목차

HIPAA 보안 규칙이란 무엇인가요?

목차

의료정보 이동 및 회계법(HIPAA)의 보안 규칙은 미국 의회가 HIPAA를 통과시킨 지 9년 후인 2005년에 제정되었습니다. 미국 보건복지부에 따르면 보안 규칙은 해당 단체가 생성, 수신, 사용 또는 유지하는 개인의 전자 개인 의료 정보를 보호하기 위한 국가 표준을 수립합니다.

보안 규칙은 보호 대상 건강 정보(PHI)의 보안을 위한 표준을 제공하는 HIPAA 개인정보 보호 규칙의 하위 집합입니다.

 

HIPAA 보안 규정이 중요한 이유는 무엇인가요?

HIPAA가 제정되기 전에는 환자의 의료 정보를 보호하기 위한 표준, 요구 사항 또는 프로세스가 없었습니다. 의료 서비스 제공이 점점 디지털화됨에 따라 의료 서비스 제공자는 빠르게 증가하는 전자 의료 데이터를 시스템에서 캡처, 저장, 공유, 보호해야 했습니다.

보안 규칙은 기밀성을 보장하고 환자와 의료진 간의 신뢰를 구축하는 데 필수적인 디지털 정보를 보호하기 위한 핵심적인 진전입니다.

동영상 1: 변화하는 의료 환경을 위한 사이버 보안

동영상 1: 변화하는 의료 환경을 위한 사이버 보안

 

HIPAA 보안 규칙 개요

보안 규정은 환자의 PHI 및 개인 식별 정보(PII)를 보호하기 위한 표준을 설정합니다. 또한 PII를 보호하기 위한 규정 준수 프레임워크와 침해 발생 시 영향을 받는 개인에 대한 통지에 관한 규칙을 마련합니다.

목적 및 범위

HHS에 따르면 보안 규칙은 적용 대상 기관이 환자 의료 데이터와 개인 정보 보호를 위해 필요한 안전 장치를 마련하도록 설계되었습니다. 이는 보험 적용 대상 기관과 비적용 대상 기관 모두에서 PHI가 기하급수적으로 증가함에 따른 조치입니다.

보안 규정의 범위는 매우 광범위하여 의료 보험, 의료 정보 센터 및 의료 정보를 전송하는 모든 의료 서비스 제공업체를 포괄합니다.

4가지 주요 목표

1. 전자 개인정보(ePHI)의 기밀성을 보장합니다.

더 많은 환자 데이터가 디지털 형식으로 제공됨에 따라 ePHI를 보호하는 것은 절대적인 요구 사항입니다.

2. 합리적으로 예상되는 위협을 식별하고 보호하세요.

모든 사이버 위협을 사전에 식별할 수는 없지만, 해당 기관은 이미 존재하는 위협으로부터 환자의 정보를 보호할 책임이 있습니다.

3. 허용되지 않는 사용 또는 공개로부터 보호하세요.

이는 기술 도구, 사람, 프로세스를 모두 포함하므로 제공업체에게 중요합니다.

4. 해당 법인의 직원들의 규정 준수 여부를 확인합니다.

해당 기관의 모든 구성원은 환자 데이터 개인정보 보호 및 보안을 보장하기 위해 적절한 안전 조치를 취해야 합니다. 즉, 적용 대상 기업은 직원들에게 보안 규정 요구 사항을 교육하고 규정 준수에 대한 교육을 실시해야 합니다.

 

HIPAA 보안 규칙 요구 사항

보안 규정은 전자 보호 대상 의료 정보(PHI)의 기밀성, 무결성 및 보안을 보장하기 위해 적절한 관리적, 물리적, 기술적 안전장치를 요구합니다.

1. 관리적 보호 조치

관리적 보호 조치는 PHI에 대한 잠재적 위험을 정확히 파악하고 결정하며 보안 위험 및 취약성을 줄이는 조치를 취하기 위한 것입니다. 또한 보안 담당자가 해당 기업의 보안 규칙 및 절차를 개발하고 구현하도록 의무화합니다. 또한 서비스 제공업체는 보안 가이드라인이 HIPAA 보안 규칙에 따른 가이드라인을 얼마나 효과적으로 충족하고 있는지 정기적으로 평가해야 합니다.

2. 물리적 보호 장치

물리적 안전장치는 시설에 대한 무단 물리적 접근을 제한하는 동시에 허가된 접근은 허용하는 등의 문제를 다룹니다. 또한 대상 기업은 전자적으로 저장된 데이터와 PII 및 PHI가 포함된 전자 미디어의 적절한 취급을 다루는 정책 및 절차를 구축해야 합니다.

3. 기술적 보호 장치

기술적 보호 조치는 적절한 권한을 가진 사람만 디지털 기록 및 기타 전자 정보에 액세스할 수 있도록 적절한 기술 정책을 마련하기 위해 고안되었습니다. 여기에는 의료 및 의료 기록을 캡처, 저장, 관리하는 데 필요한 하드웨어, 소프트웨어, 서비스뿐만 아니라 액세스를 관리하는 보안 자격 증명 및 인증 절차도 포함됩니다.

또한 디지털 네트워크를 통해 PHI 및 ePHI에 대한 부적절한 액세스로부터 보호하기 위해 설계된 암호화 및 기타 기술도 포함됩니다.

 

HIPAA 위반 통지 규칙

HHS는 데이터 유출을 개인정보 보호 규칙에 따라 허용되지 않는 사용 또는 공개로 정의하며, 이는 PHI의 보안 또는 개인정보를 침해하는 행위입니다. 다양한 이유로 인해 의료 서비스 제공 조직에서 보안 침해 방지는 의심의 여지가 없는 최우선 과제입니다. 그러나 침해가 발생하는 경우 HIPAA 침해 통지 규칙에 따라 HIPAA 적용 대상 기관과 그 비즈니스 협력업체는 보안되지 않은 PHI가 침해된 후 통지를 제공해야 합니다.

보안되지 않은 PHI가 유출된 경우 해당 기관은 해당 개인에게 유출 사실을 알려야 합니다. 이러한 통지는 일반적으로 실제 우편을 보내거나 환자가 전자 매체를 통해 보험 적용 기관의 서신을 수신하기로 선택한 경우 이메일을 통해 이루어질 수 있습니다.

또한 해당 기관은 HHS 장관에게 위반 사실을 알려야 하며, 경우에 따라 언론 매체에 알려야 할 수도 있습니다. 또한 타사 비즈니스 협력업체는 해당 비즈니스 협력업체에서 또는 해당 협력업체에 의해 침해가 발생한 경우 영향을 받는 개인에게도 마찬가지로 알려야 합니다.

 

HIPAA 규정 준수 및 시행

HHS 민권 사무소는 대부분의 HIPAA 적용 대상 기관에 대한 HIPAA 규정 준수 및 집행을 감독합니다. 민권국은 법 집행 기관으로 간주되기 때문에 민권국에서 수행하는 대부분의 활동은 비공개로 진행되며 일반적으로 공개되지 않습니다.

규정 준수 관련 조항은 조사, 위반에 대한 잠재적 민사 벌금, 청문회 절차 등을 다루는 HIPAA 시행 규칙의 일부입니다.

 

HIPAA 규정 준수를 위한 모범 사례

적용 대상 단체는 스마트한 비즈니스, 기술 및 운영 관행을 채택하여 항상 HIPAA를 완벽하게 준수하도록 해야 합니다. 여기에는 위험 평가, 잠재적으로 비정상적인 시스템 활동 모니터링, 명확한 역할 및 책임 개발, ePHI 데이터 유출 시 테스트 절차와 같은 단계가 포함되어야 합니다.

물론 적절한 기술 도구, 애플리케이션 및 서비스를 배치하는 것은 적절한 HIPAA 규정 준수 프레임워크를 구축하는 데 있어 핵심입니다.

또한 HHS는 대상 기관이 HIPAA 규정 준수를 위한 모범 사례를 이해하는 데 도움이 되는 유용한 도구를 제공합니다. 시민권 사무소는 HIPAA 적용 대상 기관 및 비즈니스 관계자를 위해 "인정된 보안 관행"에 대한 동영상 프레젠테이션을 제작했습니다. 주제는 다음과 같습니다:

  • 인정된 보안 관행에 관한 2021 HITECH 개정안
  • 규제 대상 기관이 인정된 보안 관행이 마련되어 있음을 입증하는 방법
  • OCR이 인정된 보안 관행에 대한 증거를 요청하는 방법
  • 인정된 보안 관행에 대한 정보 리소스
  • 인정된 보안 관행에 대한 OCR의 질문에 대한 답변
OCR로 인정받는 보안 사례 비디오 프레젠테이션

동영상 2: OCR로 인정받는 보안 사례 비디오 프레젠테이션

실무자, 의료진, IT, 사이버 보안, 모든 현업 부서 직원 등 모든 직원을 대상으로 한 내부 교육은 조직 전체가 ePHI 및 PII를 보호하기 위한 올바른 조치를 취할 수 있도록 정기적인 요법의 일부가 되어야 합니다.

 

HIPAA 보안 규정의 잠재적 동향

HIPAA는 처음 제정된 이래 의료 산업의 변화와 디지털 기술의 사용 증가를 반영하기 위해 정기적으로 업데이트 및 확장되는 역동적인 법안입니다. 적용 대상 기업의 의사 결정권자가 이해하고 고려해야 하는 주요 영역은 다음과 같습니다:

1. 강화된 사이버 보안 조치

끊임없이 진화하는 위협 환경으로 인해 의료 기관은 빠르게 등장하는 위협으로부터 조직을 방어할 수 있는 예산, 프로세스, 전문 지식 및 도구를 마련해야 합니다.

2. 새로운 기술

차세대 방화벽, 랜섬웨어 방지 툴, 위협 인텔리전스 서비스, 클라우드 보안, ID 관리, 관리형 탐지 및 대응, 엔드포인트 보안, 사물 인터넷(IoMT) 보안은 더 넓은 사이버 보안 기술 프레임워크의 필수 요소입니다.

3. 강화된 데이터 개인정보 보호 및 동의

의료 조직은 EU의 일반 개인정보 보호 규정(GDPR)과 현재 미국 전역에서 시행 중인 유사한 규정 등 더욱 강력한 데이터 개인정보 보호 및 동의 규정을 준수해야 하는 과제가 점점 더 많아지고 있습니다.

4. 타사 공급업체 관리

사업 협력자(해당 법인을 대신하여 PHI를 사용하거나 공개하는 기능을 수행하는 개인 또는 단체)도 보안 규칙을 준수해야 합니다. 제공업체는 비즈니스 협력업체 및 기타 제3자가 PHI 및 PII와 상호 작용하는 방식과 해당 데이터의 취급 및 보호를 위한 적절한 지침을 따르고 있는지 정기적으로 일상적으로 모니터링해야 합니다.

5. 협업 및 정보 공유 강화.

일반적인 HIPAA 규정, 특히 보안 규정이 끊임없이 변화하는 것처럼 규정 준수와 환자 데이터의 기밀성을 보장하는 데 필요한 단계도 변화하고 있습니다.

전문 의료 서비스 이용이 급격히 증가하면서 환자 정보가 더 자주, 더 다양한 시스템과 공유되고 있다는 의미입니다. 이로 인해 침해 및 규제 문제가 발생할 가능성이 높아지면서 조직은 특히 상호 연결된 의료 서비스 제공 프로세스에서 환자 데이터를 보호하기 위해 더 많은 협업 방법을 찾아야 합니다.

병원, 급성 치료 시설, 응급 치료, 의사 사무실, 외래 진료, 원격 의료 등 치료의 지속성이 다양하기 때문에 의료 제공자 간의 협업을 강화하는 이러한 추세는 특히 미션 크리티컬합니다.

팔로알토 네트웍스가 어떻게 전 세계 병원 및 의료 시스템에서 사이버 보안 리더로 선택받는지 알아보세요. https://www.paloaltonetworks.com/industry/healthcare.

 

HIPAA 보안 규칙 FAQ

의료 조직에 대한 사이버 공격은 운영을 방해하고 환자 개인정보 보호에 영향을 미칠 수 있습니다. HIPAA 보안 규정은 모든 병원과 의료 시스템이 기밀 정보가 유출되는 것을 방지하는 강력한 사이버 보안 환경을 갖추도록 보장합니다.
HIPAA 보안 규칙은 조직이 자체 사이버 보안 공급업체와 솔루션을 선택할 수 있도록 허용하므로 모든 접근 방식이 달라집니다. 하지만 네트워크, 클라우드, 엔드포인트, 디바이스, 사용자를 포함한 모든 기반을 포괄하는 사이버 보안 통합과같이 전체 환경을 보호하는 엔드투엔드 접근 방식을 제안합니다.
사이버 보안은 HIPAA 규정 준수를 위해 절대적으로 필요합니다. 하지만 더 중요한 것은 사이버 보안에 대한 강력한 접근 방식을 통해 침해 및 중단이 발생하지 않도록 하고, 조직이 침해 사실을 영향을 받는 당사자나 HHS에 알릴 필요가 없다는 점입니다.
관련 콘텐츠
의료 사이버 보안이란 무엇인가요?
위협 환경이 변화하고 있으며, 특히 의료 분야가 취약한 상황입니다. 의료 분야의 사이버 보안에 대해 알아야 할 모든 것이 여기에 있습니다.
의료 사이버 보안: 2024년에 주목해야 할 3가지 트렌드
원격 진료에서 연결된 디바이스에 이르기까지 이러한 사이버 보안 트렌드는 의료 분야의 디지털 혁신을 형성하고 있습니다.
2024년 의료 사이버 보안을 위한 3가지 우선 순위
2024년에 의료 서비스 CISO는 사이버 보안을 혁신하고 사이버 복원력을 확보할 수 있는 기회를 갖게 됩니다. 방법은 다음과 같습니다.
의료 분야의 안전한 디지털 혁신
의료 산업은 진화하고 있으며 사이버 공격도 진화하고 있습니다. 환자 데이터를 보호하고 위협에 한발 앞서 대응하세요.
다음 What Is Data Privacy Compliance?

최신 소식, 이벤트 초대장 및 위협 알림 받기

© Copyright 2026 팔로알토네트웍스코리아 유한회사 Palo Alto Networks Korea, Ltd. All rights reserved. 여러 가지 상표에 대한 소유권은 각 소유자에게 있습니다. 사업자 등록번호: 120-87-72963. 대표자 : 제프리찰스트루 서울특별시 서초구 서초대로74길 4, 1층 (삼성생명 서초타워) TEL: +82-2-568-4353