HIPAA(Health Insurance Portability and Accountability Act) & HEALTH Information Technology for Economic and Clinical Health(HITECH) Act

HIPAA 및 HITECH Act 개요

1996년 HIPAA(건강 보험 이식성 및 책임법) 및 HIPAA에 따라 발행된 규정은 개별 식별 가능한 건강 정보의 사용, 공개 및 보호에 대한 요구 사항을 설정하는 일련의 미국 의료법입니다. HIPAA의 scope 2009년에 경제 및 임상 건강을 위한 건강 정보 기술 (HITECH) 법의 제정으로 확장되었습니다.

HIPAA는 환자의 PHI(보호된 건강 정보)를 생성, 수신, 유지 관리, 전송 또는 액세스하는 적용 대상 엔터티(특히 의료 서비스 제공자, 건강 계획 및 의료 정보 보호 기관)에 적용됩니다. HIPAA는 해당 엔터티에 서비스를 제공하거나 해당 엔터티를 대신하여 PHI와 관련된 특정 기능 또는 활동을 수행하는 적용 대상 엔터티의 비즈니스 동료에게 추가로 적용됩니다.

다루는 엔터티가 Microsoft와 같은 클라우드 서비스 공급자의 서비스에 참여하는 경우 클라우드 서비스 공급자는 HIPAA에 따라 비즈니스 동료가 됩니다. 또한 비즈니스가 클라우드 서비스 공급자와 하청을 연결하여 PHI를 생성, 수신, 유지 관리 또는 전송할 때 클라우드 서비스 공급자도 비즈니스 동료가 됩니다.

Microsoft, HIPAA 및 HITECH Act

HIPAA 규정에 따라 적용 대상 엔터티(규칙에 따라 정의됨)가 비즈니스 동료와 계약을 체결하여 PHI가 적절하게 보호되도록 해야 합니다. 이 계약을 비즈니스 동료 계약이라고 합니다. 무엇보다도 비즈니스 동료 계약은 당사자 간의 관계와 비즈니스 동료가 수행하는 활동 또는 서비스 간의 관계에 따라 비즈니스 동료가 허용하고 필요한 PHI 사용 및 공개를 설정합니다. Microsoft 엔터프라이즈 제품 및 서비스를 활용할 때 고객이 HIPAA를 준수하도록 지원하기 위해 Microsoft는 해당 엔터티 및 비즈니스 동료 고객과 비즈니스 연결 계약을 체결합니다.

현재 HIPAA 또는 비즈니스 동료의 HITECH 법 준수를 입증하기 위해 보건 복지부에서 승인한 인증 표준은 없습니다. 그러나 Microsoft는 고객이 HIPAA 및 HITECH 법을 준수할 수 있도록 하고 비즈니스 동료로서의 역량에서 HIPAA의 보안 규칙 요구 사항을 준수합니다. 또한 Microsoft는 HIPAA 의무 준수를 지원하기 위해 해당 엔터티 및 비즈니스 동료 고객과 비즈니스 연결 계약을 체결합니다.

타사 인증

BAA에 적용되는 Microsoft 서비스는 Microsoft ISO/IEC 27001 인증 및 HITRUST CSF 인증에 대해 공인된 독립 감사자가 수행한 감사를 받았습니다.

Microsoft 엔터프라이즈 클라우드 서비스도 FedRAMP 평가의 적용을 받습니다. Microsoft Azure 및 Microsoft Azure Government FedRAMP 공동 권한 부여 위원회로부터 운영할 임시 기관을 받았습니다. Microsoft Dynamics 365 미국 정부는 미국 보건 복지부로부터 미국 정부 Microsoft Office 365 마찬가지로 미국 주택도시개발부로부터 운영 기관 기관을 받았습니다.

Microsoft Cloud를 통해 고객이 HIPAA 및 HITECH 요구 사항을 지원하는 방법을 알아보려면 Microsoft 고객 스토리를 방문하세요.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

• Azure 및 Azure Government
• Azure DevOps 서비스
• Dynamics 365 및 Dynamics 365 U.S. Government
• Intune
• Microsoft Defender for Cloud Apps
• 헌팅용 Microsoft Defender 전문가(온라인 서비스 구성 요소)
• XDR에 대한 Microsoft Defender 전문가(온라인 서비스 구성 요소)
• Microsoft Healthcare Bot Service
• Microsoft Managed Desktop
• Microsoft 전문 서비스: Azure, Dynamics 365, Intune, 비즈니스용 Microsoft 365의 중간 규모 비즈니스 및 엔터프라이즈 고객 대상 프리미어 및 온-프레미스
• Office 365, Office 365 미국 정부
• 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power Automate(이전 Microsoft Flow) 클라우드 서비스
• 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 PowerApps 클라우드 서비스
• 독립 실행형 서비스 또는 Office 365 또는 Dynamics 365 브랜드 플랜 또는 제품군에 포함된 Power BI 클라우드 서비스
• Windows 365

Azure, Dynamics 365 및 HIPAA

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure HIPAA 제품을 참조하세요.

Office 365 및 HIPAA

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

• 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
• Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
• Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
• Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
• Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

질문과 대답

내 organization Microsoft와 함께 BAA에 입력할 수 있나요?

예. Microsoft는 포함된 엔터티 및 비즈니스 동료 고객에게 scope Microsoft 서비스를 다루는 비즈니스 연결 계약을 제공합니다.

Microsoft HIPAA Business Associate Agreement는 HIPAA에 따라 적용되는 엔터티 또는 비즈니스 동료인 모든 고객에게 기본적으로 Microsoft Online Services 데이터 보호 부록을 통해 제공됩니다. 이 BAA에서 다루는 클라우드 서비스 목록은 이 웹 페이지의 'Microsoft scope 클라우드 서비스'를 참조하세요.

HIPAA Business Associate Agreement는 scope Microsoft Professional Services에서도 사용할 수 있습니다. 자세한 내용은 Microsoft 서비스 담당자에게 문의하세요.

Microsoft와 비즈니스 협력 계약을 체결하면 organization HIPAA 및 HITECH 법을 준수할 수 있나요?

아니요. Microsoft는 비즈니스 동료 계약을 제공하여 HIPAA 규정 준수를 지원합니다. 그러나 Microsoft 서비스를 자체적으로 사용하는 것은 HIPAA 규정 준수를 달성하지 못합니다. 귀하의 organization 적절한 규정 준수 프로그램 및 내부 프로세스를 마련하고 Microsoft 서비스의 특정 사용이 HIPAA 및 HITECH 법에 따른 의무에 부합하도록 보장할 책임이 있습니다.

Microsoft에서 내 organization 비즈니스 동료 계약을 사용할 수 있나요?

아니요, Microsoft는 고객의 비즈니스 동료 계약을 사용할 수 없습니다. 모든 고객을 위해 표준화된 하이퍼스케일 다중 테넌트 서비스를 제공하기 때문에 일관된 방식으로 운영해야 합니다. Microsoft HIPAA Business Associate Agreement는 당사 운영 방식을 밀접하게 반영합니다. 따라서 Microsoft는 의료 산업의 요구를 해결하기 위해 의료 센터 및 의료 내의 기타 공공 및 민간 부문 기관 컨소시엄과 협력하여 규모 서비스 제공에 부합하고 고객의 요구를 충족하는 비즈니스 협력 계약을 만들었습니다.

타사 감사 보고서의 복사본을 가져오면 어떻게 하나요?

서비스 보안 포털은 독립적으로 감사를 거친 규정 준수 보고서를 제공합니다. 감사자가 Microsoft의 클라우드 서비스 결과를 사용자 고유의 법률 및 규정 요구 사항과 비교할 수 있도록 포털을 사용하여 감사 보고서를 요청할 수 있습니다. Azure 고객은 클라우드용 Microsoft Defender 감사 보고서 블레이드를 통해 Azure Portal Azure 인증서 및 감사 보고서를 검색할 수도 있습니다.

Microsoft에서 HIPAA 및 HITECH Act 준수를 지원하는 방법에 대해 자세히 알아보려면 어떻게 해야 하나요?

고객이 이 작업을 수행할 수 있도록 Microsoft는 다음 지침을 게시했습니다.

• HIPAA/HITECH Act 구현 지침은 개인 정보 보호, 보안 및 규정 준수 담당자 및 HIPAA 및 HITECH Act 구현을 담당하는 다른 사용자를 위한 Azure에 대한 지침으로, 규정 준수를 유지하기 위해 organization 수행할 수 있는 구체적인 단계를 설명합니다.

Microsoft Purview 준수 관리자를 사용하여 위험 평가

Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.

리소스

• Microsoft HIPAA Business Associate Agreement
• 의료 규정 준수 제품을 위한 Microsoft 클라우드
• 의료 산업용 Microsoft 클라우드