소기업 HIPAA 준수란 무엇인가요?

HIPAA는 Health Insurance Portability and Accountability Act의 약자입니다. 소규모 비즈니스에서는 HIPAA 준수가, 흔히 PHI(Protected Health Information, 보호대상 건강정보)라고 부르는 보호대상 건강정보를 보호하기 위해 합리적인 보호조치를 마련하고, 해당 정보가 어떻게 사용·공유·저장·접근되는지에 관한 규칙을 따르는 것을 의미합니다.

모든 소규모 비즈니스가 HIPAA를 따라야 하는 것은 아닙니다. 대체로 의료 제공자, 건강보험 플랜, 의료정보 정리기관, 그리고 그들을 대신해 PHI를 다루는 많은 외부 벤더에 적용됩니다. 이러한 외부 벤더는 종종 비즈니스 어소시에이트(business associates)라고 불립니다.

쉽게 말해, HIPAA 준수는 구매하는 단일 제품이 아니며 1회성 체크리스트도 아닙니다. 환자 정보가 신중하게 다뤄지고, 문서로 명확히 남으며, 시스템과 직원이 바뀌는 과정에서도 보호되도록 비즈니스를 운영하는 지속적인 방식입니다.

귀하의 비즈니스가 환자 건강 정보를 수집, 저장, 전송, 또는 열람한다면 HIPAA는 일상 업무에 영향을 줄 수 있습니다. 예를 들어 이메일, 일정(스케줄링) 시스템, 청구 도구, 파일 공유, 노트북, 전화기, 백업, 그리고 팀원 중 누가 무엇을 볼 수 있는지가 포함됩니다.

소규모 진료/의료 관련 비즈니스의 경우, 위험은 단지 큰 규모의 사이버 사건만이 아닐 수 있습니다. 잘못된 사람에게 정보를 보내는 것, 취약한 비밀번호 사용, 오래된 장비를 보안되지 않은 상태로 두는 것, 혹은 퇴사한 직원에 대한 접근 권한을 제한하지 않는 것 같은 단순한 실수도 문제가 될 수 있습니다.

또한 고객, 파트너, 보험사는 귀하가 프라이버시를 진지하게 다룬다는 점을 보여주길 기대할 수 있습니다. 좋은 준수 습관은 업무를 체계적으로 유지하고, 피할 수 있는 실수를 줄이며, 파트너나 규제기관의 질문에 답하기 쉽게 만들어 줍니다. 요구사항은 업종과 주(州)에 따라 달라질 수 있으므로, 귀하의 정확한 의무는 다를 수 있습니다.

좋은 HIPAA 준수는 보통 환자 정보가 어디에 있는지 아는 것에서 시작됩니다. 즉, 귀하의 비즈니스가 사용하는 컴퓨터, 휴대폰, 소프트웨어, 이메일 계정, 클라우드 도구, 종이 파일을 식별하고, 그것들을 누가 접근할 수 있는지 이해해야 합니다.

그 다음, 해당 정보에 현실적인 보호조치를 적용합니다. 흔한 예로 강력한 비밀번호, 로그인 시 비밀번호 외에 한 단계를 추가하는 다중 인증(MFA, multi-factor authentication), 장치 암호화, 정기적인 소프트웨어 업데이트, 통제된 사용자 접근, 보안 백업, 그리고 자주 발생하는 상황에 대비한 문서화된 절차가 있습니다.

또한 기술만이 아니라 사람과 프로세스가 필요합니다. 직원이 프라이버시의 기본을 교육받아야 하고, 귀하의 비즈니스가 실제로 일하는 방식과 맞는 정책을 갖춰야 하며, 문제가 생겼을 때 무엇을 해야 하는지도 알고 있어야 합니다. 흔히 MSP(관리형 IT 서비스 제공자, Managed IT services provider)라고 불리는 좋은 관리형 IT 서비스 제공자는 소규모 비즈니스가 이러한 시스템을 구축하고 지원하는 데 도움을 줄 수 있지만, 법률 및 준수(컴플라이언스) 조언은 별도로 필요할 수 있습니다.

MSP와 이야기하다 보면 기술적으로 들리는 용어를 들을 수 있습니다. 관리형 IT 서비스(Managed IT services)란 컴퓨터, 기기, 소프트웨어, 시스템에 대한 지속적인 지원을 의미합니다. MSP는 바로 그 지속적인 지원을 제공하는 회사입니다.

MFA(multi-factor authentication, 다중 인증)는 비밀번호만으로는 부족하게 만들고, 비밀번호 외의 추가 요구사항을 통해 로그인을 보호하는 데 도움이 됩니다. EDR은 endpoint detection and response(엔드포인트 탐지 및 대응)입니다. 엔드포인트는 노트북, 데스크톱, 전화기 같은 장치를 말하며, EDR은 해당 장치에서 의심스러운 활동을 탐지하는 데 도움이 되는 소프트웨어입니다. 패칭(patching)은 버그나 보안 이슈를 수정하는 업데이트를 설치하는 것을 의미합니다.

RMM은 remote monitoring and management(원격 모니터링 및 관리)입니다. 이는 많은 MSP가 사용하는 소프트웨어로, 장치의 상태를 모니터링하고 업데이트를 적용하며 시스템을 원격으로 지원할 때 활용됩니다. 서비스 수준 계약(Service Level Agreement, SLA)은 계약서에서 응답 시간과 지원 조건을 설명하는 부분입니다. vCIO는 가상 CIO(virtual Chief Information Officer)로, IT 계획과 예산 편성을 돕는 외부 자문 역할을 말합니다.

백업에 대해서는 3-2-1 백업이라는 표현을 들을 수 있습니다. 이는 중요한 데이터 3개 복사본을, 서로 다른 저장 방식 2가지에 나눠 보관하고 그중 1개 복사본은 오프사이트(offsite)에 보관한다는 의미입니다. 그 밖에도 다른 준수 관련 용어를 들을 수 있습니다. PCI는 카드 결제를 처리하는 비즈니스를 위한 결제 카드 산업 규칙을 뜻합니다. SOC 2는 일부 소프트웨어 벤더가 보안 통제를 어떻게 관리하는지 보여주기 위해 사용하는 보고 프레임워크입니다. 이것들은 HIPAA와는 다르지만, 귀하의 비즈니스 상황에 따라 함께 언급될 수 있습니다.

HIPAA 실천을 더 강화하려는 소규모 비즈니스는 운영과 기술 양쪽을 함께 점검하는 경우가 많습니다. 목표는 시장의 모든 도구를 구매하는 것이 아닙니다. 목표는 실제 환경이 귀하의 실제 위험, 직원 규모, 업무 흐름과 일치하는지 확인하는 것입니다.

어디서부터 시작해야 할지 잘 모르겠다면, 우선 장치 목록, 소프트웨어, 이메일 제공자, 파일 저장 방식, 백업 방법, 직원 역할, 그리고 환자 정보를 접하는(연관되는) 외부 벤더를 간단히 정리해보는 것이 도움이 될 수 있습니다. 이렇게 하면 IT 제공자나 준수(컴플라이언스) 자문과 이야기하기 전에 더 명확한 그림을 갖게 됩니다.

선택지를 이해하는 데 도움이 필요하다면 NodeBridge IT가 독립적인 관리형 IT 제공자를 찾는 데 도움을 드릴 수 있습니다. 우리는 IT 회사가 아니며 귀하의 시스템에 접근하지 않습니다. 귀하의 비즈니스 요구에 기반한 무료 매칭과 함께 교육적인 안내를 제공합니다.

또한 더 쉬운 표현의 답변을 둘러보거나, 소규모 비즈니스를 위해 관리형 IT 서비스가 보통 어떻게 구성되는지 알아볼 수도 있습니다.