HIPAA

1996년건강보험 이동성 및 책임법(HIPPA)

HIPAA (Health Insurance Portability and Accountability Act of 1996)는 민감한 환자 건강 정보가 환자의 동의나 인지없이 공개되지 않도록 보호하는 국가 표준 연방법입니다. 미국 보건 복지부 US Department of Health and Human Services (HHS)는 HIPAA의 요구 사항을 실현하기 위해 HIPAA 개인 정보 보호 규칙(HIPPA Privacy Rule)을 발표했습니다. HIPAA 보안규칙 (HIPPA Security Rule)은 개인 정보 보호 규칙의 하위 집합을 보호합니다.

HIPAA 개인 정보 보호

HIPAA Privacy Rule

HIPAA 개인 정보 보호 규칙은 개인의 의료 기록 및 기타 개인 건강 정보를 보호하기위한 국가 표준을 설정하고 건강 플랜, 건강 관리 정보 센터 및 특정 건강 관리 거래를 전자적으로 수행하는 건강 관리 제공자에 적용됩니다. 이 규칙은 개인 건강 정보의 프라이버시를 보호하기위한 적절한 보호 장치를 요구하며 환자의 승인없이 이러한 정보를 사용하고 공개 할 수있는 제한 및 조건을 설정합니다. 이 규칙은 또한 환자에게 건강 기록을 조사하고 사본을 확보하고 수정을 요청할 권리를 포함하여 건강 정보에 대한 권리를 부여합니다.

보장 및 적용대상

Covered Entities

의료 제공자 : 진료 규모에 관계없이 특정 거래와 관련하여 건강 정보를 전자적으로 전송하는 모든 의료 제공자. 이러한 거래에는 청구, 혜택 자격 문의, 추천 승인 요청 및 HHS가 HIPAA 거래 규칙에 따라 표준을 수립 한 기타 거래가 포함됩니다.

건강 보험 : 의료 서비스를 제공하거나 비용을 지불하는 기관. 건강 보험에는 건강, 치과, 안과 및 처방약 보험사가 포함됩니다. 건강 유지 단체 (HMO) Medicare, Medicaid, Medicare + Choice 및 Medicare 보충 보험사, 및 장기 요양 보험사 (요양원 고정 보상 정책 제외). 건강 플랜에는 또한 고용주가 후원하는 그룹 건강 플랜, 정부 및 교회가 후원하는 건강 플랜, 다중 고용주 건강 플랜이 포함됩니다.

예외 : 보험을 수립하고 유지하는 고용주가 단독으로 관리하는 참여자가 50 명 미만인 그룹 건강 보험은 보장 대상이 아닙니다.

의료 정보 센터 : 다른 기관으로부터받은 비표준 정보를 표준 (즉, 표준 형식 또는 데이터 콘텐츠)으로 또는 그 반대로 처리하는 기관. 대부분의 경우, 의료 정보 센터는 이러한 처리 서비스를 의료 보험 또는 의료 서비스 제공자에게 비즈니스 동료로 제공하는 경우에만 개별적으로 식별 가능한 건강 정보를 받게됩니다.

비즈니스 동료 : 개인 또는 조직 (적용 대상의 직원이 아닌)이 개별적으로 식별 가능한 건강 정보를 사용하거나 공개하여 대상 대상의 기능, 활동 또는 서비스를 수행하거나 제공합니다. 이러한 기능, 활동 또는 서비스에는 청구 처리, 데이터 분석, 사용 검토 및 청구가 포함됩니다.

허용된 사용 및 공개

Permitted Uses and Disclosures

적용 대상은 개인의 승인없이 다음 목적 또는 상황을 위해 보호 대상 건강 정보를 사용하고 공개 할 수 있지만 필수는 아닙니다.

  • 개인에 대한 공개 (공개에 대한 접근 또는 회계에 정보가 필요한 경우 기업은 개인에게 공개해야 함)
  • 치료, 지불 및 의료 운영
  • PHI 공개에 동의하거나 이의를 제기 할 수있는 기회 (비공식적 허가는 개인에게 직접적으로 요청하거나 개인에게 동의, 묵인 또는 반대 할 수있는 기회를 명확하게 제공하는 상황에서 얻을 수 있음)
  • 달리 허용 된 사용 및 공개에 대한 사건
  • 공익 및 혜택 활동 : 아래의 12가지 국가우선 목적으로 허용함
  1. 법률에서 요구하는 경우
  2. 공중 보건 활동
  3. 학대 또는 방치 또는 가정 폭력 피해자
  4. 건강 감독 활동
  5. 사법 및 행정 절차
  6. 법 집행
  7. 증언: 사망자에 관한 식별등
  8. 시체 장기, 눈 또는 조직 기증
  9. 특정 조건에서 연구
  10. 건강이나 안전에 대한 심각한 위협을 예방하거나 줄이기 위해
  11. 필수 국가정보기관의 기능
  12. 근로자 보상
  • 연구, 공중 보건 또는 의료 운영을위한 제한된 데이터 세트

HIPAA 보안 규칙

HIPAA Security Rule

HIPAA 개인 정보 보호 규칙은 보호 된 건강 정보 protected health information (PHI)를 보호하지만 보안 규칙은 개인 정보 보호 규칙이 적용되는 정보의 하위 집합을 보호합니다. 이 하위 집합은 적용 대상이 전자 형식으로 생성, 수신, 유지 또는 전송하는 모든 개별적으로 식별 가능한 건강 정보입니다. 이 정보를“전자 보호 건강 정보 electronic protected health information(e-PHI)"라고 합니다. 보안 규칙은 구두 또는 서면으로 전송 된 PHI에는 적용되지 않습니다.

HIPAA 보안 규칙을 준수하기 위해 모든 해당 주체는 다음을 수행해야합니다.

  • 모든 전자 보호 건강 정보의 기밀성, 무결성 및 가용성 보장
  • 정보 보안에 대한 예상되는 위협을 탐지하고 보호합니다.
  • 예상되는 허용되지 않는 사용 또는 공개로부터 보호
  • 직원의 규정 준수 인증

해당 주체는 이러한 허용 된 사용 및 공개에 대한 요청을 고려할 때 전문적인 윤리와 최선의 판단에 의존해야합니다. HHS 민권 사무소는 HIPAA 규칙을 시행하며 모든 불만 사항은 해당 사무소에보고해야합니다. HIPAA 위반은 민사상 금전적 또는 형사 적 처벌을받을 수 있습니다.

HIPAA FORM

HIPAA 위반

HIPAA 위반에 대한 재정적 처벌은 경제 및 임상 건강을위한 건강 정보 기술법 (HITECH)에 따라 요금을 도입 한 HIPAA Omnibus 규칙에 의해 업데이트되었습니다. 옴니버스 규칙은 2013 년 3 월 26 일부터 발효되었습니다.

  • Health Information Technology for Economic and Clinical Health (HITECH) Act

옴니버스 규칙이 도입 된 이후로 HIPAA 위반에 대한 새로운 처벌은 HIPAA 규칙을 위반 한 것으로 확인 된 해당 대상의 비즈니스 동료 (BA)뿐만 아니라 의료 서비스 제공자, 건강 보험, 의료 정보 센터 및 기타 모든 적용 대상에 적용됩니다.

  • BA(Business associate) 는 해당 법인을 대신하여 PHI를 생성, 수신, 유지 또는 전송하는 개인 또는 법인 : 법인의 하청 업체도 포함 할 수 있습니다.
  • BA an individual or entity that creates, receives, maintains, or transmits PHI on behalf of a covered entity: may also include subcontractors of entity.

재정적 처벌은 HIPAA 법률 위반을 방지하기위한 억제 수단으로 작용하는 동시에 환자의 개인 정보 보호 및 건강 데이터의 기밀 유지와 관련하여 해당 기업이 자신의 행동 (또는 법률 부재)에 대해 책임을 져야합니다. 환자에게 요청시 건강 기록에 대한 액세스 권한을 제공합니다.

HIPAA 법률 위반에 대한 벌금 구조는 해당 대상이 위반에 대해 알고있는 지식을 기반으로 계층화됩니다. OCR (Office Civil  Rights)은 여러 "일반적인 요인"과 HIPAA 위반의 심각성을 기반으로 벌금을 설정합니다.

HIPAA 규칙을 무시해도 HIPAA 규칙을 준수하지 않은 것에 대한 변명의 여지가 없습니다. HIPAA 규칙을 이해하고 준수하는지 확인하는 것은 각 해당 주체의 책임입니다. 적용 대상이 HIPAA 법률을 고의로 위반 한 것으로 밝혀지면 최대 벌금이 적용됩니다.

Tier 1 : HIPAA 규칙을 준수하기 위해 합당한주의를 기울인 경우, 해당 대상이 인지하지 못했고 현실적으로 피할 수 없는 위반
Tier 2 : 보장 대상이 알고 있었어야 했지만 합리적인주의를 기울여도 피할 수 없었던 위반. (그러나 HIPAA 규칙을 고의적으로 무시하지 못함)
Tier 3 : 위반을 수정하려는 시도가있는 경우 HIPAA 규칙의 "고의적 방치"의 직접적인 결과로 발생한 위반
Tier 4 : 고의적 방치를 구성하는 HIPAA 규칙 위반, 위반을 시정하지 않은 경우, 알 수없는 위반, 해당 대상이 데이터 유출을 피할 수 없을 것으로 예상되는 경우 해당 대상에 벌금이 부과되는 것은 불합리 해 보일 수 있습니다. OCR은 이를 높이 평가하고 재정적 벌금을 면제 할 재량권을 가지고 있습니다. 위반 사항이 개인 정보 보호, 보안 및 위반 알림 규칙을 고의로 무시한 경우 벌금을 면제 할 수 없습니다.

2019 년 4 월 30 일에 발표 된 집행 재량 통지는 최대 연간 벌금을 $ 10,000 (Tier 1), $ 100,000 (Tier 2), $ 250,000 (Tier 3) 및 $ 1,711,533 (Tier 4)로 제한했습니다.


HIPAA 위반에 대한 위의 벌금은 하이테크 법에 규정 된 것입니다. 인플레이션을 고려하여 매년 조정된다는 점에 유의해야합니다. 인플레이션에 따라 조정 된 2018 년 및 2019 년의 민사상 벌금은이 링크에서 볼 수 있습니다.

참고 문헌

Health Information & Privacy

Health Insurance Portability and Accountability Act of 1996 (HIPAA)

HIPAA, HITECH 및 OMNIBUS 규칙 : 무엇입니까?

HHS Increases Civil Monetary Penalties for HIPAA Violations in Line with Inflation

HIPAA FORM

✔️ 당신의 건강 정보 안전하게 보호되고 있나요?

✔️ 안전하고 편리한  메디히어에서 한인 가정의학과 전문의와 채팅, 영상을 통해 원격으로 상담 받아보세요.


MEDIHERE
MEDIHERE Inc.

MEDIHERE Inc.

건강과 관련해서 궁금하신 점이 있으시다고요? 10년 이상 경력과 명문대에서 교육받은 전문의들과 간호사(RN)로 구성된 메디히어의 의료진의 감수를 받은 양질의 의학 관련 내용을 통해 먼저 확인해보세요. 더 궁금하다면 메디히어로 접속해 전문의에게 바로 물어보세요! https://www.medihere.com
New York, NY