The access right, health apps, & APIs
이 지침은 링크에서 확인할 수 있는, 18-cv-0040호(D.D.C. 1월 23일)의 Ciox Health, LLC v. Azar, No. 18-cv-0040에 대한 법원의 명령과 일관되는 범위에서만 유효하다.
명령에 대한 자세한 내용은 링크에서 확인할 수 있다.
본 지침 내에서 Ciox Health 결정에 의해 무효화된 모든 조항은 폐기된다.
Question & Answer 1
Q: HIPAA는 받은 건강정보의 사용 또는 공개에 대해 HIPAA 프라이버시, 보안 또는 위반 통지 규칙(HIPAA 규칙)에 따라 애플리케이션이나 다른 소프트웨어(앱)에 전자 보호 건강정보(ePHI)를 전송하기 위한 개인의 요청을 이행하는 기업을 대상으로 하고 있는가?
A: 대답은 적용대상 기업과 앱 간의 관계에 따라 다르다.
일단 HIPAA에 따라 보상받는 기업이나 사업 제휴사가 아닌 앱에 의해 개인의 지시에 따라 건강 정보가 수신되면, 그 정보는 더 이상 HIPAA 법의 보호의 대상이 되지 않는다.
개인의 앱이 개인이 요청한 ePHI를 받기 위해 그것을 자의적으로 선택한 경우, 피보험자에 의해 또는 피보험자에 의해 제공되지 않은 경우(따라서 피보험자를 대신하여 ePHI를 생성, 수신, 전송 또는 유지하지 않는 경우), 피보험자는 피보험자가 수령한 요청 ePHI의 후속 사용 또는 공개에 대해 HIPAA 규칙에 따라 책임을 지지 않을 것이다.
예를 들어 나중에 개인에게 ePHI를 받도록 지정한 앱이 위반을 경험한다면, 보장 단체는 HIPAA법 또는 법적 책임을 지지 않을 것이다.
한편, 적용대상 기업과 애플리케이션 개발자의 사업연관 관계로 인해 이 후속적으로 허용할 수 없는 공시에 대해 HIPAA 규정에 따라 해당 애플리케이션을 개발하거나 제공한다면, 해당 기업이 후속적으로 허용할 수 없는 공시에 대해 책임을 질 수 있다.
예를 들어 개인이 의료보험 제공자가 ePHI와 관련된 개인에게 서비스를 제공하기 위해 사용하는 앱을 선택하는 경우, 의료 제공자는 받은 ePHI를 허용할 수 없이 공시하는 경우 HIPAA 법에 따라 책임을 져야 할 수 있다.
Question & Answer 2
Q: 적용대상 기업이 안전하지 않은 방법을 사용하여 ePHI를 앱에 전송하려는 개인의 요청을 이행할 경우 어떤 책임을 져야하는가?
A: 개인 접근 권한에 따라, 개인은 자신의 ePHI를 안전하지 않은 방식으로 또는 비보안 채널을 통해 제3자 앱으로 유도할 것을 대상 기업에 요청할 수 있다.
45 CFR 164.524(a)(1), (c)(2)(ii), (c)(3)(ii)를 참조한다.
예를 들어 개인은 편의상 암호화되지 않은 ePHI를 앱으로 전송하도록 요청할 수 있다.
그러한 상황에서, 적용대상 기업은 앱으로 전송되는 동안 개인의 ePHI에 대한 무단 액세스에 대해 책임을 지지 않을 것이다.
그러한 적용과 관련하여, 적용대상 기업은 개인이 요청을 처음 할 때 관련된 잠재적 위험을 개인에게 알리는 것을 고려할 수 있다.
Question & Answer 3
Q: 개인이 대상기업에 대해 지정된 앱에 ePHI를 보내도록 지시하는 경우, 대상기업의 전자건강기록(EHR) 시스템 개발자는 대상 기업을 대신하여 앱에 대한 ePHI 전송을 완료한 후 HIPAA 법을 적용하는가?
A: 대답은 적용 대상 기업, EHR 시스템 개발자 및 개인이 개인의 ePHI를 받기 위해 선택한 앱 간의 관계에 따라 다르다.
제휴사 관계는 기업이 적용대상 기업의 적용 기능을 수행하기 위해 적용 대상 기업을 대신하여 (직접 또는 간접적 동업관계를 통하여) ePHI를 생성, 수신, 유지 또는 전송하느 경우에 존재한다.
EHR 시스템 개발자와 대상 기업 사이에 제휴관계가 존재한다.
EHR 시스템 개발자가 앱을 소유하지 않거나 앱을 소유하지만 앱을 적용 대상 기업(예: 앱을 생성하여 다른 비즈니스 라인의 일부로 앱 스토어에서 사용할 수 있도록 하는 경우(적용 대상 기업과의 동업 관계의 일부가 아님)를 통해 앱을 제공하지 않는 경우 – EHR 시스템 개발자는 앱에서 받은 요청 ePHI의 후속 사용 또는 공개에 대해 HIPAA 규칙에 따라 책임을 지지 않는다.
EHR 시스템 개발자가 앱을 소유하거나 앱 개발자와 제휴 관계를 맺고, 앱을 적용 대상 기업(직접 또는 간접적 제휴사를 통해)를 통해 또는 대신 제공하는 경우, EHR 시스템 개발자는 잠재적 (HIPAA 적용 대상 기업의 제휴사로서)으로 앱이 수신한 건강 정보의 허용할 수 없는 사용과 공개에 대해 HIPAA 법에 책임을 질 수 있다.
예를 들어, EHR 시스템 개발자가 애플리케이션 개발자와 계약을 체결하여 적용 대상 기업을 대신하여 앱을 만들고 나중에 개인이 ePHI를 수령하는 앱을 식별한다면, EHR 시스템 개발자는 해당 앱이 수령한 ePHI를 무단으로 사용하거나 공개할 경우 HIPAA 책임의 대상이 될 수 있다.
Question & Answer 4
Q: 적용대상 기업이 받는 ePHI를 어떻게 사용하거나 공시할 것인가에 대한 우려 때문에 개인이 선택한 앱에 대한 ePHI의 공시를 거부할 수 있는가?
A: 거부할 수 없다. HIPAA 개인정보보호규칙은 일반적으로 ePHI가 앱에서 사용하는 형식과 형식으로 쉽게 생산될 수 있는 경우 개인이 지정한 제3자 앱에 대한 ePHI의 공개를 거부하는 것을 금지하고 있다.
45 CFR 164.524(a)(1), (c)(2)(ii), (c)(3)(ii)를 참조한다.
HIPAA 법은 앱과 같은 개인 또는 개인의 피지명자가 개인의 접근권에 따라 공개된 건강정보를 사용하는 방법에 대해 어떠한 제한을 두지 않는다.
예를 들어, 적용 대상 기업은 개인이 연구를 위해 개인의 ePHI를 공유하거나 정지 상태에서 개인의 데이터를 암호화하지 않기 때문에 제3자 앱으로 정보를 지시하는 경우 개인의 ePHI에 대한 접근권을 거부할 수 없다.
Question & Answer 5
Q: HIPAA는 ePHI를 앱에 전송하기 위해 개인에 의해 지정된 앱과 업무 제휴 계약을 체결하도록 보장된 기업이나 EHR 시스템 개발자에게 요구하는가?
A: 앱 개발자와 기업 과 EHR 시스템 개발자와의 관계에 따라 다르다.
제휴사(직접적 또는 다른 제휴사를 통하여)자는 피보험자의 기능을 수행하기 위하여 피보험자를 대신하여(또는 피보험자를 위해) 피보험자를 조성, 수취, 유지 또는 송부하는 개인 또는 기업이다.
앱이 개인의 요청으로 개인의 ePHI에 쉽게 접근할 수 있도록 하는 것만으로 제휴 관계가 형성되는 것은 아니다.
이러한 촉진에는 타사 앱이 동의한 API 이용약관(즉, 상호운용성 약정)이 포함될 수 있다.
HIPAA는 적용대상 기업의 이익을 대신하여 또는 그 이익을 위해 ePHI를 생성, 수신, 유지 또는 전송하지 않는 애플리케이션 개발자와 제휴 계약을 체결하도록 요구하는 것은 아니다.
그러나 만약 앱이 적용대상 기업을 대신하여 ePHI를 생성, 수신, 유지 또는 전송하기 위해 개발되었거나, 적용대상 기업 또는 (적용대상 기업의 제휴사로서 활동하는) EHR 시스템 개발자에 의해 제공되었다면, 제휴 계약이 요구될 것이다.
