특정 건강 정보 공유 관련 법(퀘벡주)

개요

특정 건강 정보 공유 관련 법, CQLR, c P-9.0001(이하 "퀘벡 법안")은 캐나다 퀘벡주에서 의료 서비스 제공과 관련하여 의료 정보를 수집, 사용 및 공개하는 데 대한 퀘벡에서 가장 주요한 법률입니다. 퀘벡 법안은 1차 의료 서비스 및 돌봄 지속에 필수적인 것으로 간주되는 의료 정보 공유를 지원하는 정보 자산을 정립하여 의료 서비스와 사회복지 서비스 수준을 개선하고, 그러한 서비스에 대한 접근성을 강화하고자 제정되었습니다. 나아가 의료 및 사회복지 정보를 관리하고 통제된 방식으로 사용함으로써 퀘벡 의료 체계의 수준, 효율성과 성과를 개선하는 효과를 얻는 것이 목표입니다. 이 페이지에서 다루는 정보와 관련해서는 퀘벡 법안에 주안점을 두고 언급하게 되겠지만, 퀘벡주에는 공공기관에서 소유한 문서에 대한 액세스 권한 및 개인정보 보호에 관한 법, CQLR, c. A-2.1도 있어 의료 및 사회복지 기관까지 적용 범위를 확대하며, 퀘벡주 법안 민간 부문에서의 개인정보 보호에 관한 법, CQLR, c P-39.1로는 민간 부문에서의 개인정보 수집, 사용 및 공개에 관한 규정을 정립한 바 있습니다.

고객은 언제든 AWS에 저장된 콘텐츠를 관리하고 액세스하는 방법을 제어할 수 있습니다. AWS는 고객의 데이터가 퀘벡 법안을 준수해야 하는 대상인지 여부를 포함하여 고객이 자사 네트워크에 업로드하는 데이터의 내용을 알지 못하며, 고객이 퀘벡 법안을 준수할 책임은 전적으로 고객에게 있습니다. AWS 고객은 퀘벡 법안에 따른 의무를 이행하는 방식으로 AWS 환경을 설계 및 구현하고 AWS 서비스를 이용할 수 있습니다.

AWS 캐나다(중부) 리전에서는 현재 Amazon Elastic Compute Cloud(Amazon EC2), Amazon Simple Storage Service(Amazon S3) 및 Amazon Relational Database Service(Amazon RDS)를 비롯하여 다양한 서비스를 제공합니다. AWS 리전 및 서비스의 전체 목록을 보려면 글로벌 인프라 페이지를 방문하십시오. 캐나다 리전 요금은 제품 및 서비스 페이지에 있는 각 서비스의 세부 정보 페이지에서 확인할 수 있습니다.

• PIPEDA는 무엇이고 퀘벡 법안은 무엇입니까? 이러한 법률 간에는 어떤 관계가 있습니까?

  Personal Information Protection and Electronic Documents Act(PIPEDA)는 모든 캐나다 주에서 펼쳐지는 상업 활동 과정에서 개인 정보의 수집, 사용 및 공개에 적용되는 캐나다 연방법입니다. 또한, 일부 캐나다 주에서는 공공 및 민간 부문에 적용되는 독자적인 일반 개인 정보 보호법뿐만 아니라 개인 의료 정보와 관련된 보호법도 도입했습니다. 퀘벡주의 특정 건강 정보 공유 관련 법, CQLR, c P-9.0001(이하 ‘퀘벡 법안’)은 퀘벡주의 개인정보 보호법으로, 1차 의료 서비스 및 돌봄 지속에 필수적인 것으로 간주되는 의료 정보 공유를 지원하는 정보 자산을 정립하여 의료 서비스와 사회복지 서비스 수준을 개선하고, 그러한 서비스에 대한 접근성을 강화하고자 제정되었습니다. 나아가 의료 및 사회복지 정보를 관리하고 통제된 방식으로 사용함으로써 퀘벡 의료 체계의 수준, 효율성과 성과를 개선하는 효과를 얻는 것이 목표입니다. 퀘벡 법안은 사설 전문의 의료 시설, 약국, 전문 의료 센터, 의료 및 사회복지 서비스 제공자를 포함하여 퀘벡 법안 제4항에 명시된 기타 인물 및 법인을 포함하며 이에 국한되지 않는 인물 또는 파트너십 중 정보 자산(본문의 정의 참조)을 호스팅, 운영 또는 사용하는 경우에 해당합니다. 퀘벡 법안에 따라 "정보 자산"이란 "각종 데이터베이스, 정보 시스템, 전기통신 시스템, 기술적 인프라 또는 그 조합이나 전문화 또는 고도로 전문화된 의료 장비의 각종 컴퓨터 구성 요소"로 정의됩니다.

  AWS 고객이 PIPEDA, 퀘벡 법안 또는 여타 모든 캐나다 주 개인 정보 보호법 요구 사항 대상인지 여부 및 적용 정도는 고객의 사업 분야에 따라 다릅니다.

  그 밖의 조직도 PIPEDA 또는 여타 주 정부 개인정보 보호법의 적용 대상일 수 있습니다. PIPEDA에 대한 자세한 정보는 여기 AWS 웹사이트를 참조하십시오.

  자사에 적용되는 개인 정보 보호법을 이해하고자 하는 고객은 직접 법률 자문을 구하시기 바랍니다.
  

• 고객이 AWS에서 퀘벡 법안을 준수하려면 어떻게 해야 합니까?

  AWS 고객은 퀘벡 법안에 따른 의무를 이행하는 방식으로 AWS 환경을 설계 및 구현하고 AWS 서비스를 이용할 수 있습니다.

  퀘벡 법안의 적용 대상인 고객은 의료 정보의 관리, 수집, 액세스, 사용, 공개 및 보호와 관련한 요구 사항을 준수해야 할 수 있습니다. AWS는 AWS 서비스를 사용할 때 콘텐츠가 저장되거나 처리되는 방식을 고객이 제어하도록 합니다. 여기에는 콘텐츠 보안 방법과 해당 콘텐츠에 액세스할 수 있는 사람에 대한 제어가 포함됩니다. AWS는 고객이 AWS에 저장하는 건강 정보의 보안에 도움이 되도록 고객이 구성하고 사용할 수 있는 서비스를 제공합니다. 적용되는 개인정보보호 요구 사항에 부합하는 솔루션을 설계하는 것은 고객의 책임입니다.

  퀘벡 법안 준수에 대해서는 법인에서 SOC, PCI 또는 FedRAMP 인증 또는 공인을 받는 것과 같은 방식으로 공식적으로 인정되는 "인증"이 없다는 사실을 참고하십시오. 대신 AWS는 고객에게 AWS에서 설정하고 운영하는 정책, 프로세스 및 제어와 관련하여 상당한 양의 정보를 제공합니다. AWS는 AWS 규정 준수 리소스 페이지를 통해 워크북, 백서 및 모범 사례 가이드를 제공하며 고객은 요청 시 AWS Artifact에서 AWS 타사 감사 보고서에 액세스할 수 있습니다.
  

• AWS는 고객이 AWS에 저장한 건강 정보에 액세스합니까?

  고객은 언제든 AWS에 저장된 콘텐츠를 관리하고 액세스하는 방법을 제어할 수 있습니다. AWS는 고객이 액세스 및 콘텐츠를 관리하도록 돕기 위해 고급 액세스, 암호화 및 로깅 기능 집합을 제공합니다. AWS는 고객이 지시하거나, 법적 구속력이 있는 정부 명령을 받거나, 관할 규제 기관의 명령을 받지 않는 한 고객 콘텐츠를 액세스하거나 공개하지 않습니다. AWS는 AWS 서비스의 사용과 관련해 법적으로 금지하고 있거나 분명한 불법적 행동의 조짐이 있지 않은 한, 고객 콘텐츠를 공개하기 전에 이를 고객에게 알려 고객이 필요한 보호 조치를 할 수 있도록 합니다. 자세한 내용은 데이터 프라이버시 FAQ를 참조하십시오.
  

• 퀘벡 법안에 따르면 AWS 고객은 퀘벡주나 캐나다 외부에 데이터를 전송하거나 유휴 데이터를 보관할 수 없습니까?

  개인 정보 보호법 준수와 관련된 문제는 고객이 직접 법률 자문을 구해야 합니다. 퀘벡 법안에 따라 적용 대상인 인물은 관리, 기술 및 물리적 안전장치와 같이 자사에서 소유하거나 관리하는 의료 정보를 보호할 목적으로 특정 수단을 통해 조처해야 할 수 있습니다. 퀘벡 또는 캐나다 외부에 보관, 외부에서 액세스, 사용 또는 공개될 예정인 의료 정보의 경우 퀘벡 법안에 따라 그와 같이 퀘벡 또는 캐나다 외부에 보관, 외부에서 액세스, 사용 또는 공개하기에 앞서 특정 의무 사항이 부과될 수 있습니다. 퀘벡 법안에 따른 고객의 보안 및 개인정보 보호 의무에 따라 데이터를 퀘벡 또는 캐나다 외부로 전송하거나 외부에 보관하는 행위가 적법한지를 판단할 책임은 각 고객 본인에게 있습니다.

  AWS 고객은 PIPEDA 또는 캐나다 다른 주의 법 적용을 받는지 확인하고 데이터 레지던시 제한에 대해 해당 법을 검토해야 합니다. AWS 고객이 콘텐츠가 저장되는 리전을 선택합니다. AWS에서는 고객의 동의 없이는 고객이 선택한 리전 외부로 고객 콘텐츠를 이동하거나 복제하지 않습니다.
  
  

• 퀘벡 법안에 따르면 의료 정보를 암호화해야 합니까?

  퀘벡 법안에 따르면 의료 정보를 암호화해야 한다는 구체적인 요구 사항은 없습니다. 다만 퀘벡 법안의 적용 대상인 법인에는 의료 정보를 안전하게 보호하기 위해 필요한 단계를 밟을 의무가 있으며 자사 보안 의무를 이행하기 위해 암호화가 적절한 수단인지 여부를 판단할 책임은 각 고객에게 있습니다. AWS는 건강 정보를 저장하고 전송할 때 항상 암호화할 것을 권장합니다.
  

• 고객은 AWS 사용과 관련하여 개인 정보 보호 영향 평가를 완료하는 데 필요한 정보를 어떻게 얻을 수 있습니까?

  AWS는 고객이 AWS 환경과 보안 제어를 이해하도록 돕기 위해 광범위한 구성 요소를 제공합니다. AWS는 고객에게 AWS Artifact에서 타사 감사 보고서(SOC 1 및 SOC 2 보고서 등)에 대한 온디맨드 액세스를 제공합니다. AWS는 또한 AWS에서 워크로드를 안전하게 운영하는 방법에 대하여 AWS 규정 준수 리소스 페이지에서 워크북, 백서 및 모범 사례를 제공합니다.

• AWS에서 고객 환경의 감사를 구현하려면 어떻게 해야 합니까?

  공동 책임 모델의 일환으로 고객은 규정 준수 요구 사항을 충족하기에 충분한 방식으로 고객의 AWS 환경 전체에 걸쳐 감사 및 로깅을 구현하는 것을 고려해야 합니다. AWS는 확장 가능한 로깅 및 로그 분석 아키텍처의 구현을 단순화하는 서비스를 제공합니다. AWS는 또한 AWS Marketplace에서 보안 로깅 솔루션을 제공하는 다양한 파트너를 보유하고 있습니다. AWS에서 로깅을 구현하는 방법에 대한 자세한 정보는 AWS 보안 로깅 기능 페이지를 참조하십시오.
  

• 캐나다에서 AWS를 활용하고 있는 다른 의료 서비스 조직의 예를 제공해줄 수 있습니까?

  최신 블로그 게시물에서 캐나다 의료 서비스 동향에 대한 내용을 확인할 수 있습니다. AWS 클라우드에서의 의료 서비스 규정 준수에 관한 추가 정보는 여기를 참조하십시오.