프라 페이지를 방문하십시오. 캐나다 지역 요금은 각 서비스의 세부 정보 페이지에서 이용 가능하며, 제품 및 서비스 페이지를 통해 검색할 수 있습니다.

• PIPEDA와 HIA는 각각 무엇입니까? 이들 법률과 AWS는 어떤 관계가 있습니까?

  PIPEDA(Personal Information Protection and Electronic Documents Act)는 모든 캐나다 주에서의 상업 활동 과정에서 개인 정보의 수집, 사용 및 공개에 적용되는 캐나다 연방법입니다. 일부 캐다나 주에서는 독자적인 공공 및 민간 부문 개인정보 보호법은 물론 개인 의료정보 보호법을 적용합니다. 건강 정보법(HIA)은 관리 하에 있거나 관리인의 통제를 받는 건강 정보의 수집, 사용, 공개 및 보호에 적용되는 앨버타의 개인 정보 보호법입니다. “건강 정보”는 다음 중 하나 또는 둘 다를 의미합니다. (a) 진단, 치료 및 관리 및 (b) 등록 정보. “관리인(custodian)”이라는 용어에는 의료 서비스 제공자, 지정된 건강 전문가(예: 의사, 간호사 등), 의료 서비스 제공 기관(예: 병원, 요양원 및 구급자 운영자) 뿐만 아니라 의료 부문에 관여하는 다른 정부 기관(예: 지방 보건국, 지역 보건당국 및 지역사회 건강 위원회)이 포함됩니다.

  AWS 고객이 PIPEDA, HIA 또는 기타 캐나다 주 개인정보보호 요구 사항의 적용을 받는지 여부와 적용을 받는 범위는 고객의 사업 분야에 따라 다릅니다.

  이외의 기관도 PIPEDA 또는 주 개인보호 법의 적용을 받을 수 있습니다. PIPEDA에 대한 자세한 정보는 여기 AWS 웹사이트를 참조하십시오.

  개인정보 보호법과 적용 대상을 자세히 알고 싶은 고객은 법률 자문을 구하십시오.
  

• 고객이 AWS에서 HIA를 준수하려면 어떻게 해야 합니까?

  AWS 고객은 HIA에 따라 의무를 준수하면서 AWS 환경을 설계 및 구현하고, AWS 서비스를 사용할 수 있습니다.

  HIA의 적용을 받는 고객은 건강 정보의 수집, 사용, 공개 및 보호와 관련한 요구 사항을 준수해야 합니다. AWS는 고객이 AWS 서비스를 사용할 때 콘텐츠가 저장되거나 처리되는 방법에 대한 제어권은 물론, 해당 콘텐츠의 보안이 유지되는 방법과 해당 콘텐츠에 액세스할 수 있는 사람에 대한 제어권을 고객에게 제공합니다. AWS는 고객이 AWS에 저장하는 건강 정보의 보안에 도움이 되도록 고객이 구성하고 사용할 수 있는 서비스를 제공합니다. 적용되는 개인정보보호 요구 사항에 부합하는 솔루션을 설계하는 것은 고객의 책임입니다.

  HIA 규정 준수는 SOC, PCI, FedRAMP 인증과 달리 공식적으로 인정되는 ‘인증’이 없다는 사실을 참고하십시오. 대신 AWS는 고객에게 AWS에서 설정하고 운영하는 정책, 프로세스 및 제어와 관련해 상당한 양의 정보를 제공합니다. AWS는 AWS 규정 준수 리소스 페이지를 통해 워크북, 백서 및 모범 사례 가이드를 제공하며 고객은 요청 시 AWS 아티팩트에서 AWS 타사 감사 보고서에 액세스할 수 있습니다.

• AWS는 고객이 AWS에 저장한 건강 정보에 액세스합니까?

  고객은 언제든 AWS에 저장된 콘텐츠를 관리하고 액세스하는 방법을 제어할 수 있습니다. AWS는 고객이 액세스 및 콘텐츠를 관리하도록 돕기 위해 고급 액세스, 암호화 및 로깅 기능 집합을 제공합니다. AWS는 고객이 지시하거나, 법적 구속력이 있는 정부 명령을 받거나, 관할 규제 기관의 명령을 받지 않는 한 고객 콘텐츠를 액세스하거나 공개하지 않습니다. AWS는 AWS 서비스의 사용과 관련해 법적으로 금지하고 있거나 분명한 불법적 행동의 조짐이 있지 않은 한, 고객 콘텐츠를 공개하기 전에 이를 고객에게 알려 고객이 필요한 보호 조치를 할 수 있도록 합니다. 자세한 내용은 데이터 프라이버시 FAQ를 참조하십시오.
  

• HIA는 AWS 고객이 앨버타 또는 캐나다 외부에 유휴 데이터를 보관하거나 전송하지 못하도록 금지합니까?

  개인정보 보호법 준수와 관련한 문제는 고객이 직접 법률 자문을 구해야 합니다. HIA 법률은 관리인에게 관리적, 기술적, 물리적 보호와 같은 관리 또는 통제 하에 있는 건강 정보를 보호하기 위해 특정한 대책을 실시하도록 요구할 수 있습니다. 앨버타 외부에서 저장, 사용 또는 공개되는 건강 정보는 앨버타 외부에서 이러한 저장, 사용 또는 공개 전에 HIA에 따라 특정한 의무의 적용을 받을 수 있습니다. 앨버타 또는 캐나다 외부에 데이터를 전송 및 저장하는 행위가 HIA에 따른 보안 및 개인정보보호 의무를 만족하는지 판단하는 것은 각 고객의 책임입니다.

  AWS 고객은 PIPEDA 또는 캐나다의 다른 주의 법이 적용되는지 확인하고 해당하는 법이 있다면 데이터 영주권 제한에 대한 법을 검토해야 합니다. AWS 고객이 콘텐츠가 저장되는 리전을 선택합니다. AWS에서는 고객의 동의 없이는 고객이 선택한 리전 외부로 고객 콘텐츠를 이동하거나 복제하지 않습니다.
  

• HIA는 건강 정보 암호화를 요구합니까?

  HIA에는 건강 정보 암호화와 관련한 요구 사항이 없습니다. 하지만 HIA의 적용을 받는 엔터티는 건강 정보 보호를 위한 조치를 취해야 하며 암호화가 보안 의무를 적절히 만족하는지 판단하는 것은 각 고객의 책임입니다. AWS는 건강 정보를 보관 시 및 전송 시 항상 암호화할 것을 권장합니다.
  

• AWS 사용과 관련하여 개인정보보호 영향 평가를 완료하기 위한 정보를 어떻게 얻을 수 있습니까?

  AWS는 고객이 AWS 환경과 보안 제어를 이해하도록 돕기 위해 광범위한 구성 요소를 제공합니다. AWS는 고객에게 AWS 아티팩트에서 타사 감사 보고서(SOC 1 및 SOC 2 보고서 등)에 대한 온디맨드 액세스를 제공합니다. AWS는 또한 AWS에서 워크로드를 안전하게 운영하는 방법에 대하여 AWS 규정 준수 리소스 페이지에서 워크북, 백서 및 모범 사례를 제공합니다.
  

• AWS에서 고객 환경의 감사 및 로깅을 구현하려면 어떻게 해야 합니까?

  공동 책임 모델의 일환으로 고객은 규정 준수 요구 사항을 충분히 충족하면서 고객의 AWS 환경 전체에 걸쳐 감사 및 로깅을 구현하도록 고려해야 합니다. AWS는 확장 가능한 로깅 및 로그 분석 아키텍처의 구현을 단순화하는 서비스를 제공합니다. AWS는 또한 AWS Marketplace에서 보안 로깅 솔루션을 제공하는 다양한 파트너를 보유하고 있습니다. AWS에서 로깅을 구현하는 방법에 대한 자세한 정보는 AWS 보안 로깅 기능 페이지를 참조하십시오.
  

• Amazon에서는 캐나다에서 AWS를 활용하는 다른 의료 서비스 조직의 예를 제공할 수 있습니까?

  최신 블로그 게시물에서 캐나다 의료 서비스 동향에 대한 내용을 확인할 수 있습니다. 여기에서 AWS 클라우드에서 의료 서비스 규정 준수와 관련한 정보를 찾아볼 수 있습니다.