Dropbox 및 HIPAA/HITECH

HIPAA/HITECH는 무엇인가요?

HIPAA/HITECH는 두 가지 법, 즉 Health Insurance Portability and Accountability Act(1996년 제정) 및 Health Information Technology for Economic and Clinical Health Act(2009년 제정)를 의미합니다.

상기 법은 의료 분야에서 정보 기술 확산을 촉진하고, 건강 정보의 보안 및 보호 장치를 마련하기 위해 제정되었습니다. HIPAA/HITECH 법은 병원, 의원, 치과 및 PHI(보호 대상인 건강 정보)를 취급하는 개인을 대상으로 합니다. 또한, 이러한 의료 기관과 관련된 업체 및 이 업체를 대신하여 PHI를 처리하는 대행 업체도 포함될 수 있습니다.

HIPAA/HITECH 주요 용어

PHI(보호 대상인 건강 정보)

아래와 같은 과거, 현재 및 향후 개인의 의료 식별 정보입니다.

• 신체적 정신적 건강 상태
• 진료/치료 내역
• 진료비

적용 대상 기관

적용 대상 기관은 건강 보험사, 의료 정보 전달 기관 및 의료 기관입니다. 여기에는 병원, 개인 의원, 치료소 및 PHI를 생성, 취급/관리 및 전송하는 기관이 포함됩니다. 이러한 적용 대상 기관은 PHI 정보에 접근하므로 HIPAA/HITECH 법에 따라 개인 정보를 보호해야 하는 책임이 있습니다.

사업 협력자

사업 협력자는 HIPAA/HITECH 적용 대상 기관을 대신해 PHI를 생성하고, 취급/관리하며, 전송하는 기관이며, 따라서 HIPAA/HITECH 법의 적용을 받습니다.

사업 협력 계약(BAA)

BAA는 사업 협력자가 HIPAA 요구 사항을 준수한다고 적용 대상 기관에 보증하는 계약입니다. 적용 대상 기관이 사업 협력자에게 PHI를 전송하려면 먼저 이 계약을 체결해야 합니다.

Dropbox는 HIPAA/HITECH 인증을 받았나요?

HIPAA/HITECH 공식 인증서는 없습니다. Dropbox가 HIPAA/HITECH 규정을 잘 준수하고 있는지 확인하고 싶은 경우, HIPAA/HITECH 보안 및 개인정보 보호 규정을 준수해야 하는 Dropbox Business 고객을 위한 Dropbox 내부 방침 및 권장 사항과 더불어 HIPAA/HITECH 보안, 개인정보 보호, 위반 통지 규칙을 Dropbox에서 어떻게 관리하고 있는지 평가하는 타사 인증 보고서를 요청하실 수 있습니다.

Dropbox Business 이용 시 HIPAA/HITECH 법을 준수하려면 어떻게 해야 하나요?

Dropbox는 사용자가 계정을 보호하고 법적 요구 사항을 준수할 수 있는 방법을 가능한 쉽게 익힐 수 있도록 도와 드립니다. 법적 규정을 준수해야 하는 것은 사용자 본인의 책임이나 사용자가 계정 및 계정 데이터를 안전하게 보호할 수 있도록 Dropbox에서 몇 가지 권고 사항을 마련하였습니다.

먼저 Dropbox의 HIPAA 시작하기 안내서에서 PHI와 같은 정보를 안전하게 보호할 수 있도록 계정을 설정하는 방법을 살펴보세요. 이 안내서는 아래와 같은 다양한 주제에 관한 제안 내용을 다루고 있습니다.

• 공유 권한 구성
• 영구 삭제 방지
• 계정 액세스 및 활동 모니터링
• 타사 앱의 기능 이해

요청 시 HIPAA/HITECH 보안 및 개인정보 보호 규정을 준수해야 하는 Dropbox Business 이용 고객에게 Dropbox가 제공하는 권고 사항과 Dropbox 내부 보안 체계를 비교한 내용을 제공합니다.

HIPAA/HITECH 적용 대상 고객인 경우, PHI를 Dropbox 계정에 전송하려면 먼저 BAA를 체결해야 합니다. Dropbox Business 구매 방법에 대한 자세한 내용은 Dropbox 영업팀에 문의하세요. 또는 Dropbox Business 계정의 팀 관리자는 관리 콘솔의 계정 페이지에서 BAA에 전자 서명을 할 수 있습니다.