개인 의료정보 보호법(온타리오)

개요

개인 의료정보 보호법(PHIPA)은 온타리오의 개인정보 보호 법률이며 의료 서비스를 소개하고 제공하는 모든 과정에서 개인 의료정보(PHI)의 수집, 사용 및 공개하는 데 적용됩니다.

고객은 언제든 AWS에 저장된 콘텐츠에 액세스하여 이를 관리할 수 있습니다. AWS는 데이터의 PHIPA 법률 적용 여부를 비롯하여 고객이 네트워크에 업로드하는 내용을 볼 수 없고 알지 못하므로, 고객은 스스로 PHIPA 규정을 준수할 책임이 있습니다. AWS 고객은 AWS 환경을 설계 및 구현하고, PHIPA 규정을 준수하며 AWS 서비스를 사용할 수 있습니다.

AWS 캐나다(중부) 리전에서는 현재 Amazon Elastic Compute Cloud(Amazon EC2), Amazon Simple Storage Service(Amazon S3) 및 Amazon Relational Database Service(Amazon RDS)를 비롯하여 다양한 서비스를 제공합니다. AWS 리전 및 서비스의 전체 목록을 보려면 글로벌 인프라 페이지를 방문하십시오. 캐나다 리전 요금은 제품 및 서비스 페이지에 있는 각 서비스의 세부 정보 페이지에서 확인할 수 있습니다.

• PIPEDA와 PHIPA는 무엇입니까? 이러한 법률과 AWS는 어떤 관계가 있습니까?

  PIPEDA(Personal Information Protection and Electronic Documents Act)는 모든 캐나다 주에서 펼쳐지는 상업 활동 과정에서 개인 정보의 수집, 사용 및 공개에 적용되는 캐나다 연방법입니다. 또한, 일부 캐나다 주에서는 공공 및 민간 부문에서 주별 일반적인 보호법뿐만 아니라 개인 의료정보 보호법도 적용합니다. 개인 의료정보 보호법(PHIPA)은 온타리오의 개인정보 보호 법이며 의료 서비스를 소개하고 제공하는 모든 과정에서 개인 의료정보(PHI)의 수집, 사용 및 공개에 적용됩니다.

  AWS 고객이 PIPEDA, PHIPA 또는 기타 캐나다 주 정책에 영향을 받는지 여부와 영향을 받을 경우 그 범위는 고객의 사업 분야에 따라 다릅니다. 일반적으로 개인 의료정보를 취급하는 온타리오의 의료정보 관리자 및 관리 기관은 PHIPA를 준수해야 하며 사업 내용에 따라 다른 개인정보 보호법의 영향을 받기도 합니다. ‘의료정보 관리자’에는 의료 서비스 제공자(예: 의사, 간호사 등), 병원, 장기 요양원, 특수 질병 요양원, 지역 의료 서비스 액세스 센터, 지역 의료 서비스 통합 네트워크(LHIN), 약국, 의료 연구소, 지역 보건소, 구급차 출동 서비스, 지역 정신 건강 프로그램 및 보건 및 장기 요양부가 포함됩니다.

  그 밖의 기관도 PIPEDA 또는 주 개인보호 법의 적용을 받을 수 있습니다. PIPEDA에 관한 자세한 정보는 AWS PIPEDA 페이지에서 확인하십시오.

  개인정보 보호법과 적용 대상을 자세히 알고 싶은 고객은 법률 자문을 구하십시오.
  

• AWS는 PHIPA를 준수합니까?

  AWS 고객은 AWS 환경을 설계 및 구현하고, PHIPA 규정을 준수하며 AWS 서비스를 사용할 수 있습니다.

  PHIPA를 준수해야 하는 고객은 PHI 수집, 사용 및 공개와 관련된 요구 사항을 충족해야 합니다. AWS 서비스는 구조상 고객이 AWS를 사용할 때 콘텐츠 보안 방법과 콘텐츠 엑세스 가능자를 관리하는 등 콘텐츠 저장 및 처리 방식을 제어할 수 있습니다. AWS는 AWS에 저장된 모든 PHI의 보안을 지원하기 위해 고객이 구성하고 사용할 수 있는 서비스를 제공합니다. 적용되는 개인정보보호 요구 사항에 부합하는 솔루션을 설계하는 것은 고객의 책임입니다.

  PHIPA 준수는 SOC, PCI, FedRAMP 인증과 달리 공식적으로 인정되는 ‘인증’이 없다는 사실을 참고하십시오. 대신 AWS는 고객에게 AWS에서 설정하고 운영하는 정책, 프로세스 및 제어와 관련하여 상당한 양의 정보를 제공합니다. AWS는 AWS 규정 준수 리소스 페이지를 통해 워크북, 백서 및 모범 사례 가이드를 제공하며 고객이 요청할 경우 AWS 아티팩트에서 AWS 타사 감사 보고서에 액세스할 수 있습니다. 고객은 이 정보를 활용하여 AWS가 PHIPA에 따라 고객의 보안 요구 사항을 충족하는지 평가할 수 있습니다.
  

• PHIPA에 따라 개별적인 AWS 계약 또는 계약 개정의 경우, 미국 HIPAA에 따른 비즈니스 제휴 계약과 유사합니까?

  PHIPA에 따르면 고객과 AWS 간에 미국 HIPAA에서 요구하는 비즈니스 제휴 계약과 비슷한 동의가 필요한 것은 아닙니다. 특정 AWS 계약 항목의 적용성 관련 질문이 있는 고객은 계정 담당자와 상담하십시오.
  

• AWS는 고객이 AWS에 저장한 PHI에 액세스합니까?

  고객은 언제든 AWS에 저장된 콘텐츠에 액세스하여 이를 관리할 수 있습니다. AWS는 고객이 효과적으로 콘텐츠를 관리하고 이에 액세스할 수 있도록 고급 액세스, 암호화 및 로깅 기능을 제공합니다. AWS는 고객이 지시하거나, 구속력이 있는 정부 명령을 받거나, 관할 규제 기관의 명령을 받지 않는 한 고객 콘텐츠에 액세스하거나 이를 공개하지 않습니다. AWS는 AWS 서비스의 사용과 관련해 법적으로 금지하고 있거나 분명한 불법적 행동의 조짐이 있지 않은 한, 고객 콘텐츠를 공개하기 전에 이를 고객에게 알려 고객이 필요한 보호 조치를 할 수 있도록 합니다. 자세한 내용은 데이터 프라이버시 FAQ를 참조하십시오.
  

• PHIPA는 AWS 고객이 온타리오 또는 캐나다 외부로 데이터를 저장하거나 전송하지 못하도록 금지합니까?

  개인정보 보호법 준수와 관련된 문제는 고객이 직접 법률 자문을 구해야 합니다. 일반적으로 PHIPA에는 개인 또는 조직이 온타리오나 캐나다 밖으로 데이터를 전송하거나 저장하는 것을 제한하는 요구 조건이 없습니다. 하지만 PHIPA에서는 PHI 보호 조치를 취하는 엔터티를 요구합니다. 데이터를 캐나다 외부로 전송하거나 저장하는 행위가 보안 의무를 만족하는지 판단하는 것은 고객의 책임입니다.

  AWS 고객은 캐나다의 다른 주의 법이 적용되는지 확인하고 해당하는 법이 있다면 데이터 영주권 제한을 검토해야 합니다. AWS 고객이 사용자의 콘텐츠가 저장되는 리전을 선택합니다. AWS에서는 고객의 동의 없이 고객이 선택한 리전 외부로 고객 콘텐츠를 이동하거나 복제하지 않습니다.
  

• PHIPA는 PHI 암호화를 요구합니까?

  PHIPA에는 PHI 암호화와 관련된 요구 사항이 없습니다. 하지만 PHIPA의 영향을 받는 엔터티는 PHI 보호를 위한 조치를 취해야 하며 암호화가 보안 의무를 만족하는지는 각 고객이 판단해야 합니다. AWS는 PHI를 저장하고 전송할 때 항상 암호화하도록 권장합니다.
  

• AWS 사용과 관련하여 고객은 개인정보보호 영향 평가를 완료하기 위한 정보를 어떻게 얻을 수 있습니까?

  AWS는 고객이 AWS 환경과 보안 제어를 이해할 수 있도록 광범위한 자료를 제공합니다. AWS는 고객에게 AWS 아티팩트에서 타사 감사 보고서(SOC 1 및 SOC 2 보고서 등)에 대한 온디맨드 액세스를 제공합니다. AWS는 또한 AWS에서 워크로드를 안전하게 운영하는 방법에 대하여 AWS 규정 준수 리소스 페이지에서 워크북, 백서 및 모범 사례를 제공합니다.
  

• 고객은 AWS에서 감사 및 로깅을 어떻게 구현합니까?

  공동 책임 모델과 일관되도록 고객은 규정 준수 요구 사항을 충분히 충족하면서 고객의 AWS 환경 전체에 걸쳐 감사 및 로깅을 구현하도록 고려해야 합니다. AWS는 확장 가능한 로깅 및 로그 분석 아키텍처의 구현을 단순화하는 서비스를 제공합니다. AWS는 또한 AWS Marketplace에서 보안 로깅 솔루션을 제공하는 다양한 파트너를 보유하고 있습니다. AWS에서 로깅을 구현하는 방법에 대한 자세한 정보는 AWS 보안 로깅 기능 페이지를 참조하십시오.
  

• 캐나다에서 AWS를 활용하는 다른 기관의 예시를 제공해줄 수 있습니까?

  최신 블로그 게시물에서 캐나다 의료 서비스 동향에 대한 내용을 확인할 수 있습니다. 여기에서 AWS 클라우드의 의료 서비스 규정 준수와 관련된 정보를 찾아볼 수 있습니다.