1996년에 미국은 의료 정보 보호법(HIPAA)을 제정하여 PHI(Protected Health Information) 사용, 공개, 안전한 저장에 대한 요구 사항을 정립하고 2009년에 경제 및 임상 건강을 위한 건강 정보 기술법(HITECH) 수정 조항을 통해 갱신했습니다.
의사, 병원, 건강 보험 회사 등 HIPAA가 적용되는 기관, 이와 관련된 비즈니스 어소시에이트는 PHI를 보호하기 위해 설계된 기술적, 행정적, 물리적 제어 방안을 반드시 구현하고 유지해야 합니다.
보고서 및 기타 문서
IBM Cloud를 사용하면 HIPAA 지원 환경과 애플리케이션을 구축할 수 있습니다.
클라이언트의 적용 기관에서 IBM Cloud 서비스를 사용하는 동시에 PHI를 관리하기로 결정하면 IBM이 대상 법인의 비즈니스 어소시에이트가 됩니다. IBM은 적용 기관의 비즈니스 어소시에이트인 써드 파티 공급자의 비즈니스 어소시에이트도 될 수 있습니다. IBM Cloud에는 비즈니스 어소시에이트로서의 HIPAA 의무 준수 사실을 입증하는 정책과 절차가 마련되어 있으며, PHI가 IBM Cloud에 저장되어 있는 경우도 이에 해당합니다.
HIPAA 적용 대상으로서 HIPAA 규제 데이터를 위해 IBM Cloud 제품을 사용하려는 IBM 클라이언트는 적용 기관, IBM, 공유 대상의 책무를 정의하는 비즈니스 어소시에이트 계약(BAA)을 IBM과 체결해야 합니다. IBM Cloud Catalog 클라이언트는 HIPAA 준비 완료 서비스를 사용하기 위해 IBM Cloud 계정을 구성할 수 있으며, 이 과정에서 IBM BAA를 승인해야 합니다. 또는 IBM 영업 담당자에게 문의하여 IBM BAA를 승인하는 방법도 있습니다. IBM Cloud BAA는 IBM SLA 약관 BAA 페이지에서 확인할 수 있습니다.
IBM Cloud는 IBM 비즈니스 어소시에이트 자격을 갖춘 벤더에게서도 BAA 승인을 받아야 하며, 이들에게도 HIPAA 규제 데이터에 대해 동일한 보호 조치를 요구합니다.
클라이언트가 HIPAA 준비 완료 서비스 사용을 위해 IBM Cloud 계정을 구성하고 나면, 해당 서비스가 IBM Cloud Catalog에서 식별됩니다. 그러면 클라이언트는 HIPAA 준비 오퍼링 선택 여부를 확인할 수 있습니다.
IBM 서비스 설명(SD)은 해당 오퍼링이 HIPAA 준비 상태를 유지하는지 여부를 나타냅니다.
HIPAA 준비를 지원하는 IBM Cloud 서비스는 다음과 같습니다.