원문 링크
링크 : 링크텍스트
Introduction
클라우드 컴퓨팅 솔루션의 확산과 광범위한 채택으로, HIPAA는 전자 보호 보건 정보(ePHI)의 개인 정보 보호 및 보안을 보호하는 규정을 준수하면서 클라우드 컴퓨팅을 활용할 수 있는지, 그리고 어떻게 활용할 수 있는지에 대해 의문을 제기하고 있다.
이 지침은 클라우드 서비스 공급자(CSP)를 포함한 그러한 기업들이 그들의 HIPAA 의무를 이해하는 데 도움이 된다.
클라우드 컴퓨팅은 여러 형태가 있다. 이 지침은 서비스 사용을 고려할 때 대상 기업 또는 비즈니스 관계자와 법적으로 분리된 CSP가 제공하는 클라우드 리소스에 초점을 두었다.
CPS는 일반적으로 사용자의 요구에 따른 여러 단계의 기능을 하는 컴퓨터 자원을 공유하기 위한 온라인 엑세스, (전자 의료 기록 시스템과 같은) 단순한 데이터 스토리지에서 완전한 소프트웨어 솔루션에 이르기까지 다양한 기능, 애플리케이션 개발자의 새로운 제품 생성 능력을 단순화하는 플랫폼, 그리고 소프트웨어 프로그래머가 프로그램을 배포하고 테스트할 수 있도록 전체 컴퓨팅 인프라를 제공한다.
흔한 클라우드 서비스는 컴퓨팅(예: 네트워크, 서버, 스토리지, 애플리케이션) 서비스에 대한 온디맨드 인터넷 액세스다.
클라우드 컴퓨팅 서비스 유형 및 기술 준비 옵션에 대한 정보를 찾고자 하는 대상 기업과 비즈니스 관계자에게 국립표준기술연구소가 제공하는 리소스를 참조할 것을 권장한다.; 참고 문서
HIPAA 프라이버시, 보안 및 위반 통지 규칙(HIPAA 규칙) 은 그러한 정보의 사용 및 공개에 대한 제한, 부적절한 사용 및 공개에 대한 보호, 자신의 건강 정보에 대한 개인의 권리를 포함하여 개별적으로 식별 가능한 건강 정보(HIPAA가 다루는 기업이나 사업 관계자에 의해 생성, 수신, 유지 또는 전송되는 경우 보호되는 건강 정보 또는 PHI라고 하는)에 대한 중요한 보호를 확립한다.
대상 기업과 비즈니스 관계사는 HIPAA 규칙의 해당 조항을 준수해야 한다.
대상 기업은 특정 청구 및 지급 관련 거래를 전자적으로 수행하는 의료 계획, 의료 정보 센터 또는 의료 제공자이다.
사업연관자는 PHI의 생성, 수령, 유지 또는 전송을 수반하는 피보험자의 노동인력을 대신하여 기능이나 활동을 수행하거나 특정 용역을 제공하는 기업 또는 개인이다.
비즈니스 관계사는 또한 다른 비즈니스 관계사를 대신하여 PHI를 생성, 수신, 유지 또는 전송하는 모든 하청업체이다.
대상 기업이 이를 대신하여 ePHI(ePHI 처리 및/또는 저장)를 생성, 수신, 유지 또는 전송하기 위해 CSP의 서비스를 사용하는 경우 CSP는 HIPAA에 따라 비즈니스 관계사이다.
또한, 기업이 자신을 대신하여 ePHI를 생성, 수신, 유지 또는 전송하기 위해 CSP와 하청계약을 체결하는 경우, CSP 하청업체 자체는 사업상 협력업체가 된다.
CSP가 암호화된 ePHI만 처리하거나 저장하며 데이터에 대한 암호화 키가 없는 경우에도 마찬가지이다.
암호화 키가 부족하다고 해서 CSP가 HIPAA 규칙에 따른 비즈니스 관련 상태 및 의무에서 제외되는 것은 아니다.
그 결과, 대상 기업(또는 비즈니스 관계사)과 CSP는 HIPAA 준수 비즈니스 제휴 계약(BAA)을 체결해야 하며, CSP는 BAA의 조건을 준수할 수 있는 계약상의 책임과 HIPAA 규칙의 해당 요건을 준수할 직접적인 책임이 있다.
이 지침은 HIPAA 규제 CSP와 고객이 클라우드 제품 및 서비스를 사용하여 ePHI를 생성, 수신, 유지 또는 전송할 때 HIPAA 규칙에 따른 책임을 이해하는 데 도움이 되는 주요 질문과 답변을 제시한다.
Q1 : HIPAA의 대상 기업이나 사업 제휴사가 클라우드 서비스를 사용하여 ePHI를 저장 또는 처리할 수 있는가?
처리할 수 있다, 대상 기업이나 사업 제휴사가 자신을 대신하여 전자 보호 상태 정보(ePHI)를 작성, 수신, 유지 또는 전송하는 CSP와 HIPAA 준수 비즈니스 제휴 계약(BAA)을 체결하고, 그렇지 않으면 HIPAA 규칙을 준수할 것이다.
무엇보다도 BAA는 당사자와 비즈니스 관계사가 수행하는 활동 또는 서비스 간의 관계를 기반으로 해당 대상 또는 동업자를 위해 활동 또는 서비스를 수행하는 비즈니스 관계사가 ePHI의 허용 또는 필수 사용 및 공개를 설정한다.
BAA는 또한 계약적으로 보안 규칙의 요구 사항 구현을 포함하여 비즈니스 관계자에게 ePHI를 적절히 보호할 것을 요구한다.
OCR은 다음의 문서를 만들었다.
guidance on the elements of BAAs.
CSP를 체결하는 대상 기업(또는 사업 제휴사)은 특정 CSP가 제공하는 클라우드 컴퓨팅 환경 또는 솔루션을 이해하여 대상 기업(또는 사업 제휴사)이 자체 위험 분석을 적절하게 수행하고 위험 관리 정책을 수립할 수 있어야 하며 적절한 BAA를 체결할 수 있어야 한다.
다음을 참고
- 45 CFR §§ 164.308(a)(1)(ii)(A);
- 164.308(a)(1)(ii)(B); and
- 164.502.
대상 기업과 비즈니스 관계사 모두 위험 분석을 수행하여 이들이 생성, 수신, 유지 또는 전송하는 모든 ePHI의 기밀성, 무결성 및 가용성에 대한 잠재적 위협 및 취약성을 식별하고 평가해야 한다.
예를 들어, 대상 기업이나 사업 관련자는 CSP와 함께 BAA에 가입하는 경우(공용, 하이브리드, 프라이빗 등) 모든 구성의 클라우드 기반 서비스를 사용할 수 있지만, 사용할 클라우드 구성의 유형은 모든 당사자의 위험 분석 및 위험 관리 계획 및 BAA의 결과적인 규정에 영향을 미칠 수 있다.
또한 서비스 수준 계약(SLA)은 일반적으로 CSP와 고객 간의 보다 구체적인 비즈니스 기대 사항을 해결하는 데 사용되며, 이는 HIPAA 규정 준수와도 관련이 있을 수 있다.
예를 들어, SLA에는 다음과 같은 HIPAA 문제를 다루는 조항이 포함될 수 있다.
- 시스템 가용성 및 신뢰성;
- 백업 및 데이터 복구(예: 랜섬웨어 공격 또는 기타 비상 상황에 대응할 수 있는 필요 시)
- 서비스 이용 종료 후 고객에게 데이터를 반환하는 방식
- 보안 책임
- 사용, 보존 및 공개 제한
Q2 : CSP가 암호화된 ePHI만 저장하고 암호 해독 키가 없는 경우 HIPAA 비즈니스 관계사인가?
그렇다. CSP는 대상 기업 또는 다른 비즈니스 관계자에 대해 전자 보호 상태 정보(ePHI)를 수신 및 유지 관리(예: 처리 및/또는 저장)하기 때문이다.
수신 및 유지 관리하는 암호화된 데이터에 대한 암호화 키가 부족하다고 해서 CSP가 HIPAA 규칙에 따른 비즈니스 관련 상태 및 관련 의무에서 제외되는 것은 아니다.
기업이 실제로 ePHI를 볼 수 없는 경우에도 적용 대상 기업(또는 다른 비즈니스 관계자)을 대신하여 ePHI를 유지하는 기업이 비즈니스 관계자이다.
따라서, 암호 해독 키를 보유하지 않아 정보를 볼 수 없는 경우에도, 대상 기업(또는 다른 비즈니스 관계자)를 대신하여 암호화된 ePHI를 유지하는 CSP는 비즈니스 관계자이다.
편의를 위해 이 지침에서는 CSP가 암호 해독 키에 액세스하지 않고도 대상 기업(또는 다른 사업 관계자)을 대신하여 암호화된 ePHI를 유지하는 상황을 기술하기 위해 no-viewservices 라는 용어를 한다.
암호화는 권한이 없는 사람이 보는 정보의 위험을 크게 줄임으로써 ePHI를 보호하지만, 이러한 보호만으로는 보안 규칙에서 요구하는 대로 ePHI의 기밀성, 무결성 및 가용성을 적절히 보호할 수 없다.
암호화는 악성 프로그램으로 인해 정보가 손상되지 않도록 보장하거나 비상 계획을 통해 비상 상황이나 재해 상황에서도 공인 작업자가 데이터를 사용할 수 있도록 보장하는 등 ePHI의 무결성과 가용성을 유지하지 않다.
또한 암호화는 ePHI에 대한 위험을 분석하는 관리적 보호 또는 ePHI를 수용하는 시스템과 서버의 물리적 보호와 같이 기밀성을 유지하는 데 중요한 다른 보호 조치를 다루지 않다.
비즈니스 관계자로서, no-view 서비스를 제공하는 CSP는 HIPAA 규칙의 다른 적용 가능한 요건에서 제외되지 않습니다.
그러나 이 규칙의 조건은 CSP가 제공하는 서비스의 no-view 특성을 고려하여 유연하고 확장 가능하다.
Security Rule Consideration
비즈니스 관계자인 모든 CSP는 ePHI와 관련하여 보안 규칙의 해당 표준 및 구현 사양을 준수해야 한다.
그러나 CSP가 대상 기업(또는 비즈니스 관계) 고객에게 no-view 서비스만 제공하는 경우, CSP가 유지하는 ePHI에 적용되는 특정 보안 규칙 요구 사항은 당사자 중 한 사람의 조치를 통해 양쪽 당사자에게 모두 충족될 수 있습니다.
특히 CSP가 관리하는 ePHI를 볼 수 있는 고객 제어만 있는 경우 인증이나 고유한 사용자 식별과 같은 특정 액세스 제어는 고객의 책임일 수 있으며, 암호화와 같은 다른 제어는 CSP 비즈니스 관계자의 책임일 수 있습니다.
그러나 비즈니스 관계자로서 CSP는 고객의 ePHI를 유지하는 정보 시스템에 대한 액세스를 제한하기 위해 합리적이고 적절한 다른 제어를 구현하는 보안 규칙에 따라 여전히 책임이 있다.
예를 들어, 고객이 ePHI에 대한 액세스를 인증할 책임이 있다고 동의한 경우에도, 당사자들이 CSP는 여전히 정보 시스템 운영에 필수적인 자원(스토리지, 메모리, 네트워크 인터페이스, CPU .. )을 관리하는 관리 도구에 대한 인증된 액세스만 보장하기 위해 적절한 내부 제어를 구현해야 할 수 있다.
