게시물 검색

바이오/의료 미국 HIPAA 규칙 개정으로 보는 의료 프로세스의 DX 추진과 개인 건강 기록 보호의 균형

  • 관리자 (irsglobal1)
  • 2020-12-08 16:58:00
  • hit3319
  • 59.16.96.105

출처 : https://monoist.atmarkit.co.jp/mn/articles/2010/16/news026.html

아래 내용은 PHR의 미래를 좌우하는 프라이버시 규칙 개정 동향을 다룰 예정이다.

 

미국 HHS가 PHR을 위한 HIPAA 프라이버시 가이드라인을 공표함

2020년 6월 8일, 미국 보건복지부(HHS)의 공민권실(OCR)은 ‘개인 건강 기록과 HIPAA 프라이버시 규칙’이라는 제목의 화이트 페이퍼를 공표했다. 이 문서는 HIPAA(Health Insurance Portability and Accountability Act of 1996 : 의료보험의 휴대성과 책임에 관한 법률)를 개인 건강 기록(PHR)을 이용하는 데 적용하는 방법을 제시하고, 그 이용을 지원하는 것을 목적으로 하여 책정되었다.

 

이 지침 문서에서는 일반적인 PHR에 대해, ‘개인의 건강 정보의 전자적 기록이며, 개인이 그 정보에 대한 액세스를 제한하고, 자기 자신의 의료에 관해 관리, 추적, 참가할 가능성이 있는 것’이라고 정의한다. HHS는 PHR의 기능 중에서 특히 자신의 건강 정보를 관리하고, 정도의 차이는 있지만 그 건강 정보에 누가 액세스할 수 있는지 제어하는 능력을 가진 개인에게 제공하는 기능에 초점을 맞추고 있다.

 

예를 들어, PHR은 의료 진단, 약물치료, 검사 결과 등의 공통 정보를 포함하는 경년적인 건강 이력을 생성하는 방법을 개인에게 제공하는 기능을 갖고 있다. 또한 PHR의 건강 정보에 누가 액세스할 수 있는지 제어하는 기능을 제공하는 제품도 증가하고 있다. 또한 개인이 언제 어디서든 어떤 컴퓨터로부터도 자유롭게 건강 정보를 열람할 수 있도록 하는 PHR의 액세서빌리티를 활용하면, 일상적으로 접하는 주치의나 급성기 의료를 담당하는 지역 의료 시설 등과 연계하여, 적절하고 지속적으로 개선되는 치료를 촉진시킬 수 있을 것으로 기대된다. 그에 더해 PHR상의 자신의 건강 정보에 액세스하는 기능을 사용하여, 개인이 그 정보에 있는 잠재적인 에러나 실수를 특정 짓는 데 도움을 줄 수도 있다.

 

PHR의 종류에 따라서는 개인이 가족의 건강 이력이나 긴급 시 연락처 정보를 입력하면, 자신의 건강 정보 및 자신의 자녀 등의 케어를 관리하는 그 밖의 상대방의 건강 정보를 추적ㆍ도시(圖示)하거나, 다음 예약이나 순서에 관한 리마인더를 설정하여 알림을 받거나, 병상 조사나 처방전을 갱신하거나, 안전한 메신저 시스템을 통해 의료 제공자와 직접 연락을 할 수 있다. 또한 개인 및 의료 제공자 모두가 환자 기록을 전송하거나 환자 케어를 조정하는 데 관여하는 관리 프로세스를 간소화하는 수단으로서, PHR을 기능하게 할 수 있다.

 

HHS는 PHR에 대해, HIPAA의 적용 대상 주체(CE : Covered Entity)가 제공하는 것과 적용 대상 주체가 제공하지 않는 것, 이렇게 두 가지로 분류하고 있다. 그림 1은 적용 대상 주체가 제공하는 PHR의 정보 흐름을 나타낸 것이다.

 

<그림1> 적용 대상 주체가 제공하는 PHR의 정보 흐름

 

건강 정보는 개인과 적용 대상 주체(예 : 의료기관, 의료보험자) 사이에서 사용된다. 적용 대상 주체는 PHR을 저장하거나 PHR 내의 정보를 갱신할 수 있다. PHR 내의 정보는 HIPAA 프라이버시 규칙에 준거하여 보호되는 한편, 개인은 언제 어디서든 어떤 컴퓨터로부터도 액세스할 수 있다.

 

<그림 2>는 적용 대상 주체 이외의 주체가 제공하는 PHR의 정보 흐름을 나타낸 것이다.

 

<그림2> 적용 대상 주체가 제공하지 않는 PHR의 정보 흐름

 

구체적으로는 PHR이 HIPAA의 적용 대상이 되는 의료기관이나 의료보험자가 아니라, 고용주(고용주의 단체 의료 보험과 별개임) 또는 PHR 벤더에 의해 직접 개인에게 제공되는 경우가 해당된다. 이러한 유형의 PHR에서는 PHR의 제공 주체가 책정한 개인정보 취급방침에 근거하여 관리된다. 경우에 따라서는 HIPAA 프라이버시 규칙 이외의 법령(예 : 연방 거래 위원회(FTC)가 소관하는 소비자 보호 규제)에 근거하여 관리되기도 한다. 하지만 HIPAA 적용 대상 주체가 가진 개인의 건강 정보를 PHR에 입력하는 방법에 대해서는 HIPAA 프라이버시 규칙이 적용된다. 개인이 언제 어디서든 어떤 컴퓨터로부터도 액세스할 수 있다는 점은 적용 대상 주체가 제공하는 PHR과 다르지 않다.

 

PHR에서의 ‘적용 대상자’와 ‘사업 제휴자’의 관계에 주의

앞서 HIPAA의 ‘사업 제휴자(BA : Business Associate)’에 대해 다뤘었는데, PHR을 제공하는 적용 대상 주체도 사업 제휴자에 해당하는 다른 주체에 PHR의 관리 및 다른 PHR 관련 서비스 기능을 외부에 위탁할 수 있다. HIPAA 프라이버시 규칙에서는 사업 제휴자가 정보를 적절하게 보호할 것을 명시한 ‘사업 제휴 계약서(BAA : Business Associate Agreement)’에 근거하여 적용 대상 주체가 만족할 만한 보증을 얻을 수 있는 경우, 사업 제휴자가 PHR에 관한 ‘보호 대상 보건 정보(PHI)’를 이용/개시하는 데 관여하는 것을 인정한다.

 

또한 PHR이 IT 인프라스트럭처나 애플리케이션 개발 기반, 서비스 제공 등에 클라우드 서비스를 이용하는 경우, 클라우드 서비스 사업자는 HIPAA의 사업 제휴자에 해당한다. 본 연재 제61회와 제62회에서 다룬 것처럼 미국에서는 PHR이 클라우드 네이티브한 애플리케이션 컨테이너/마이크로 서비스/서버리스 아키텍처 등의 기반과 API(애플리케이션 프로그래밍 인터페이스)를 이용하여 데이터를 연계하는 경우가 많아지고 있으며, 앞으로 HIPAA 규칙을 어떻게 적용해 나갈지가 큰 과제가 된다.

 

PHR에 관한 사업 제휴자에 의한 보호 대상 보건 정보(PHI) 이용/개시에 대해서는, 앞서 기술한 것처럼 적용 대상 주체와 체결하는 사업 제휴 계약서에서 인정하는 경우, 또는 법령으로 요구되는 경우에만, 사업 제휴자는 PHI에 해당하는 PHR의 건강 정보를 이용/개시할 수 있다.

 

또한 HIPAA는 PHR에 관여하는 적용 대상 주체 및 사업 제휴자에게서 개인의 보호 대상 보건 정보의 누락을 발견했을 경우, HHS에 대한 보고와 당사자인 환자/가족에 대한 공지 의무를 가지며, 인시덴트가 발생한 각 사업자의 대응 상황은 HHS의 사이트에서 낱낱이 공개한다.

 

HIPAA 프라이버시 규칙에서는 자기 자신에 관한 건강 정보를 열람하거나 정보에 오류가 있을 때 수정을 요구하는 등, 건강 정보와 관련된 다양한 개인의 권리를 보증한다. PHR은 개인에게 각자의 건강 정보에 대한 액세스를 제공하며, 개인과 의료기관 및 의료보험자 사이의 커뮤니케이션을 촉진한다는 점에서, 적용 대상 주체에 있어 HIPAA에서 보장되는 권리를 개인에게 제공하는 일을 촉진하는 데 유익한 메커니즘이 된다는 점이 HHS의 기본적인 개념이다.

 

HIPAA 규칙 개정 준비와 의료 데이터 상호운용성 추진책의 동시 진행

본 연재 제44회에서 말한 것처럼 HHS의 공민권실은 HIPAA 규칙을 개정하기 위해 정보 제공 의뢰(RFI)를 했다(의견 모집 기간 : 2019년 2월 11일까지). 그 후, 구체적인 개정을 위한 작업이 이루어지고 있다.

 

한편 2019년 2월 8일에는 HHS의 미디어 메디케이드 서비스 센터(CMS)가 의료 시스템을 통해 환자의 액세스를 개선하고, 전자 데이터를 교환하고 케어를 조정하는 ‘MyHealthEData’ 이니시어티브를 지원하기 위한 정책 변경 제안(‘상호운용성ㆍ환자 액세스 규칙 제안’)을 공표했다. 이 규칙안에는 ‘Meaningful Use’의 다음 의료 IT 추진 시책인 ‘Promoting Interoperability(PI)’에 관한 의료 공급자 및 의료 보험사업자를 대상으로 하는 제도 구조 및 기술 요건 등의 규칙이 기술되어 있다. 또한 2019년 2월 14일에 HHS의 국가 의료 IT 조정실(ONC)이 ‘의료 정보의 상호운용성 향상을 위한 규칙 책정 제안 통지’를 공표했다.

 

그 후 2020년 3월 9일, HHS는 ‘미디어 메디케이드 서비스 센터 상호운용성 및 환자 액세스 최종 규칙(CMS 규칙)’ 및 ‘국가 의료 IT 조정실 21세기 치료법 최종 규칙(ONC 규칙)’을 공표했다.

 

그 중 CMS 규칙을 통해 HHS는 규제 대상이 되는 모든 보험자가 환자 액세스 API를 통해 청구ㆍ조합 데이터를 환자가 이용할 수 있게 하는 것을 보증하는 방침을 내세웠다. 환자가 필요한 때에 필요한 방법으로 PHR을 부여함으로써, 의료에서의 더 나은 의사결정자 및 지식에 근거한 파트너가 될 수 있게 하기 위함이다. 또한 한 층 더 조화를 이룬 질 높은 비용 대비 효과를 가진 케어가 가능해져, 더 나은 의료 아웃컴을 실현할 수 있다고 설명한다.

 

한편, ONC 규칙을 통해 HHS는 국제 HL7협회가 책정한 전자 보건 의료 정보의 상호운용성에 관한 표준 규격인 FHIR(Fast Healthcare Interoperability Resources) 4.0.1 버전을 채용하여, 인증 전자 건강 기록 기술 프로그램의 일부인 API의 이용을 지원하는 방침을 내세웠다. 이로 인해 환자는 스마트폰을 이용하여 의사의 전자 건강 기록(EHR)을 통해 중요한 의료정보에 액세스할 수 있게 된다.

 

같은 해 3월 9일, 미국의사회(AMA)는 HHS가 공표한 CMS 규칙 및 ONC 규칙에 대해 데이터 교환의 효율 향상, 의사의 부담 감소, 환자의 데이터에 관한 제어 및 액세스라는 3가지 관점에서 재검토하여 작업할 것임을 표명하였다. AMA가 주시하고 있는 것은 다음의 영역이다.

 

⦁어떤 데이터가 수집되는지, 애플리케이션 개발자가 어떻게 이용하고 싶은지, 애플리케이션을 이용하여 보건 정보에 액세스하는 환자의 시큐리티 보호에 관해 애플리케이션이 투명성을 갖기 위해 필요한 프라이버시를 제어하는 일

⦁의사가 EHR에 관한 문제를 공표하는 것을 방지하는 ‘입막음 조건’ 등 벤더가 초과 요금을 징수하는 것을 금지하는 규칙

⦁EHR 벤더의 요금을 제한하고, 의사가 연방 정부의 요구사항을 준수한 보건 데이터 교환에 대해 비용이 발생하는 것을 방지하는 이용 기반 요금 구조

⦁의사 및 환자의 보건 정보에 대한 액세스를 향상시키는 프로그래밍 툴

⦁EHR의 검증과 사용성에 관한 한 층 더 엄격한 요구사항

⦁보험자 및 그 밖의 비임상주체로부터의 불필요하고 부적절한 EHR 데이터에 대한 액세스 제한

⦁의사를 대상으로 하는 정보 차단 예외에서의 복잡성에 관한 투명성과 절감책 강화

⦁별로 적극적이지 않으며 분산된 벤더 및 의사를 대상으로 하는 EHR 전개 타임라인

 

COVID-19 긴급사태 선언에 따른 HIPAA 규칙 적용 완화 조치

이처럼 의료 IT에 관한 데이터의 상호운용성 및 프라이버시/시큐리티 관련 정책 입안ㆍ합의 형성을 위한 움직임이 일고 있는 상황에서, 신종 코로나 바이러스 감염증(COVID-19)이 급격하게 확대되는 일이 발생하였다. 연방 정부 기관이나 주 정부 기관, 지자체는 공중위생상의 긴급사태(PHE)를 선언함과 동시에 평상시를 상정하여 책정된 법규제를 완화하는 조치를 마련하고 있다.

 

예를 들어 2020년 2월 3일, HHS의 공민권실은 ‘홍보 : HIPAA 프라이버시와 신종 코로나 바이러스’라는 제목의 정부 홍보 문서를 발행하여, HIPAA 프라이버시 규칙의 적용 대상 주체 및 사업 제휴자에게 COVID-19 긴급 대응 기간 중 HIPAA 프라이버시 규칙의 요구 사항을 준수할 수 없는 경우에도 법집행 조치를 유예한다는 뜻을 통지하였다.

 

또한 같은 해 3월 17일에, 마찬가지로 공민권실이 ‘COVID-19 국가 공중위생 긴급사태 시의 원격 의료 리모트 커뮤니케이션을 대상으로 하는 집행 재량 통지’를 발표하여, COVID-19 긴급 대응 시에 실시간 음성 및 시각 기술을 사용하여 환자와 임상의를 연결하는 원격 의료를 제공하는 의료기관에 대해, HIPAA 프라이버시 규칙의 요구 사항을 준수할 수 없는 경우에도 법집행 조치를 유예할 것임을 명문화하였다.

 

그 후 3월 27일에는 미국 연방의회가 총 2조 달러 이상의 재정 지출을 포함한 ‘코로나 바이러스 지원ㆍ구제ㆍ경제보장(CARES) 법안’을 가결하였고, 해당 법은 대통령의 서명을 받아 성립되었다. CARES법에는 신종 코로나 바이러스 긴급 대응 시의 원격 의료 도입과 관련된 경제 인센티브 시책이 포함되어, 이노베이션 촉진책과 규제 완화책이 조화되었다.

 

또한 공민권실은 이번 COVID-19로 대표되는 팬데믹 뿐 아니라 대규모 자연재해 등이 발생했을 때도 HIPAA 규칙의 완화 조치를 마련했다. 예를 들어, 2019년 9월에 허리케인 ‘두리안’이 발생했을 때도 PHE를 선언하여, PHI의 공유에 필요한 환자ㆍ가족의 동의를 취득하고, 의료기관에 대해 원래 적용되는 HIPAA 프라이버시 규칙에 근거한 제재나 벌칙을 유예할 것임을 발표하였다. 하지만 유예 조치가 받아들여지는 것은 긴급 지역 내에 있는 의료기관이며, PHE 선언 기간 중 재해 프로토콜을 발동한 후 72시간 이내로 한정된다.

 

COVID-19 긴급 대응 하에서 진행되는 FTC의 PHR 관련 규칙 개정 준비

COVID-19 긴급 대응 하에 있는 2020년 5월 8일, HIPAA 적용 대상 주체 이외의 주체가 제공하는 PHR을 대상으로 하는 프라이버시 보호 규제를 소관하는 FTC는 건강 침해 통지(HBN) 규칙의 일부를 재검토하자는 제안에 관한 의견 모집을 실시하였다(모집 기간 : 규제 재검토 공지를 연방관보에 게재한 후 90일간).

 

FTC는 2009년 8월 17일, 리먼쇼크 후의 경기 회복책으로 책정된 ‘2009년 미국 재생 재투자법(ARRA)’의 일부로, 건강 침해 통지 규칙을 제정ㆍ시행하고 있다. 그러한 상황 속에서 HIPAA가 적용되지 않는 PHR을 제공하는 벤더 및 관련 서드파티 애플리케이션을 제공하는 사업자에 대해, 건강 데이터 침해를 발견하면 60일 이내(500명 이상의 개인이 영향을 받는 침해의 경우에는 10영업일 이내)에 FTC 및 소비자에게 통지할 것을 요구하였다.

 

한편 FTC는 건강 침해 통지 규칙이 경제 및 기술, 사업 모델의 변화에 따른 것임을 보증하기 위해 정기적인 재검토를 실시하고 있으며, 이번 의견 모집 역시 그 일환이다. FTC가 소관하는 PHR에 관해서는 다음과 같은 과제를 들 수 있다.

 

⦁규칙은 알림 부족, 과잉 알림, 또는 효율적인 수준의 알림 중 하나의 결과에 해당하는가

⦁법적, 경제적, 기술적 변화를 반영하기 위해 규칙의 정의를 수정해야 하는가

⦁침해 보고의 타이밍 요건 및 수법은 적절한가 ; 모바일 헬스 애플리케이션, 가상 어시스턴트, 플랫폼, 헬스 툴 등, 다이렉트 투 컨슈머 기술 및 서비스로 인해 발생한 집행 조치에 미치는 영향

⦁규칙이 COVID-19에 관한 의료 제품 또는 서비스의 개발을 취급해야 하는가, 또한 어떻게 해야 하는가

 

또한 FTC는 본 연재 제16회에서 말한 것처럼, 소비자를 대상으로 하는 모바일/IoT 제품ㆍ서비스의 시큐리티/프라이버시 보호도 소관하고 있어, 2016년 4월 6일, HHS 산하의 ONC, 공민권실, 식품의약품국(FDA)과 함께 모바일 헬스 애플리케이션 개발자를 대상으로 하는 가이드라인을 공표하였다.

 

미국 의사회가 HIPAA 비적용 주체를 상정한 프라이버시 원칙 공표

이처럼 COVID-19 긴급 대응 상황에서도 연방 정부 기관이 프라이버시 규칙을 개정하기 위한 준비 작업을 진행하는 와중에, AMA는 최종적인 프라이버시 관련 법령이 의사와 환자 간의 관계의 근간에 있는 신뢰의 보호를 보증하는 역할을 하도록 다양한 시책을 실시하고 있다.

 

예를 들어 2020년 5월 11일, AMA는 데이터 프라이버시에서의 신뢰 유지를 목적으로 하는 ‘프라이버시 원칙’을 공표했다. AMA는 의료 시스템 외에 공유된 보건 정보(예 : HIPAA 비적용 주체가 제공하는 PHR)에 대해, 환자가 의미 있는 제어 기능을 가지며, 데이터 이용 방법 및 누구와 데이터를 공유하는지에 대한 명확한 이해를 보증할 것을 중시한다.

 

이번에 공표한 새로운 원칙에서는 차별로부터의 권리 및 보호를 개인에게 제공하고, 프라이버시의 책임을 개인에서 HIPAA 적용 대상 주체 이외의 데이터 소유자에게 전환함과 동시에 환자가 디지털 헬스 툴(예 : 자신의 건강 정보에 액세스하는 스마트폰 애플리케이션 이용)에 대한 신뢰를 구축하고 유지할 수 있도록 권리 침해에 대한 벌칙을 강화할 것을 요구하고 있다. 그리고 다음과 같은 항목별로 원칙을 정리하였다.

 

⦁개인의 권리

⦁공평(Equity)

⦁주체의 책임

⦁적용가능성

⦁법집행조치

 

한편, AMA는 API를 기축으로 하는 의료 프로세스의 DX(디지털 트랜스포메이션) 및 이노베이션 창출 지원에 대해 적극적인 자세를 보이고 있다. 의료 DX/디지털 헬스에서의 이노베이션과 법 규제의 균형이라는 관점에서, 2020~2021년에 걸쳐 미국의 PHR을 둘러싼 개인정보 보호 규제의 동향이 주목을 받고 있다. 북미 시장에서 의료기기/디지털 헬스 사업을 전개하는 일본 기업에도 큰 영향이 미칠 것으로 보인다.

 

 

[포스트 휴먼 시대 사이보그 기술 동향 및 라이프로그 의료 빅데이터의 활용 - 범용 인공지능 등장에 따른 로봇세와 기본 소득 도입에 관한 논의] 보고서 상세 보기

http://www.irsglobal.com/shop_goods/goods_view.htm?category=02000000&goods_idx=84424&goods_bu_id=

 

 
게시글 공유 URL복사