번역한 문서
Health App Use Scenarios & HIPAA
Overview
이 시나리오는 HIPAA에 따라 두가지 문제점을 다룬다.
- HIPAA는 환자 헬스 앱을 통해 환자가 생성, 관리 및 구조화한 생체 정보를 어떻게 적용하는가?
- 앱 개발자는 언제 HIPAA 규정을 준수해야 하는가?
이러한 질문에 대한 답변은 사실과 상황에 따라 다르다.
아래의 각 시나리오는 특정 사실을 기반으로 한다.
시나리오를 검토하고, 자신의 상황에 적용할 때 이러한 사항을 유념한다.
시나리오의 변화는 분석을 달라지게 할 수 있으며, 결과적으로 앱 개발자가 HIPAA를 준수해야 하는지 여부를 결정하는 데 영향을 미칠 수 있다.
이를 통해 자체 분석에서 살펴봐야 할 특정 측면을 파악하는 데 도움이 되기를 바란다.
배경
의료 계획, 의료 정보 센터 및 대부분의 의료 서비스 제공 업체만이 HIPAA에 따라 보험에 가입되어있다.
이러한 개채 중 하나에서 일하고 있으며 작업의 일부로 식별 가능한 건강 정보의 사용 또는 공개를 포함하는 앱을 만드는 경우, 해당 개체(및 해당 직원의 구성원)는 HIPAA 규칙을 준수하여 해당 정보를 보호해야 한다.
HIPAA 규칙의 요구 사항과 준수 방법에 대한 자세한 내용은
이 문서을 참조.
그러나 귀하가 피보험자가 아니더라도 피보험자(또는 피보험자의 계약자 중 한 명)를 대신하여 앱을 만들거나 제공하는 경우, HIPAA 규칙의 특정 규정을 준수해야 하는 경우 사용자는 제휴사가 될 수 있다.
일반적으로, 동업자는 보호받는 기업이나 다른 제휴사를 대신하여 PHI를 생성, 수신, 유지 또는 전송하는 사람(또는 기업) 을 일컫는다.
PHI는 HIPAA 규정에 정의되어 있으며 일반적으로 식별 가능한 건강 정보이다.
따라서 PHI에 대한 접근을 수반하는 포괄기업에 대한 서비스를 제공하거나 기능을 수행하는 대부분의 벤더나 계약자(하도급자 포함)는 사업 관계자이다.
예를 들어, 피보험자가 환자나 등록자에게 제공하는 개인 건강 기록이나 환자 포털을 제공하고 관리하기 위해 피보험자가 PHI에 접근할 수 있는 기업은 사업 관계자이다.
아래 시나리오에서는 앱 개발자에게 HIPAA를 적용하는 방법을 언급한다.
의료정보 기관이 PHI를 전송하고 있는 모든 경우에, 의료정보 기관(예: 제공자)이 HIPAA를 준수해야 하는 독립적 의무를 경감시키는 것은 아래 분석에서 정보를 보호하기 위한 합리적인 보호 장치를 적용해야 한다.
Senario 1
소비자가 스마트폰에 헬스 앱을 다운 받는다.
그 소비자는 본인 정보를 축적한다.
예를 들어, 소비자는 가정 건강 용품을 사용하여 자신의 혈당 수치와 혈압 수치를 입력한다.
시나리오에 제시된 사실을 바탕으로 앱 개발자는 HIPAA 협력사인가?
아니다. 개발자는 피보호된 실체나 다른 사업체를 대신하여 PHI를 생성, 수신, 유지 또는 전송하지 않는다.
이 소비자는 개발자의 앱을 이용하여 의료 서비스 제공자의 개입 없이 정보를 관리하고 정리할 수 있도록 돕고 있다.
Senario 2
소비자는 본인의 만성적인 상태를 관리하는 것을 돕기 위해 고안된 건강 앱을 스마트폰에 다운로드한다.
소비자는 의사의 EHR에서 환자 포털을 통해 컴퓨터로 데이터를 다운로드한 다음 앱에 업로드한다.
소비자는 또한 앱에 자신의 정보를 추가한다.
시나리오에 제시된 사실을 바탕으로 앱 개발자는 HIPAA 협력사인가?
아니다. 개발자는 피보호된 실체나 다른 사업체를 대신하여 보호되는 건강 정보(PHI)를 생성, 수신, 유지 또는 전송하지 않는다.
대신에, 소비자는 제공자로부터 생체정보를 얻고, 그것을 소비자가 입력하는 생체정보와 결합하고, 앱을 이용하여 자신의 목적을 위해 그 정보를 구성하고 관리한다.
이 서비스를 제공하거나 용이하게 하기 위해 제공자의 제공자 또는 사업자가 앱 개발자를 고용한 표시가 없다.
Senario 3
의사는 환자에게 BMI가 너무 높다고 조언하고, 식이요법, 운동, 체중을 추적하는 특정 앱을 추천한다.
소비자는 스마트폰으로 앱을 내려받아 다음 진료 예약 전에 의사에게 요약 보고서를 보내는 데 사용한다.
시나리오에 제시된 사실을 바탕으로 앱 개발자는 HIPAA 협력사인가?
아니다. 개발자는 피보호된 실체나 다른 사업체를 대신하여 보호되는 건강 정보(PHI)를 생성, 수신, 유지 또는 전송하지 않는다.
의사의 권고는 앱에 대한 소비자의 신뢰를 암시하지만, 의사가 PHI를 다루는 환자들에게 서비스를 제공하기 위해 앱 개발자를 고용한 흔적은 없다.
소비자가 커버리지에 데이터를 전송하기 위해 앱을 사용하는 것 자체만으로 앱 개발자가 커버리지에 속하는 BA가 되는 것은 아니다.
Senario 4
소비자는 본인의 만성적인 상태를 관리하는 것을 돕기 위해 고안된 건강 앱을 스마트폰에 다운로드한다.
의료 사업자와 앱 개발자는 제공자인 EHR과 앱 사이의 소비자 정보의 안전한 교환을 촉진하는 소비자의 요청에 따라 상호운용성 협정을 체결하였다.
소비자는 앱에 정보를 저장하고 앱이 제공자의 EHR로 정보를 전송하도록 한다.
소비자는 앱을 통해 공급자의 테스트 결과에 액세스할 수 있다.
시나리오에 제시된 사실을 바탕으로 앱 개발자는 HIPAA 협력사인가?
아니다. 개발자는 피보호된 실체나 다른 사업체를 대신하여 보호되는 건강 정보(PHI)를 생성, 수신, 유지 또는 전송하지 않는다.
소비자가 개시한 접근을 용이하게 하기 위해 약정이 존재하기 때문에 상호운용성 약정만으로는 BA 관계가 형성되지 않는다.
앱 개발자는 소비자의 요청에 따라, 그리고 그녀를 대신하여 서비스를 제공하고 있다.
앱 개발자는 소비자를 대신하여 공급자에게 데이터를 전송하고 있다.
이 활동은 대상 기업과 BA 관계를 형성하지 않는다.
Senario 5
제공자의 지시에 따라 환자는 스마트폰에 건강 앱을 다운로드한다.
제공자는 원격 환자 건강 상담, 환자의 음식 및 운동 모니터링, 환자 메시지, EHR 통합 및 애플리케이션 인터페이스를 포함한 환자 관리 서비스를 위해 앱 개발자와 계약했다.
환자가 입력한 정보는 제공자 전자 건강 기록(EHR)에 자동으로 통합된다.
시나리오에 제시된 사실을 바탕으로 앱 개발자는 HIPAA 협력사인가?
맞다, 개발자는 보호 대상 엔티티를 대신하여 보호 상태 정보(PHI)를 생성, 수신, 유지 및 전송하기 때문에 공급자의 BA다.
이 경우, 제공자는 PHI의 생성, 수신, 유지 및 전송을 포함하는 환자 관리 서비스를 위해 앱 개발자와 계약하며, 앱은 이러한 서비스를 제공하는 수단이다.
