개요

개인 의료 정보 보호 및 접근법(NB PHIPAA) 및 일반 요건은 관리자가 보관하거나 관리하는 개인 의료 정보의 수집, 사용, 공개 및 보호에 적용되는 뉴브런즈윅의 개인 정보 보호법입니다.

AWS에 저장된 콘텐츠에 액세스하고 이를 관리하는 방법에 대한 제어권은 언제나 고객에게 있습니다. AWS는 데이터의 NB PHIPAA 법률 적용 여부를 비롯하여 고객이 네트워크에 업로드하는 내용을 볼 수 없고 알지 못하므로, 고객은 스스로 NB PHIPAA 규정을 준수할 책임이 있습니다. AWS 고객은 AWS 환경을 설계 및 구현하고, NB PHIPAA 규정을 준수하며 AWS 서비스를 사용할 수 있습니다.

AWS 캐나다(중부) 지역에서는 현재 Amazon Elastic Compute Cloud(EC2), Amazon Simple Storage Service(S3) 및 Amazon Relational Database Service(RDS)를 비롯하여 다양한 서비스를 제공합니다. AWS 지역 및 서비스의 전체 목록을 보려면 글로벌 인프라 페이지를 방문하십시오. 캐나다 지역 요금은 제품 및 서비스 페이지에 있는 각 서비스의 세부 정보 페이지에서 확인할 수 있습니다.

• PIPEDA와 NB PHIPAA는 각각 무엇입니까? 이러한 법률 간에는 어떤 관계가 있습니까?

  Personal Information Protection and Electronic Documents Act(“PIPEDA”)는 모든 캐나다 주에서 펼쳐지는 상업 활동 과정에서 개인 정보의 수집, 사용 및 공개에 적용되는 캐나다 연방법입니다. 또한, 일부 캐나다 주에서는 공공 및 민간 부문에 적용되는 독자적인 일반 개인 정보 보호법뿐만 아니라 개인 의료 정보와 관련된 보호법도 도입했습니다. 개인 의료 정보 보호 및 접근법, S.N.B. 2009, c. P-7.05(“NB PHIPAA”)는 뉴브런즈윅(“NB”) 내에서 특정 조직 및 개인(NB PHIPAA에 따라 “관리자”라고 함)이 개인 의료 정보를 수집, 사용, 공개 및 보호하는 행위에 적용되는 뉴브런즈윅의 개인 정보 보호법이자, 이러한 정보를 보호하기 위한 보호 수단입니다. NB PHIPAA가 적용되는 개인 의료 정보는 “해당 정보가 (a) 개인의 유전 정보를 포함하여 개인의 신체 또는 정신 건강, 가족 기록 또는 의료 서비스 기록과 관련이 있거나, (b) 개인의 의료 보험 번호 같은 개인의 등록 정보이거나, (c) 개인에 대한 의료 서비스 제공과 관련이 있거나, (d) 개인의 의료 서비스 관련 결제 또는 자격이나 개인의 의료 서비스 보상 자격에 대한 정보와 관련이 있거나, (e) 개인의 신체 일부 또는 장기 기증과 관련되어 있거나 신체 일부 또는 장기의 테스트 또는 실험에서 파생되었거나, (f) 개인을 대신하는 의사 결정권자를 나타내거나, (g) 개인의 의료 서비스 공급자를 나타내는 경우 구두 또는 기록된 형태로 개인에 관한 정보를 식별하는 것”으로 NB PHIPAA에 따라 정의됩니다. “관리자”는 의료 서비스 또는 치료의 제공, 의료 서비스 시스템의 계획 및 관리 또는 정부 프로그램 또는 서비스의 이행을 지원하기 위해 개인 의료 정보를 수집, 유지 관리 또는 사용하는 개인이나 정부”를 말하며 관리자의 대리인이나 직원이 아닌 의료 서비스 공급자 및 공공 기관을 비롯해 NB PHIPAA에 정의된 그 밖의 존재를 포함합니다.

  AWS 고객이 PIPEDA, NB PHIPAA 또는 기타 캐나다 주 정책에 영향을 받는지 여부와 영향을 받을 경우 그 범위는 고객의 사업 분야에 따라 다릅니다.

  그 밖의 조직도 PIPEDA 또는 주 개인 정보 보호법의 적용을 받을 수 있습니다. PIPEDA에 대한 자세한 정보는 여기 AWS 웹사이트를 참조하십시오.

  자사에 적용되는 개인 정보 보호법을 이해하고자 하는 고객은 직접 법률 자문을 구하시기 바랍니다.
  

• 고객이 AWS에서 NB PHIPAA 를 준수하려면 어떻게 해야 합니까?

  AWS 고객은 AWS 환경을 설계 및 구현하고, NB PHIPAA 규정을 준수하며 AWS 서비스를 사용할 수 있습니다.

  NB PHIPAA 의 적용을 받는 고객은 개인 의료 정보의 수집, 액세스, 사용, 공개 및 보호와 관련한 요구 사항을 준수해야 합니다. AWS는 AWS 서비스를 사용할 때 콘텐츠가 저장되거나 처리되는 방식을 고객이 제어하도록 합니다. 여기에는 콘텐츠 보안 방법과 해당 콘텐츠에 액세스할 수 있는 사람에 대한 제어가 포함됩니다. AWS는 고객이 AWS에 저장하는 개인 의료 정보의 보안에 도움이 되도록 고객이 구성하고 사용할 수 있는 서비스를 제공합니다. 적용되는 개인 정보 보호 요구 사항에 부합하는 솔루션을 설계하는 것은 고객의 책임입니다.

  NB PHIPAA 준수는 SOC, PCI, FedRAMP 인증과 달리 공식적으로 인정되는 ‘인증’이 없다는 사실을 참고하십시오. 대신 AWS는 고객에게 AWS에서 설정하고 운영하는 정책, 프로세스 및 제어와 관련하여 상당한 양의 정보를 제공합니다. AWS는 AWS 규정 준수 리소스 페이지를 통해 워크북, 백서 및 모범 사례 가이드를 제공하며 고객은 요청 시 AWS 아티팩트에서 AWS 타사 감사 보고서에 액세스할 수 있습니다.
  

• AWS는 고객이 AWS에 저장한 개인 의료 정보에 액세스합니까?

  AWS에 저장된 콘텐츠에 액세스하고 이를 관리하는 방법에 대한 제어권은 언제나 고객에게 있습니다. AWS는 고객이 액세스 및 콘텐츠를 관리하도록 돕기 위해 고급 액세스, 암호화 및 로깅 기능 집합을 제공합니다. AWS는 고객이 지시하거나, 법적 구속력이 있는 정부 명령을 받거나, 관할 규제 기관의 명령을 받지 않는 한 고객 콘텐츠를 액세스하거나 공개하지 않습니다. AWS는 AWS 서비스의 사용과 관련해 법적으로 금지하고 있거나 분명한 불법적 행동의 조짐이 있지 않은 한, 고객 콘텐츠를 공개하기 전에 이를 고객에게 알려 고객이 필요한 보호 조치를 할 수 있도록 합니다. 자세한 내용은 데이터 프라이버시 FAQ를 참조하십시오.
  

• NB PHIPAA는 AWS 고객이 뉴브런즈윅 또는 캐나다 외부로 데이터를 저장하거나 전송하지 못하도록 합니까?

  개인 정보 보호법 준수와 관련된 문제는 고객이 직접 법률 자문을 구해야 합니다. NB PHIPAA 법률은 관리인에게 관리적, 기술적, 물리적 보호와 같은 관리 또는 통제 하에 있는 개인 의료 정보를 보호하기 위해 특정한 대책을 실시하도록 요구할 수 있습니다. 뉴브런즈윅 외부에서 저장, 액세스, 사용 또는 공개되는 개인 의료 정보는 뉴브런즈윅 외부에서 이러한 저장, 사용 또는 공개 전에 NB PHIPAA에 따라 특정한 의무의 적용을 받을 수 있습니다. 뉴브런즈윅 또는 캐나다 외부에 데이터를 전송 및 저장하는 행위가 NB PHIPAA에 따른 보안 및 개인정보보호 의무를 만족하는지 판단하는 것은 각 고객의 책임입니다.

  AWS 고객은 PIPEDA 또는 캐나다 다른 주의 법 적용을 받는지 확인하고 데이터 레지던시 제한에 대해 해당 법을 검토해야 합니다. AWS 고객이 콘텐츠가 저장되는 리전을 선택합니다. AWS에서는 고객의 동의 없이는 고객이 선택한 지역 외부로 고객 콘텐츠를 이동하거나 복제하지 않습니다.
  

• NB PHIPAA는 개인 의료 정보 암호화를 요구합니까?

  NB PHIPAA에는 개인 의료 정보 암호화와 관련한 요구 사항이 없습니다. 하지만 NB PHIPAA의 적용을 받는 엔터티는 개인 정보 보호를 위한 조치를 취해야 하며 암호화가 보안 의무를 적절히 충족하는지 판단하는 것은 각 고객의 책임입니다. AWS는 개인 의료 정보를 저장 시 및 전송 시 항상 암호화할 것을 권장합니다.
  

• 고객은 AWS 사용과 관련하여 개인정보 보호 영향 평가를 완료하는 데 필요한 정보를 어떻게 얻을 수 있습니까?

  AWS는 고객이 AWS 환경과 보안 제어를 이해하는 데 도움이 되도록 광범위한 자료를 제공합니다. AWS는 고객에게 AWS 아티팩트에서 타사 감사 보고서(SOC 1 및 SOC 2 보고서 등)에 대한 온디맨드 액세스를 제공합니다. AWS는 또한 AWS에서 워크로드를 안전하게 운영하는 방법에 대하여 AWS 규정 준수 리소스 페이지에서 워크북, 백서 및 모범 사례를 제공합니다.
  

• AWS에서 고객 환경의 감사 및 로깅을 구현하려면 어떻게 해야 합니까?

  공동 책임 모델의 일환으로 고객은 규정 준수 요구 사항을 충족하기에 충분한 방식으로 고객의 AWS 환경 전체에 걸쳐 감사 및 로깅을 구현하는 것을 고려해야 합니다. AWS는 확장 가능한 로깅 및 로그 분석 아키텍처의 구현을 단순화하는 서비스를 제공합니다. AWS는 또한 AWS Marketplace에서 보안 로깅 솔루션을 제공하는 다양한 파트너를 보유하고 있습니다. AWS에서 로깅을 구현하는 방법에 대한 자세한 정보는 AWS 보안 로깅 기능 페이지를 참조하십시오.
  

• 캐나다에서 AWS를 활용하고 있는 다른 의료 서비스 조직의 예를 제공해줄 수 있습니까?

  최신 블로그 게시물에서 캐나다 의료 서비스 동향에 대한 내용을 확인할 수 있습니다. 여기에서 AWS 클라우드의 의료 서비스 규정 준수와 관련된 추가 정보를 찾아볼 수 있습니다.