HIPAA의 중요성과 적용 대상 및 세부 규칙

미국 건강보험 이동성 및 책임에 관한 법률인 HIPAA(Health Insurance Portability and Accountability Act)는 건강보험과 개인정보 보호를 규제하기 위해 1996년 빌 클린턴 대통령이 서명한 법률입니다. 이번 포스트에서는 HIPAA의 중요성과 적용 대상 및 세부 규칙에 대해 다양한 관점에서 분석해 보도록 하겠습니다.

 

HIPAA (Health Insurance Portability and Accountability Act)

1. HIPPA의 중요성

HIPPA는 개인정보 보호와 건강보험 규제를 위한 중요한 법률로 건강보험 및 의료 시장에서 가입자 및 이용자의 개인정보를 보호하고 이를 위한 보안 요건을 제시하고 있습니다. 이를 통해 의료 정보 기술과 관련된 개인정보 보호 문제를 해결하는 등 건강보험 산업 및 개인정보 보호 분야에서 많은 변화를 가져왔습니다. HIPAA는 건강보험 시장을 규제함으로써 가입자들이 공정하고 합리적인 서비스를 받을 수 있도록 보장합니다. 이는 건강 보험 시장의 투명성을 높이고, 가입자들이 보험 회사에 대한 정보를 더 쉽게 얻을 수 있도록 하며, 의료 기관에서 의료 서비스를 받는 환자들의 민감한 개인 정보가 오용되는 것을 막는 데 의의가 있습니다.

 

2. 적용 대상

HIPAA는 개인의 보호대상 건강정보(Protected Health Information, PHI)를 보호할 책임이 있는 조직에서 취급하는 데이터에 대한 개인정보 보호 및 보안 요구사항을 규정하며, 여기에서 규정된 '적용 대상 기관(covered entities)' 또는 '업무 제휴사(business associates)'에 적용되는 미국 연방 법률입니다. 적용 대상 기관으로는 의료인, 의료기관, 건강보험사, 건강정보처리기관 등이 포함되며, 업무 제휴사는 보험청구를 처리하거나 환자 데이터를 분석하는 등 적용 대상 기관을 대신하여 특정 기능 또는 행위를 수행하는 개인 또는 단체입니다. HIPAA는 모든 형태의 보호대상 건강정보(PHI)에 적용됩니다. PHI는 인구학적 데이터, 과거 병력, 검사 결과, 보험 정보 등의 개인식별 건강정보를 포함합니다. 따라서 병원 외부로 유출될 수 있는 개인 디지털 건강 정보 기록인 전자건강기록(Eletronic Health Record, EHR)에 대한 규제 또한 포함됩니다. 이는 환자의 건강 정보를 디지털 형식으로 저장하는 과정에서 개인 정보 보호와 보안 요건을 충족하도록 규제하며, 환자의 건강 정보에 대한 접근 및 공유를 제한하고 있습니다. 이를 통해 환자들의 개인 정보를 보호하고 의료 전자 기록의 안전성을 높이는 것을 목적으로 하고 있습니다.

 

3. 세부 규칙

(1) 개인정보 보호 규칙 (Privacy Rule)

HIPAA 개인정보 보호 규칙은 개인의 보호대상 건강정보(PHI)를 보호하기 위한 국가적 표준을 규정합니다. 개인정보 보호 규칙으로는 전자 정보, 문서 정보, 구두 정보 등 모든 형태의 보호대상 건강정보에 적용됩니다. 개인정보 보호 규칙은 이 규칙이 적용되는 기관에서 행정적, 물리적, 기술적 보호장치를 포함하여 보호대상 건강정보를 보호하기 위한 방침 및 절차를 시행하도록 요구하고 있습니다. 또한 해당 기관은 개인의 보호대상 건강정보를 공개하기 전에 반드시 개인으로부터 서면 동의를 받아야 하고, 개인에게 자신의 건강정보에 접근하고 변경 요청할 수 있는 권리를 제공해야 합니다.    

(2) 보안 규칙 (Security Rule)

HIPAA 보안 규칙은 보호대상 건강정보로서의 전자 정보(ePHI)를 보호하기 위한 국가적 표준을 규정하고 있습니다. 해당 기관은 ePHI의 기밀 유지, 안정성, 가용성을 보장하기 위해 반드시 합당하고 적절한 보호 장치를 마련하고 시행해야 합니다. 보안 규칙은 해당 기관이 위험 분석을 실시하고 접근 통제, 감사 통제, 암호화 등의 보안 조치를 시행하여 ePHI를 보호하도록 하고 있습니다. 해당 기관은 반드시 자사의 관련 인력에게 보안 방침과 절차에 관한 교육  또한 진행해야 합니다. 

(3) 위반 통지 규칙 (Breach Notification Rule)

HIPAA의 위반 통지 규칙은 보호되지 않은 PHI의 위반 사례가 발생할 경우 관련 기관은 피해를 당한 개인 및 보건 당국, 그리고 일부의 경우에는 언론에 이 사실을 통지할 것을 요구하고 있습니다. 위반 사례가 발견되고 합당한 지체 사유가 없다면  60일 이내에 반드시 이를 통지해야 합니다. 통지 시에는 위반 내용에 대한 설명, 관련된 개인정보 유형, 개인이 취해야 하는 보호 조치 등에 대한 설명, 그리고 해당 기관의 연락 정보가 반드시 포함되어야 합니다.

(4) 시행 규칙 (Enforcement Rule)

HIPAA의 시행 규칙은 HIPAA 위반에 대한 민원을 조사하고 규정 미준수에 대한 벌금을 부과하는 등의 절차를 규정하고 있습니다. 이 규칙은 보건당국이 HIPAA 위반 건의 민원을 조사하고, 민사 상 벌금을 부과하거나 시정 조치 처분을 내리고, 고의적 태만 시에는 형법상 벌금을 부과할 권한을 부여합니다. 해당 기관과 업무 제휴 기관은 반드시 HIPAA 규정을 준수해야 하며 그렇지 않을 경우 고액의 벌금형에 처하게 됩니다.

(5) HIPAA와 원격 의료

코로나19 팬데믹으로 원격 의료 서비스의 도입이 가속화되었고 이러한 추세에 발맞추기 위해 HPAA가 개정되었습니다. 미국 보건 당국은 원격 의료에 관한 지침을 공표하고 특정 HIPAA 요건을 완화하였고, 이를 통해 의료인 또는 의료기관이 줌이나 스카이프 등을 이용한 비공개 대면 원격 통신 기술을 사용하도록 허가하여 원격 진료서비스를 제공할 수 있도록 하였습니다. 단, 해당 기관에서는 반드시 개인 건강 정보를 보호하기 위해 합당한 안전 조치를 시행하고 HIPAA 규정을 반드시 준수하며 원격 진료 서비스를 제공해야 합니다.

 

지금까지 알아본 바와 같이 HIPAA는 개인정보의 보호와 개인의 건강정보 보안에 대한 중요성이 날로 커지는 현재의 환경에서 없어서는 안 될 필수 법률로 해당 기관 및 단체에서 이를 반드시 준수하도록 규정하고 있습니다. 또한 원격 진료 서비스의 성장으로 서비스 제공자는 개인 정보를 보호하기 위한 보호장치를 마련하고 규정을 준수하는 것이 중요합니다. 이는 비단 미국뿐만 아니라 많은 나라에서 민감한 개인정보를 보호를 의무화하는 법률이 강화되고 있는 가운데 우리나라 또한 개인의 사생활 정보와 건강정보를 법률로 적극적으로 보호하고 있으므로 관련 기관은  해당 규정 정보를 예의 주시하고 이를 위반하지 않도록 더욱 주의를 기울여야 할 것입니다.