HIPAA(Health Insurance Portability and Accountability Act) 개인정보보호 규칙은 대상 주체가 보유한 개인 건강 정보(PHI)에 대한 연방 보호를 제공하고 환자에게 해당 정보에 대한 다양한 권리를 부여합니다.
HIPAA 규정에서는 대상 주체 및 해당 비즈니스 제휴사(이 경우 클라우드 서비스를 포함한 서비스를 대상 주체에 제공하는 Esri)가 해당 비즈니스 제휴사가 PHI를 적절하게 보호할 수 있도록 계약을 체결할 것을 요구합니다. 이러한 계약 또는 BAA(Business Associate Agreement)는 비즈니스 제휴사가 PHI를 처리할 수 있는 방법을 명확히 하고 제한하며, HIPAA 및 HITECH 법에 명시된 보안 및 개인정보보호 조항을 각 당사자가 준수하도록 명시합니다.
현재 HIPAA 또는 HITECH 법 준수에 대한 공식 인증은 없습니다. 대신 아래의 Esri 서비스는 HIPAA 보안 규칙 표준에 매핑되는 NIST 800-53 보안 제어를 활용하여 FedRAMP Moderate 기관에서 승인한 것입니다.
Esri 범위 내 서비스
ArcGIS Online HIPAA 서비스
Esri의 초기 ArcGIS Online HIPAA Eligible 서비스는 특히 geocode.arcgis.com에서 사용할 수 있는 지오코딩 서비스입니다. Esri는 추가 HIPAA Eligible 서비스가 고객 요구 사항에 따라 부합되는지 검증되면 여기에 나열할 것입니다. HIPAA Eligible 지오코딩 서비스와 관련된 현재 제한 및 요구 사항에는 미국 시민 지원 유지관리만, 미국 기반 주소에 대한 지오코딩만, API 키 호출 없음(앱 로그인 또는 사용자 계정만 허용)이 포함됩니다. 모든 고객에게 일관된 다중 테넌트 SaaS(Software as a Service) 제품이기 때문에 Esri는 고유한 고객 요구 사항에 맞게 ArcGIS Online HIPAA BAA를 수정할 수 없습니다.
EMCS Advanced Plus
EMCS(Esri Managed Cloud Services) Advanced Plus는 Esri 전문 서비스를 통해 제공되는 단일 테넌트 ArcGIS Enterprise 제품입니다. EMCS Advanced Plus는 기관의 BAA 약관을 협상할 수 있는 기능을 제공하지만 기본적으로 Esri HIPAA BAA도 활용합니다.
ArcGIS HIPAA FAQ
다음은 ArcGIS 및 HIPAA에 대해 자주 묻는 질문입니다.
기관이 특정 ArcGIS Online 구독에 대해 Esri와 HIPAA BAA(Business Associate Agreement)를 체결할 수 있습니까?
예. Esri는 HIPAA Eligible ArcGIS Online 및/또는 EMCS Advanced Plus 서비스 및 관련 유지관리에 적용되는 BAA를 적격 기업 또는 해당 공급자에 제공합니다. Esri의 BAA는 계정 관리자를 통해 요청할 수 있습니다. 이는 대부분의 공중 보건 기관, 병원, 건강 보험 회사에 적용되지만, ArcGIS Online에 2022년 로드맵에 있는 FedRAMP Moderate 인증을 받을 때까지 미국 연방 기관 및 미국 국방 기관은 Esri BAA에 대한 자격이 없습니다.
Esri와의 BAA가 있는 경우 ArcGIS Online 기관에서 어떤 서비스를 사용할 수 있습니까?
HIPAA 기관 계정의 일부로 지정된 모든 ArcGIS Online 서비스를 사용할 수 있지만, 이러한 서비스는 BAA에 정의된 HIPAA Eligible 서비스에서 보호된 건강 정보(PHI)만을 처리, 저장, 전송해야 합니다.
Esri는 내 기관의 BAA를 대신 사용하는 데 동의합니까?
ArcGIS Online의 경우에는 아닙니다. ArcGIS Online은 모든 고객에게 일관된 다중 테넌트 SaaS(Software as a Service) 제품이기 때문에 Esri는 HIPAA BAA를 수정할 수 없습니다. Esri는 모든 사용자에 대해 동일한 절차를 따라야 합니다. 문제를 최소화하기 위해 Esri는 이미 고객의 BAA 및 중대형의 제휴 SaaS 공급자의 의견을 검토하고 통합했습니다.
EMCS Advanced Plus는 기관의 BAA 약관을 협상할 수 있는 기능을 제공하지만 기본적으로 Esri HIPAA BAA도 활용합니다.
고객이 자체 BAA를 사용해야 하거나 Esri의 BAA를 상당 부분 사용자 정의해야 하는 경우, 고객이 전문 서비스 팀에 문의하여 ArcGIS Enterprise의 온프레미스 또는 EMCS Advanced Plus 배포와 같이 ArcGIS Online 외부에서 전문적인 요구 사항을 고려하는 것을 권장합니다.
Esri와의 BAA가 있다는 것은 기관이 HIPAA 및 HITECH 법을 준수하고 있다는 것을 의미합니까?
아니요, 그 자체만으로는 아닙니다. HIPAA 규정 준수에는 민감한 데이터를 다루는 의료 기관인 대상 주체에 대한 여러 책임이 포함됩니다. Esri는 BAA를 제공함으로써 HIPAA 규정 준수를 지원하지만 Esri 서비스를 사용하는 것만으로는 규정 준수를 달성할 수는 없습니다. 고객은 적절한 규정 준수 프로그램 및 내부 프로세스를 갖추고 있는지와 Esri 서비스의 특정 사용이 HIPAA 및 HITECH 법을 준수하는지 확인할 책임이 있습니다. 이는 소프트웨어와 서비스를 넘어 개인정보보호 침해를 방지하기 위한 전체적인 프로세스입니다.
기관은 ArcGIS Online 구성의 위험을 어떻게 평가할 수 있습니까?
첫째, 고객은 NDA(Non-Disclosure Agreement)에 따라 또는 connect.gov에서 제공되는 FedRAMP 인증 패키지에 접근하여 Esri의 FedRAMP 연간 서드 파티 평가 보고서를 받을 수 있습니다. 둘째, 고객은 Esri SAA(Security Assessment Agreement) 약관에 따라 보안 테스트를 구현하여 제품의 기술 검증을 수행할 수 있습니다. 마지막으로, Esri는 기관 관리자가 언제든지 빨간색, 노란색, 초록색 요약에 접근하는 데 사용할 수 있는 ArcGIS Security Advisor 도구를 생성했습니다.
Esri의 온라인 BAA를 통해 어떤 지원 또는 유지관리가 제공됩니까?
ePHI(electronic Private Health Information)에 대한 미국 기반 규정 요구 사항에 따라, BAA에 서명한 고객은 처음에 Esri의 미국 개인 전용 지원을 이용합니다. 이러한 지원은 향후 수요에 따라 표준 글로벌 지원으로 확장될 수 있습니다. 표준 조건 하에서, 운영 및 고객 지원 리소스는 모두 ArcGIS Online 고객 데이터셋을 확인하지 않습니다. 고객이 BAA가 적용되는 ArcGIS Online 구독과 관련된 데이터셋 접근, 다운로드, 확인을 위해 Esri 기술 지원의 도움이 필요하다고 판단하는 경우, Esri에서 접근 권한 부여를 위해 미리 식별된 고객 개인정보 보호 리소스에 연락합니다.
내가 원하는 서비스가 현재 HIPAA Eligible이 아닌 경우 어떻게 합니까?
Esri는 HIPAA Eligible 서비스를 계속 추가할 것이며, HIPAA Eligible 서비스 목록이 증가함에 따라 이 페이지는 업데이트될 예정입니다. HIPAA Eligible이 아닌 서비스가 당장 필요한 고객은 온라인 서비스 요구 사항을 보완하기 위해 ArcGIS Enterprise 제품을 사용하는 것을 권장합니다.
리소스
- GIS 보건 복지 서비스 정보 관리(공개)
- 보안 관리자 도구로 모범 사례 유효성 검사(공개 보안센터 도구)
- HIPAA 개인정보보호 규칙 요약(공개)