주의! HIPPA 불이행시 연간 내는 벌금 상당해
HIPAA(Health Insurance Portability and Accountability Act)는 민감한 환자의 건강 정보가 환자의 동의나 지식 없이 공개되지 않도록 보호하는 것을 목표로 1996년 시작된 ‘건강 보험 이전과 책임에 관한 법(연방법)’이다.
이 법안은 사회 보장 번호, 의료 ID번호, 신용 카드 번호, 운전면허 번호, 집 주소, 전화 번호, 의료 기록 및 기타 주요 정보 같은 개인 건강 정보(PHI; Personal Health Information)를 보호하기 위해 제정됐다. PHI는 과거 종이에서 전자 기록으로 변하고 있지만 피싱 이메일, 신용 카드 및 환자 정보 유출, 노트북 도난 등의 이유로 정보를 관리하고 보호하는 게 힘들어진 것도 사실이다.
이 법의 영향을 받는 곳은 한의원은 물론 양방병원, 카이로프랙터 클리닉 등 각종 의료관련업체, 변호사∙회계사 사무실, IT 회사, 결제 회사, 의료 보험 회사, 지역 건강관리 정보 시스템 등이 모두 해당된다.
HIPAA 불이행에 따른 처벌은 그 간의 사례를 종합해봤을 때 연간 5,000~1,500,000달러까지 될 수 있으므로 각별히 주의해야 한다.
보험 환자 진료 시 반드시 암호화된 e-메일 사용해야
안전위협평가(SRA) 교육 문서화∙연례 HIPAA 규정준수 교육도 필요
HIPPA 규정은 당연히 한의사가 준수해야 하지만 명확하게 무엇을 지켜야 하는지 잘 모르는 경우가 의외로 많다. 한의사가 꼭 지켜야 할 HIPAA 규정 관련 내용을 정리해 봤다.
▲ e-메일의 암호화
모든 내원 환자가 의료보험 없이 진료비를 낸다면 일반 e-메일이나 휴대폰 등을 사용해도 무방하다. 하지만 의료보험 또는 직장상해보험(워컴), 교통사고보험 환자가 1명이라도 있다면 암호화된 e-메일을 사용해야한다.
이는 HIPPA의 개인 건강 정보(PHI; Personal Health Information) 때문으로 한의원에서 허가 받지 않은 사람이 e-메일을 통해 전달되는 환자 개인 정보를 열람하거나 가로채는 행위 등을 미연에 방지해야 한다.
예를 들어 보험사가 환자의 의료혜택을 문의하거나 진료 후 보험사에 비용을 청구할 때, 환자 보험혜택을 미리 확인하기 위해 의료보험정보를 e-메일로 알려 달라고 할 때 등엔 모두 암호화된 e-메일을 사용해야 한다.
물론 자신의 이메일 서버가 개별 방화벽으로 안전하게 지켜지는 경우는 예외이며 g메일 등은 해당되지 않는다.
PHI를 클리닉에서 준수하는 가장 간단한 방법은 의료용 정보의 전달 시 이를 암호화해주는 이메일 서비스 업체의 활용이다.
주의점은 e-메일 서비스 업체를 사용해도 문제가 생겨 환자정보가 누출되거나 업체의 서비스 설정을 잘못해 완전히 보안이 안 되도 한의사 책임이므로 항상 주의해야 한다.
또한 한의원에서 고용된 한의사와 모든 직원은 안전하게 보안된 e-메일을 사용해야 하고 피싱(phishing) 이메일 사기 등의 위협과 방지하는 교육을 정기적으로 하고 이 사실을 문서화해야 한다.
암호화 e-메일 서비스를 해도 기존 e-메일 주소를 변경하지 않고 그대로 사용할 수 있고 비용도 암호화용 e-메일 서버를 직접 사용하는 경우를 제외하면 월 $10 이하로 저렴하다.
암호화 e-메일 서비스 제공 업체 Hushmail for Healthcare는 한 달 $9.9, 다른 업체 MailHippo는 한달 5,000통의 e-메일까지 $4.95이므로 큰 비용 부담 없이 사용 가능하다. 이 밖에도NeoCertified, Paubox, Virtu, LuxSci, Protected Trust, MaxMD, EmailPros, MD OffceMail 등의 업체가 있으므로 개별 서비스 및 가격을 꼼꼼히 따져 사용하면 된다.
▲ HIPPA 안전위협평가(SRA)
HIPPA는 “미국내 의료인이 보험청구 및 혜택조회, 리퍼 등으로 환자 개인정보를 e-메일이나 전산을 통해 취급하려면 SRA 교육을 받아야 한다”고 규정하고 있다.
이를 준수하려면 HIPPA 안전규정을 잘 지키는지 확인하고 이를 위한 교육의 종류, 시간 등을 문서화해 보관해야 한다. 이 문서엔 다음 내용이 반드시 들어가야 한다.
▷정보 수집: 환자 정보를 담은 e-메일을 어디에서 받고 전송했으며 어디에 보관하는지 등.
▷해당 정보의 잠재 위협과 취약성: e-메일 정보가 각종 위협에 노출될 수 있는 가능성.
▷한의원 보안평가: 한의원은 환자정보 관련 보안관련 정책이 있어야 한다. 예를 들어 각 한의원별로 환자 정보를 취급하는 장소에 인가받지 않은 사람이 접근 못하도록 표지판 설치하거나 갑자기 발생한 사고 등으로 환자 전산정보가 소실된 경우의 대처방안 등을 문서화하고 준수여부를 평가해야 한다.
▲ 연례 HIPAA 규정준수 교육
환자 개인정보를 취급하는 한의원은 1년에 1번은 HIPPA 규정 교육을 하고 이를 문서화해야 한다. 단 HIPPA에서는 특정 교육내용을 지정하지 않아 모호할 수 있지만 일반적으로 HIPPA 홈페이지에 교육자료실(www.hhs.gov/hipaa/for-professionals/training/index.html)에 있는 교육 자료를 참고하면 된다.
특히 의료인용 IT 프라이버시 및 안전 자료(www.healthit.gov/topic/privacy-security-and-hipaa/health-it-privacy-and-security-resources-providers, 사진)에는 다양한 보안관련 교육 등 자료들이 있어 이를 활용하면 된다.
해당 교육은 한의원의 모든 인원이 받아야 하고 이 사실은 항상 문서로 남겨야 한다.
진희정 기자
<저작권자ⓒHani Times, 무단 전재-재배포 금지>