클라우드에서 HIPAA에 대한 정보를 받고 싶습니다.

 

 

AWS HIPAA

많은 의료 서비스 제공자, 의료비 지급인 및 IT 전문가가 AWS의 유틸리티 기반 클라우드 서비스를 사용하여 PHI를 처리, 저장 및 전송하고 있으며, 그 수는 계속 늘어나고 있습니다.

AWS는 HIPAA(미국 건강 보험 양도 및 책임에 관한 법)에 따라 피보험 단체 및 비즈니스 관련자가 안전한 AWS 환경을 활용하여 개인 건강 정보를 처리, 유지 관리 및 저장할 수 있도록 합니다.

또한 의료 정보의 처리 및 저장을 위해 AWS를 활용하는 방법을 알고자 하는 고객에게 HIPAA에 초점을 맞춘 백서를 제공합니다. "Creating HIPAA-Compliant Medical Data Applications with AWS" 백서는 기업이 AWS를 사용하여 HIPAA 및 HITECH 규정 준수를 지원하는 시스템을 처리하는 방법을 개략적으로 설명합니다.

AWS Artifact를 시작하려고 하십니까? 단계별 지침을 읽어보십시오 » 

계정에 대한 액세스 권한이 없으십니까? 관리자에게 무료 IAM 계정과 Artifact IAM 정책에 대한 액세스 권한을 요청하십시오.

Step-by-step video (2:15)

Security-Identity-Compliance_AWS Artifact

Offline BAAs (1:45)

Security-Identity-Compliance_AWS Artifact

See an error message? (0:55)

Security-Identity-Compliance_AWS Artifact

Terminate online BAA (1:30)

Security-Identity-Compliance_AWS Artifact
Build_HIPAA_Solutions
Build_Regulated_Workloads

HIPAA(미국 건강 보험 양도 및 책임에 관한 법)는 1996년에 통과되었습니다. 이 법은 근로자가 직장을 옮기거나 잃었을 때 의료 보험을 좀 더 쉽게 유지할 수 있도록 고안되었습니다. 또한 전자 의료 레코드의 도입을 촉진하여 개선된 정보 공유를 통해 미국 의료 서비스 시스템의 효율성과 품질을 높이고자 했습니다.

전자 의료 레코드의 사용이 증가함에 따라 이 법에는 개인 건강 정보(PHI)의 보안 및 개인 정보를 보호하는 조항이 포함되었습니다. PHI에는 보험 및 청구 정보에서 진단 데이터, 임상 치료 데이터, 이미지와 테스트 결과와 같은 실험 결과까지 광범위한 개인 식별 의료 및 의료 관련 데이터 세트가 포함됩니다. 이 규칙은 환자와 환자 데이터를 직접 다루는 병원, 의료 서비스 제공업체, 고용주 지원 의료 보험, 연구 시설 및 보험 회사가 포함된 "피보험 단체"에 적용됩니다. 또한 이 법과 규제는 PHI 보호 요건을 "비즈니스 관련자"에게까지 확대합니다.

HIPAA는 2009년 HITECH(개인의료정보보호 관련 법안)에 의해 확대되었습니다. HIPAA 및 HITECH는 PHI의 보안 및 개인 정보 보호를 목적으로 연방 표준을 수립했습니다. 이러한 조항은 "Administrative Simplification" 규칙으로 알려진 규칙에 포함되어 있습니다. HIPAA 및 HITECH는 PHI의 사용 및 공개, PHI를 보호하기 위한 적절한 보호 조치, 개인의 권리 및 관리 책임과 관련된 요구 사항을 부과합니다. HIPAA 및 HITECH가 의료 정보를 보호하는 방법에 대한 자세한 내용은 http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html을 참조하십시오.

관계자의 말을 인용하면 Health Information Trust Alliance 또는 HITRUST Common Security Framework(CSF)는 "조직에 규제 준수 및 위험 관리에 대한 포괄적이고 유연하며 효율적인 접근 방식을 제공하는 인증 가능한 프레임워크입니다. 의료 서비스 전문가와 정보 보안 전문가가 함께 개발한 HITRUST CSF는 의료 서비스 관련 규정 및 표준을 하나의 포괄적인 보안 프레임워크로 합리화합니다."

HITRUST CSF는 연방법(HIPAA/HITECH 등), 주법(메사추세츠 등) 및 비정부 프레임워크(COBIT, PCI-DSS 등)의 보안 규제 항목을 의료 서비스 요건과 사용에 맞춘 단일 프레임워크로 통합하도록 지원합니다.

AWS는 의료 서비스 고객의 애플리케이션이 HIPAA, HITECH 및 HITRUST CSF에 부합할 수 있도록 지원하는 안정적이고, 확장 가능하며, 저렴한 컴퓨팅 플랫폼을 제공합니다. 예를 들어 AWS의 한 고객이 AWS 내에 구축한 환경은 HIPAA/HITECH 규정 준수에 대한 감사를 성공적으로 통과했을 뿐 아니라 HITRUST 인증도 받았습니다.

HIPAA(미국 건강 보험 양도 및 책임에 관한 법)에 따르면 "비즈니스 관련자"는 피보험 단체를 대신하여 기능 또는 활동을 수행하거나 특정 서비스를 제공하며, 피보험 단체의 직원이 아닌 개인 또는 단체를 말합니다. 또한 "비즈니스 관련자"는 다른 비즈니스 관련자 대신 개인 건강 정보를 생성, 수신, 유지 관리 또는 전송하는 하도급업체도 포함하며, HIPAA 규정에 따르면 AWS와 같은 클라우드 서비스 공급업체는 비즈니스 관련자에 해당합니다. HIPAA 규칙은 일반적으로 피보험 단체와 비즈니스 관련자가 계약을 맺어 비즈니스 관련자가 개인 건강 정보를 적절하게 보호하도록 규정하고 있습니다. 또한 비즈니스 관련자 계약은 당사자 간의 관계와 비즈니스 관련자가 수행하는 활동 또는 서비스를 기준으로 비즈니스 관련자에게 허용되는 개인 건강 정보의 사용 및 공개를 명확히 하고 적절하게 제한하는 데 도움이 됩니다. AWS에서는 이러한 계약을 Business Associate Addendums라고 부릅니다.

예. AWS에는 서명을 위해 고객에게 전달하는 표준 Business Associate Addendum이 있습니다. BAA에는 AWS가 제공하는 고유 서비스와 AWS 공동 책임 모델이 반영되어 있습니다.

AWS Artifact를 사용하여 계정의 BAA(Business Associate Addendum) 계약 상태를 검토, 동의 및 관리할 수 있습니다.

AWS와 같은 클라우드 공급자를 위한 HIPAA 인증은 없습니다. AWS 운영 모델에 적용되는 HIPAA 요구 사항을 충족하기 위해 AWS에서는 HIPAA 위험 관리 프로그램을 HIPAA 보안 규칙에 대응하는 상위 수준의 보안 표준인 FedRAMP 및 NIST 800-53에 맞추었습니다. NIST는 이렇게 부합되는 점을 확인하고 SP 800-66, "An Introductory Resource Guide for Implementing the HIPAA Security Rule"을 발행했습니다. 이 안내서는 NIST 800-53이 어떻게 HIPAA 보안 규칙과 부합되는지를 설명합니다.

고객은 HIPAA 계정으로 지정된 계정에서 모든 AWS 서비스를 사용할 수 있습니다. 하지만 BAA에서 정의한 HIPAA 적격 서비스에서만 PHI를 처리, 저장 및 전송해야 합니다. HIPAA 적격 서비스 참조 페이지에는 HIPAA 적격 서비스의 최신 목록이 나와 있습니다. 

AWS는 HIPAA 적격 서비스가 특히 HIPAA에서 요구하는 보안, 제어 및 관리 프로세스를 지원하도록 표준 기반 위험 관리 프로그램을 따르고 있습니다. 이러한 서비스를 사용하여 PHI를 저장 및 처리하면 고객 및 AWS가 AWS의 유틸리티 기반 운영 모델에 적용되는 HIPAA 요구 사항을 해결할 수 있습니다. AWS는 고객 수요에 따라 새로운 적격 서비스의 우선순위를 정하고 이를 추가합니다.

AWS의 비즈니스 관련자 프로그램에 대해 자세히 알아보거나 새로운 적격 서비스를 요청하려면 AWS에 문의하십시오.

아니요. 이는 매우 일반적인 경우이며, 많은 혁신적인 HIPAA 솔루션 파트너가 AWS에서 SaaS 서비스를 실행하고 있습니다. 이 경우, 각 의료 서비스 제공업체 또는 피보험 단체는 SaaS 파트너와만 BAA를 체결하며, SaaS 파트너는 AWS와 BAA를 체결합니다. SaaS 파트너를 사용하는 피보험 단체가 HIPAA 관련 시스템을 사용하는 AWS의 직접 고객이기도 한 경우, 해당 피보험 단체는 SaaS 파트너 및 AWS와 각각 BAA를 체결해야 할 수 있습니다.

AWS와 BAA(Business Associate Addendum)를 체결한 AWS 고객 및 APN 파트너는 2017년 5월 15일부터 개인 건강 정보(PHI)를 처리하는 데 더는 Amazon EC2 전용 인스턴스 또는 전용 호스트를 사용할 필요가 없습니다. 이전에는 Amazon EC2를 사용하여 개인 건강 정보(PHI)를 처리하는 고객은 전용 인스턴스 또는 전용 호스트를 사용하도록 AWS HIPAA 규정 준수 프로그램에서 강제했습니다. 이 요구 사항이 폐지되었습니다.

또한 의료 정보의 처리 및 저장을 위해 AWS를 활용하는 방법을 알고자 하는 고객에게 HIPAA에 초점을 맞춘 백서를 제공합니다. "Creating HIPAA-Compliant Medical Data Applications with AWS" 백서는 기업이 AWS를 사용하여 HIPAA 및 HITECH 규정 준수를 지원하는 시스템을 처리하는 방법을 개략적으로 설명합니다.

HIPAA 리소스

 

AWS에 문의