환자의 건강정보를 다루는 한의사에게 HIPAA(Health Insurance Portability and Accountability Act) 와 관련한 세부사항을 준수하는 것은 생각보다 까다로울 수 있다. 더 큰 문제는 이 법을 위반하고 해당 행위가 적발될 경우 고의가 없더라도 상당한 벌금이 부과될 가능성이 있다.
예를 들어 HIPAA 규정을 인지하지 못한 상태에서 발생한 위반은 건당 $100의 민사 벌금이 부과된다. 사유가 있고 고의적이지 않은 위반시 최소 $1,000, 고의적 위반 후 시정한 경우 최소 $10,000, 고의적 위반 후 시정하지 않은 경우에는 건당 최소 $50,000의 벌금이 각각 부과된다.
때문에 위반 사례 및 예방법에 대해 정확히 알고 있어야 한다. 다음은 실제 HIPAA 위반으로 이어질 수 있는 사례를 정리한 것이다.
▲ 암호화 미비
환자 건강정보(PHI; Personal Health Information)를 암호화하지 않을 경우, 데이터가 외부로 유출될 위험이 있다. 암호화는 PHI를 보호하는 핵심 수단으로, 미국 NIST(국립표준기술연구소)의 권고에 따라 이메일, 클라우드, 서버 등에 대한 보안 암호화를 철저히 적용해야 한다. 일반적으로 PHI를 일반 이메일 또는 팩스로 클리닉 이외의 곳으로 전송하는 것은 불법이다.
▲ 해킹
안티바이러스 소프트웨어를 최신으로 유지해야 한다. 비밀번호를 주기적으로 교체하고 클리닉에 직원이 있다면 정기적인 사이버보안 교육을 통해 해킹 위협에 대한 경각심을 높이고, 해킹사건이나 환자 정보가 누출된 경우 이에 대한 대응 매뉴얼을 마련하고 직원들을 교육해야 한다.
▲ 권한부여 및 인증 시스템 구축
직원이나 외부인 이외의 PHI에 대한 무단 접근은 불법이다. 권한 부여 및 인증 시스템을 통해 승인되지 않은 사용자의 접근을 차단하고, 모든 접근 로그를 기록·감사할 수 있는 시스템을 만든다.
▲장비 분실 및 도난
노트북, 스마트폰 등 PHI가 저장된 장비 분실 또는 도난은 PHI가 유출되는 흔한 유형중 하나다. 이를 대비하기 위해 환자 관련 정보는 반드시 암호화해 보관한다. 이에 더해 장비 분실 시 즉시 접근 차단이 가능하도록 원격 보안 관리 시스템도 갖춰야 한다.
▲ 직원 교육
모든 직원은 HIPAA 관련 교육을 반드시 받아야 하며, 교육 이수 기록을 문서화해야 한다.
▲ 내부 정책 미작성
HIPAA에 따르면 모든 의료기관이 PHI 관리와 관련, 정책과 절차에 대한 문서를 마련하고, 이를 준수해야 한다.
진희정 기자
<저작권자ⓒHani Times, 무단 전재-재배포 금지>
