미국의 의료정보보호법, HIPAA

HIPAA (Health Insurance Portability and Accountability Act)는 사기와 도난으로부터 의료 정보를 보호하기 위한 목적으로 1996년 제정되었다. 여기서 의료 정보는 전자 및 문서로 저장된 의무 기록 뿐만 아니라 의사와 환자 간 진료 대화 내용, 청구 및 결제 정보 등을 포괄적으로 포함하고 있다. HIPAA는 병원과 의사 등 의료 서비스 제공자 뿐만 아니라 보험 회사, Medicare/Medicaid 등 정부 프로그램, 청구서(claim) 처리 업체, 결제(billing) 처리 업체와 의무 기록을 저장 및 파기하는 모든 회사들에 의무적으로 적용된다. 

최근에는 헬스케어 영역으로 진출한 테크 회사들에도 HIPAA가 적용되고 있는데, 환자 정보를 전송하는데 사용되는 소프트웨어들이 주 대상이다. 아마존의 음성 인식 서비스 알렉사(Alexa)는 HIPAA 규정 준수(HIPAA-compliant) 인증을 받았고, 우버 헬스(Uber Health) 역시 HIPAA 규정 준수 인증을 받았다고 한다.

주요 HIPAA 위반 사례는?  

HIPAA는 대상자 및 기관에 환자의 의료 정보를 보호하기 위한 보안 규정을 요구하는데, 정보 열람 권한을 관리하고 보안 절차에 대한 교육 실시 등이 포함된다. 또한, 환자들은 본인의 의료 기록 수정을 요구하거나, 의료 기록 사본을 요청하고 접근 권한을 부여 혹은 거부할 수 있는 권리를 갖는다. 위반 사례에 대한 조사는 보건복지부에 해당하는 HHS(Health and Human Services) 산하의 OCR(Office for Civil Rights)에서 담당하고 있다.

주요 HIPAA 위반 사례는 대상자의 실수에 따른 경우가 가장 많은데, 근로자의 부주의로 환자의 정보를 친구나 동료에게 발설하는 경우, 의료 정보가 담긴 기기-노트북, 스마트폰 등 의 분실, 부주의로 노출된 의료 기록 문서 혹은 컴퓨터 스크린 등이 해당된다. 의사나 간호사가 의료 영상이나 차트를 sns에 업로드해 HIPAA 위반으로 해고된 경우도 종종 발생한다.

HIPAA 벌금 최고액은? 보험사 Anthem의 1,600만 달러

알려져 있듯이 미국에서 개인정보보호 위반에 대한 패널티는 매우 큰데, HIPAA 위반으로 인한 벌금 최고액은 지난 2018년 10월에 부과된 1,600만 달러였다. 건강보험사인 Anthem은 해커들이 시스템에 접근해 암호와 개인 정보를 훔치는 것을 파악/방지하지 못했다는 이유로 벌금을 선고받았다. 2014년 12월부터 2015년 1월까지 도난당한 개인정보는 역사상 가장 큰 규모로 약 7천 9백만 명의 이름/사회보장번호(Social Security Number)/주소/근로 정보 등이 유출되었다고 한다.

원격 진료와 온라인 의료 서비스의 등장으로 점점 더 많은 IT 기업들이 HIPAA 규정 적용 범위 안으로 들어오고 있는 한편, 의료 서비스의 방향은 가치 중심 의료 (Value-based care)로 향하고 있어 HIPAA 의 규정도 이에 발맞춰 변화하고 있다.