목차

보호 대상 건강 정보(PHI)란 무엇인가요?

목차

보호 대상 의료 정보(PHI)는 환자의 의료 개인정보를 보호하기 위해 보호해야 하는 모든 정보입니다. 규정에 따라 의료 서비스를 제공하는 사람이나 조직 등 해당 기관은 환자의 과거, 현재 또는 미래의 신체적 또는 정신적 건강과 관련된 정보를 보호해야 합니다. 환자의 의료 보험은 해당 환자의 PHI를 안정적이고 일관되게 보호해야 합니다.

의료보험 이동성 및 회계법(HIPAA) 및 해당 개인정보 보호 규칙에 정의된 대로 PHI는 "전자 매체로 전송되거나 전자 매체에 보관되거나 다른 형태의 매체로 전송되는 개별적으로 식별 가능한 정보"입니다.

PHI 조항이 적용되는 정보의 형태는 지난 20년 동안 꾸준히 확대되어 왔습니다. PHI를 캡처, 저장, 공유하는 기술이 발전하고 환자 기밀 유지에 대한 규정 준수 환경이 발전함에 따라 PHI의 규모와 범위는 지속적으로 증가할 것입니다.

 

보호 대상 건강 정보(PHI)가 중요한 이유는 무엇인가요?

의료 서비스 제공자는 환자의 의료 데이터의 기밀을 보호해야 하므로 의료 정보 보호는 중요합니다. 대부분의 PHI는 매우 개인적인 정보이므로 제공업체는 항상 정보의 보안을 유지하기 위해 많은 노력을 기울입니다.

의료 종사자, 건강 관리 조직(HMO), 환자 사이에는 의료 조직이 자신의 PHI를 적절히 보호할 것이라고 믿을 수 있는 깊은 암묵적 신뢰가 존재합니다.

이러한 보호는 진료실, 병원, 원격 진료소 또는 원격 진료 방문 등 진료가 제공되는 모든 장소에서 환자의 경험 전반에 걸쳐 이루어져야 합니다.

HIPAA 및 PHI

PHI 위반 시 처벌을 수반하는 수많은 규정 준수 지침이 있습니다. PHI를 다루는 가장 큰 규제 프레임워크는 HIPAA입니다. 미국 보건복지부(HHS)에 따르면 HIPAA 개인정보 보호 규칙은 "해당 기관이 보유한 개인 의료 정보에 대한 연방 차원의 보호를 제공하고 해당 정보와 관련하여 환자에게 다양한 권리를 부여합니다."

개인정보 처리방침은 또한 환자 치료 및 관련 요구 사항을 제공하기 위해 PHI가 적절하게 공개될 수 있도록 권리와 권한의 균형을 보장합니다.

보호되는 건강 정보의 예

1. 개인 식별 정보(PII)

개인 식별 정보(PII)는 인구 통계, 운전면허증, 건강 보험 데이터 등 환자를 개인 식별자와 연결하는 모든 데이터를 포함합니다.

2. 개인 건강 정보(PHI)

PHI는 HIPAA 기관과 특별히 공유되는 정보를 가리키는 PII의 하위 집합입니다. 여기에는 환자와 의료진 간의 서신, 청구 기록, 진단 장비의 디지털 스캔 및 검사 결과가 포함될 수 있습니다.

PHI 식별자의 예

HHS에는 18개의 특정 PHI 식별자가 나열되어 있습니다:

  1. 환자 이름
  2. 지리적 요소(주소, 지자체, 우편번호)
  3. 개인의 건강 또는 신원과 관련된 날짜(생년월일, 입원일, 퇴원일, 사망일)
  4. 전화 번호
  5. 팩스 번호
  6. 이메일 주소
  7. 사회 보장 번호
  8. 의료 기록 번호
  9. 건강 보험 수혜자 번호
  10. 계정 번호
  11. 인증서/라이센스 번호
  12. 차량 식별자
  13. 장치 속성 또는 일련 번호
  14. 웹사이트 URL과 같은 디지털 식별자
  15. IP 주소
  16. 손가락, 망막, 음성 지문을 포함한 생체 인식 요소
  17. 얼굴 전체 사진 이미지
  18. 기타 식별 번호 또는 코드

ePHI란 무엇인가요?

전자 PHI(ePHI)는 간단히 말해 전자/디지털 형식의 PHI입니다. 이는 의료 보고서의 PDF 또는 환자의 병력에 대한 온라인 데이터베이스일 수 있습니다. ePHI는 HIPAA 보안 규칙에구체적으로 명시되어 있습니다. 규칙 내에는 전자 의료 데이터에 대한 하위 섹션이 있습니다.

오늘날에는 그 어느 때보다 많은 환자 정보가 전자 형식으로 생성, 저장, 공유되고 있습니다. 의료 서비스 제공자는 의료 생태계에서 디지털 기록을 처음부터 끝까지 안전하게 보호하는 데 세심한 주의를 기울여야 합니다.

HIPAA 보안 규칙은 모든 ePHI의 기밀성, 무결성, 가용성(CIA 트라이어드라고 함)을 보호하기 위한 요구 사항을 명시하고 있습니다. 여기에는 디지털 의료 정보의 안전과 보안에 대한 예상되는 위협을 식별하고 보호하는 것이 포함됩니다. 또한 해당 단체는 보안 규칙에 명시된 HIPAA 가이드라인 준수를 보장하기 위한 시스템, 절차 및 정책을 마련할 수 있습니다.

보호 대상 건강 정보 보호

HIPAA 보안 규칙은 적용 대상 기관이 규정 준수를 입증하기 위해 취해야 하는 구체적인 조치를 의무화하여 PHI 및 ePHI 보호와 관련하여 환자와 의료 제공자 간의 신뢰를 보장합니다. 이러한 단계는 세 가지 범주로 나뉩니다:

  • 관리적 보호 장치
  • 물리적 보호 장치
  • 기술적 보호 장치

1. 관리적 보호 조치

관리적 보호 조치는 PHI에 대한 잠재적 위험을 정확히 파악하고 결정하며 보안 위험 및 취약성을 줄이는 조치를 취하기 위한 것입니다. 또한 보안 담당자가 해당 기업의 보안 규칙 및 절차를 개발하고 구현하도록 의무화합니다.

또한 서비스 제공업체는 보안 정책이 HIPAA 보안 규칙의 요구 사항을 얼마나 잘 충족하는지 정기적으로 평가해야 합니다.

2. 물리적 보호 장치

물리적 안전장치는 시설에 대한 무단 물리적 접근을 제한하는 동시에 허가된 접근은 허용하는 등의 문제를 다룹니다. 또한 대상 기업은 전자적으로 저장된 데이터와 PII 및 PHI가 포함된 전자 미디어의 적절한 취급을 다루는 정책 및 절차를 구축해야 합니다.

3. 기술적 보호 장치

기술적 안전장치는 적절한 권한이 있는 사람만 디지털 기록 및 기타 전자 정보에 액세스할 수 있도록 설계되었습니다. 여기에는 의료 및 의료 기록을 캡처, 저장 및 관리하는 데 필요한 하드웨어, 소프트웨어 및 서비스뿐만 아니라 액세스를 관리하는 보안 자격 증명 및 인증 절차도 포함됩니다.

또한 디지털 네트워크를 통해 PHI 및 ePHI에 대한 부적절한 액세스로부터 보호하기 위해 설계된 암호화 및 기타 기술도 포함됩니다.

PHI 유출이란 무엇인가요?

최근 의료 업계에서는 환자의 개인 정보를 노리는 사이버 공격이 급증하고 있습니다. 악의적인 공격자들은 랜섬웨어 및 갈취와 같은 수법을 사용하여 의료 서비스 제공자로부터 엄청난 금액을 요구하며, 일부는 최고 입찰자에게 환자 기록을 판매하기도 합니다.

Unit 42의 인시던트 대응 보고서 2022에따르면 의료 조직은 평균적으로 몸값으로 141만 달러를 지불합니다. IBM의 2022년 데이터 유출 비용 보고서에 따르면 데이터 유출로 인해 최대 1,010만 달러의 비용이 발생할 수 있습니다.

무엇이 PHI 침해로 간주되나요?

HHS는 PHI 위반을 "보호 대상 의료 정보의 보안 또는 개인정보를 침해하는 개인정보 보호 규칙에 따라 허용되지 않는 사용 또는 공개"로 폭넓게 정의합니다. 실제 환경에서는 PHI 노출을 초래하는 광범위한 작업이 포함될 수 있습니다.

예를 들어, 메디케어 사기 또는 기타 보험 사기를 저지르는 해커는 종종 PHI를 얻기 위해 다양한 기술을 사용합니다. 랜섬웨어, 신원 도용, 소셜 엔지니어링, 자격 증명 도용, 피싱, 멀웨어는 모두 암호화되지 않거나 보호되지 않은 개인 디바이스를 손상시키는 데 사용됩니다.

HIPAA에 따라 PHI 유출에는 네 가지 핵심 요소가 있습니다:

  1. 식별자 유형 및 재식별 가능성을 포함하여 관련된 PHI의 성격과 범위.
  2. 보호 대상 의료 정보를 사용했거나 공개가 이루어진 권한이 없는 사람.
  3. 보호 대상 건강 정보를 실제로 획득하거나 조회했는지 여부.
  4. 보호되는 건강 정보에 대한 위험이 어느 정도 완화되었는지를 나타냅니다.

대부분의 경우 악의적인 행위가 아닌 의도하지 않은 행위로 인한 PHI 침해는 HIPAA 위반으로 간주되지 않습니다. 적용 대상 단체는 변호사 및 규정 준수 팀에 문의하여 PHI 공개가 HIPAA 또는 기타 개인정보 보호 가이드라인을 위반하는 것인지 확인하는 것이 좋습니다.

진화하는 랜드스케이프: 새로운 기술 및 PHI 보안

의료 산업은 의료 서비스를 제공하는 방법, 시기, 장소, 이유 등 여러 측면에서 극적인 변화를 겪고 있습니다. 원격 진료의 증가, 스마트 의료 기기(사물 인터넷)의 증가, 점점 더 복잡해지고 상호 연결되는 IT 환경 등의 트렌드가 결합되어 급변하는 환경이 조성되고 있습니다.

PHI를 안전하게 유지하기 위해 의료 조직과 그 파트너/비즈니스 관계자는 전사적으로 사이버 보안 운영을 설계, 구축, 신뢰 및 모니터링할 수 있는 숙련된 사이버 보안 파트너가 필요합니다.

잠재적인 사이버 보안 파트너를 평가할 때 최고 정보 보안 책임자와 그 동료들은 몇 가지 주요 역량을 요구해야 합니다:

  • 암묵적 신뢰를 제거하여 침해를 방지하는 제로 트러스트에대한 전문성.
  • 네트워크 보안부터 차세대 SOC까지 모든 범위의 사이버 보안 도구에 대한 전문 지식을 제공합니다.
  • 특히 하이브리드 클라우드 및 멀티클라우드 환경을 위한 클라우드 보안 절차 및 프레임워크에 대한 지식이 있어야 합니다.
  • 가장 포괄적인 최신 위협 인텔리전스 서비스에액세스하세요.

전 세계 병원 및 의료 시스템이 선택한 사이버 보안 리더인 Palo Alto Networks에 대해 알아보세요. www.paloaltonetworks.com/healthcare방문하기.

보호 대상 건강 정보(PHI) FAQ

의료 조직에 대한 사이버 공격은 피싱 공격, 데이터 손실, 소셜 엔지니어링, 물리적 도난 등 다양한 형태로 이루어집니다. 이러한 공격은 잘못하면 병원의 진료 품질에 큰 타격을 입히고 수백만 달러의 몸값과 벌금을 물게 할 수 있습니다.

보안되지 않은 IoT 디바이스, 이메일 기반 피싱 공격 등 여러 엔드포인트에서 PHI 침해가 발생할 수 있습니다. 특히 머신 러닝과 인공 지능을 이용한 새로운 공격이 등장하면서 이러한 위협은 빠르게 진화하고 있습니다.

강력한 사이버 보안 솔루션은 네트워크 보안, 클라우드 보안, 엔드포인트 보안 등 모든 측면에서 환자 데이터를 보호합니다. 조직은 원치 않는 침입과 데이터 손실을 방지하는 동시에 공격 발생 시 사고 대응을 자동화할 수 있는 기능을 갖춘 차세대 방화벽을 구축해야 합니다. 또한 클라우드 워크로드가 증가하는 조직에서는 ID 관리 및 액세스 제어와 같은 도구를 통해 내부 네트워크에 연결하는 동안 작업자와 디바이스를 안전하게 보호할 수 있습니다.

병원 및 기타 의료 시스템의 IT 및 SOC 팀은 수작업으로 처리해야 하는 수많은 알림으로 인해 과부하가 걸리는 경우가 많습니다. 보안 자동화는 분석가와 함께 작동하여 사람의 개입을 최소화하면서 위협을 자동으로 방지, 탐지 및 대응하므로 분석가는 다른 작업에 더 많은 시간을 집중할 수 있습니다.
관련 콘텐츠
의료 사이버 보안이란 무엇인가요?
위협 환경이 변화하고 있으며, 특히 의료 분야가 취약한 상황입니다. 의료 분야의 사이버 보안에 대해 알아야 할 모든 것이 여기에 있습니다.
의료 사이버 보안: 2024년에 주목해야 할 3가지 트렌드
원격 진료에서 연결된 디바이스에 이르기까지 이러한 사이버 보안 트렌드는 의료 분야의 디지털 혁신을 형성하고 있습니다.
2024년 의료 사이버 보안을 위한 3가지 우선 순위
2024년에 의료 서비스 CISO는 사이버 보안을 혁신하고 사이버 복원력을 확보할 수 있는 기회를 갖게 됩니다. 방법은 다음과 같습니다.
의료 분야의 안전한 디지털 혁신
의료 산업은 진화하고 있으며 사이버 공격도 진화하고 있습니다. 환자 데이터를 보호하고 위협에 한발 앞서 대응하세요.

최신 소식, 이벤트 초대장 및 위협 알림 받기

© Copyright 2025 팔로알토네트웍스코리아 유한회사 Palo Alto Networks Korea, Ltd. All rights reserved. 여러 가지 상표에 대한 소유권은 각 소유자에게 있습니다. 사업자 등록번호: 120-87-72963. 대표자 : 제프리찰스트루 서울특별시 서초구 서초대로74길 4, 1층 (삼성생명 서초타워) TEL: +82-2-568-4353