HIPAA 규정 준수란 무엇이며 왜 중요한가요?

게시 됨: 2021-06-22

HIPAA는 무엇을 의미합니까?

HIPAA는 정확히 무엇이며 관련 규정을 준수하기 위해 회사에서 무엇을 해야 합니까?

HIPAA는 Health Insurance Portability and Accountability Act의 약자로 1996년 의회에서 통과되었습니다.

그 이후로 HIPAA는 2009년 HITECH 법(경제 및 임상 건강을 위한 건강 정보 기술)과 2013년 옴니버스 규칙으로 업데이트 및 구축되었습니다.

이는 함께 비즈니스 어소시에이트 및 그 하청업체에 대한 책임을 확대하고 마케팅 및 판매와 관련하여 PHI를 사용할 수 있는 방법에 대한 보다 엄격한 보호를 제공합니다.

HIPAA는 직업을 잃거나 변경하는 사람들을 위한 의료 보장 및 세금 관련 조항을 포함하여 여러 영역에 대해 우려하고 있지만, 우리의 주요 초점은 건강 데이터 및 규정 준수와 관련하여 대다수의 기업이 우려하는 사항입니다.

바로 뛰어들어 HIPAA에 대해 알아야 할 모든 것과 HIPAA 규정 준수를 위한 성공의 열쇠가 무엇인지 살펴보겠습니다.

임팩트 블로그 배너 구독

HIPAA의 목적은 무엇입니까?

방금 언급했듯이 HIPAA는 데이터 보호 이외의 여러 가지 목적, 특히 건강 보험법 개혁과 관련된 여러 가지 목적을 가지고 있습니다.

그러나 HIPAA를 조사하는 대부분의 조직의 주요 목표는 규정을 준수하고 규정 미준수로 인한 벌금을 피하기 위해 무엇을 해야 하는지 아는 것입니다.

HIPAA의 이 영역은 모두 보호되는 건강 정보(PHI)의 공개 및 사용과 관련된 데이터 보호 및 개인 정보 보호와 관련이 있습니다.

HIPAA 규정 준수 및 PHI 보안은 오늘날 의료 기관에 매우 중요합니다.

밖으로 손을 가진 남자의 이미지와 그 위에 단어 HIPAA | HIPAA란 무엇입니까?

누가 HIPAA를 준수해야 합니까?

HIPAA 규정을 준수해야 하는 법인을 해당 법인이라고 합니다.

해당 법인은 PHI를 저장, 처리 및 처리하는 사람 또는 회사입니다.

적용 대상은 HIPAA를 준수하는 것 외에도 관련 위반을 보고할 책임이 있습니다.

다음 개인 및 조직은 해당 주체를 구성합니다.

의료 서비스 제공자

  • 의사들
  • 클리닉
  • 심리학자
  • 치과의사
  • 척추 지압사
  • 요양원
  • 약국
  • 건강 플랜

건강 보험 회사

  • HMO
  • 회사 건강 플랜
  • 정부 제공 건강 관리 계획

건강 관리 정보 센터

  • 이들은 비표준 건강 정보를 표준 데이터 요소로 처리하는 것을 용이하게 하는 엔티티입니다. 이들은 의료 제공자와 보험 지불자 사이의 효과적인 중개자입니다.

비즈니스 어소시에이츠

  • "비즈니스 동료"는 해당 대상 또는 하청업체 역할을 하는 다른 비즈니스 동료를 대신하여 보호되는 건강 정보(PHI)를 생성, 수신, 유지 또는 전송합니다.

하청업체

  • 협력업체를 대신하여 보호되는 건강 정보(PHI)를 생성, 유지 관리 또는 전송하는 하청업체는 HIPAA에 따른 협력업체와 동일한 법적 책임을 집니다. 다시 말해, 개인 정보 및 보안 관련 법적 책임은 비즈니스 동료를 위해 작업을 수행하는 하청업체로 "다운스트림"으로 흐릅니다.

하이브리드 엔터티

  • 하이브리드 법인은 비즈니스의 일부로 HIPAA 적용 기능과 적용되지 않는 기능을 모두 수행합니다. 직원을 위한 자가 보험이 있는 건강 보험이 있는 대기업은 하이브리드 기업으로 취급되도록 선택할 수 있습니다. 다른 예로는 의료 센터가 있는 대학이나 약국이 있는 식료품점이 있습니다.

PHI는 무엇을 포함합니까?

개인 건강 정보(PHI)는 환자, 클라이언트 또는 기타 주체를 식별하는 데 사용할 수 있는 모든 인구 통계 정보를 나타냅니다.

건강과 관련된 정보를 PHI로 간주하는 18개의 식별자가 있습니다. 이것들은:

  1. 이름
  2. 연도를 제외한 날짜
  3. 지리 데이터
  4. 팩스번호
  5. 사회 보장 번호
  6. 이메일 주소
  7. 의료 기록 번호
  8. 계좌번호
  9. 건강 보험 수혜자 번호
  10. 인증서/라이센스 번호
  11. 번호판 번호를 포함한 차량 식별자 및 일련 번호
  12. 전화 번호
  13. 웹 URL
  14. 장치 식별자 및 일련 번호
  15. 인터넷 프로토콜(IP) 주소
  16. 얼굴 전체 사진 및 비교 가능한 이미지
  17. 생체 인식 식별자(예: 지문)
  18. 누군가를 고유하게 식별하는 모든 숫자 또는 코드

HIPAA를 준수하기 위해 보호해야 하는 데이터 및 정보 유형입니다.

HIPAA 위반으로 간주되는 것은 무엇입니까?

HIPAA 위반은 법인이 규정 준수를 준수하지 않을 때 발생하며 말 그대로 개인과 조직이 HIPAA 규정을 위반할 수 있는 수백 가지 방법이 있습니다.

HIPAA의 일반적인 위반에는 일반적으로 다음 중 하나가 포함됩니다.

  • PHI의 승인되지 않거나 허용되지 않거나 불필요한 공개
  • PHI의 무단 접근
  • PHI의 잘못된 폐기
  • 기업의 수행된 위험 평가 부족
  • PHI에 대한 위험 관리 부족
  • PHI에 대한 액세스를 제공할 때 제3자와 HIPAA 준수 계약을 체결하지 않음
  • 직원에게 HIPAA 교육의 보안 인식을 제공하지 않음
  • PHI 도난
  • 사전 허가 없이 PHI 공유
  • PHI의 잘못된 취급/무단 우편 발송
  • 위반 발견 후 60일 이내에 PHI와 관련된 보안 사고를 개인에게 알리지 않은 경우
  • 규정 준수 프로토콜, 절차 및 관리에 대한 문서 없음

HIPAA를 위반하면 어떻게 됩니까?

HIPAA 위반은 HIPAA 표준 및 조항을 위반할 때 발생합니다.

여기에서 보건복지부 민권사무소에서 발행한 모든 HIPAA 규정에 대한 전체 개요를 찾을 수 있습니다.

위반이 보고되면 해당 대상은 민사 또는 형사에 관계없이 처벌을 받게 됩니다. 처벌은 위반에 따라 크게 다를 수 있습니다.

일반적으로 미국 보건복지부 민권사무소(OCR)는 위반 사항을 조사하고 500개 이상의 기록 위반을 보고한 모든 대상을 조사합니다.

OCR이 특정 사건이 민사보다 형사라고 결정하면 법무부에 회부할 것입니다.

대부분의 경우 개인은 위반 건당 100달러를 지불해야 합니다. 반복적인 위반은 최대 $25,000의 벌금을 부과할 수 있습니다.

개인이 HIPAA 규정을 고의적으로 무시하고 정책 및 절차를 수정하려는 시도를 하지 않은 경우 최소 $50,000, 최대 $150만 벌금이 부과될 수 있습니다.

형사 사건의 경우 $50,000 이하의 형과 최대 1년의 징역이 가능하며 $250,000의 벌금과 최대 10년의 징역이 가능합니다.

민사 소송의 경우 위반 사항은 계층으로 분류되며 4단계가 가장 심각합니다.

그것들은 다음과 같습니다:

  • Tier 1: 해당대상이 알지 못했고 피할 수 없었던 위반.
  • Tier 2: 해당대상이 알고 있었어야 했지만 피할 수 없었던 위반.
  • Tier 3: 고의적인 방치의 직접적인 결과로 발생한 위반이지만 위반을 시정하려는 시도가 있었던 경우.
  • Tier 4: 위반을 시정하려는 시도가 없는 고의적 방치를 구성하는 위반.

각 계층에 대한 HIPAA 미준수에 대한 처벌은 다음과 같습니다.

  • 1단계: 위반당 최소 벌금 $100, 최대 $50,000
  • 2단계: 위반당 최소 $1,000의 벌금 최대 $50,000
  • 3단계: 위반당 최소 $10,000의 벌금 최대 $50,000
  • 4단계: 최소 벌금 $50,000

형사소송은 민사소송보다 3단계로 되어 있고 훨씬 더 가혹한 형벌을 가지고 있습니다.

그것들은 다음과 같습니다:

  • Tier 1: 위반에 대한 정당한 이유 또는 지식 없음
  • 2단계: 허위로 PHI 획득
  • 계층 3: 개인적인 이득을 위해 또는 악의적인 의도로 PHI 획득

형사 처벌:

  • 1단계: 최대 1년 징역
  • 2단계: 최대 5년 징역
  • 3단계: 최대 10년 징역

밖으로 손을 가진 남자의 이미지와 그 위에 단어 HIPAA | HIPAA란 무엇입니까?

HIPAA 인증을 받을 수 있습니까?

이 글을 쓰는 시점에서 HIPAA 준수 인증이나 검증 같은 것은 없습니다.

제3자는 "HIPAA 인증" 형식을 제공할 수 있지만 HHS에서 제공하는 공식적으로 승인되거나 의무화된 인증은 없습니다.

해당 대상이 준수를 "인증"하도록 요구하는 표준 또는 구현 사양은 없습니다. 평가 표준 § 164.308(a)(8)은 해당 엔터티가 엔터티의 보안 정책 및 절차가 보안 요구 사항을 충족하는 범위를 설정하는 정기적인 기술 및 비기술적 평가를 수행하도록 요구합니다. 시민권 사무국(OCR)

따라서 HIPAA 인증은 없지만 많은 제3자 MSSP는 필요할 때 정기적인 평가를 수행하고 귀하가 HIPAA를 준수하는지 확인할 수 있습니다.

HIPAA 임원이란 무엇입니까?

HIPAA 담당자는 규정 준수 담당자입니다.

사내에 있든 제3자로 고용되든, 그들의 주요 임무는 PHI 데이터에 대한 보안 및 개인 정보 보호 프로토콜이 올바르게 시행되도록 하여 HIPAA 규정 준수를 보장하는 것입니다.

그러한 정책이 없는 경우 HIPAA 담당자는 개인 또는 조직을 위한 규정 준수 계획을 개발하고 시행할 책임이 있습니다.

그런 다음 그들은 프로그램을 유지 및 모니터링하고, 법적으로 필요한 경우 조사 및 보고하고, 주 및 연방법에서 요구하는 대로 환자 또는 고객 데이터가 보호되고 있는지 확인합니다.

HIPAA 규정 준수의 성공 비결은 무엇입니까?

이 글(또는 대충 훑어보기)을 읽고 비준수에 대한 벌칙을 보고 맥박이 조금 올라가는 것을 느꼈다면 걱정하지 마십시오.

HIPAA를 준수하는지 확인하는 데 많은 시간이 걸리지는 않지만 조직이 따라야 할 HIPAA 준수 성공의 열쇠가 분명히 있습니다.

먼저 HIPAA 평가를 수행하는 관리형 보안 서비스 제공업체를 찾아 HIPAA 규정 준수를 위해 시스템을 감사해야 합니다.

위험 평가를 수행한 후에는 준수를 유지하기 위해 가능한 모든 조치를 취하고 있는지 확인하는 데 필요한 구현을 권장하고 수행할 수 있습니다.

HIPAA 위험 평가란 무엇입니까?

관련 게시물: 사이버 보안 위험 감사 중에는 어떻게 됩니까?

HIPAA 규정 준수 감사는 규정 준수 담당자가 수행하여 시스템 및 보안 프로토콜을 심층적으로 조사하는 평가입니다.

첫째, 감사의 범위를 결정하기 위해 귀하와 협력해야 합니다. 주로 귀하의 의무와 관련이 있습니다(이 경우 HIPAA가 주요 우선순위이지만 다른 규정도 준수해야 할 수도 있음).

그런 다음 감사 일정을 작성하고 다음 단계로 진행합니다. 실행. 이 부분은 취약점 스캐닝, 침투 테스트 및 갭 분석을 포함합니다.

HIPAA 규정 준수에 대한 위험 평가의 경우 HIPAA 규정 준수 담당자가 귀하 또는 귀하의 회사가 규정을 준수하도록 하기 위해 수행해야 하는 작업을 자세히 설명하기 때문에 격차 분석이 필수적입니다.

HIPAA 규정 준수 감사가 완료되면 규정 준수 담당자가 권장 사항을 제시하고 수행해야 할 작업을 명확하게 이해할 수 있습니다.

또한 이 기회에 MSSP에 이러한 권장 사항의 구현을 위임할 수 있습니다. 이 경우 MSSP와 장기 계약을 체결할 수 있으므로 관리형 보안 서비스 공급자가 규정 준수를 처리하는 동안 비즈니스를 계속 운영할 수 있습니다. .

HIPAA 규정 준수 및 관리형 보안 서비스 제공업체가 귀하를 위해 할 수 있는 일에 대해 자세히 알아보려면 규정 준수 서비스 페이지를 참조하십시오.