HIPAA(Health Insurance Portability and Accountability Act) & Health Information Technology for Economic and Health Health (HITECH) Act

HIPAA 및 HITECH Act 개요

HIPAA(Health Insurance Portability and Accountability Act of 1996) 및 HIPAA에 규정된 규정은 개인 식별이 가능한 건강 정보의 사용, 공개 및 보호에 대한 요구 사항을 설정하는 미국 의료법 집합입니다. HIPAA 범위는 2009년 HITECH(Health Information Technology for Economic and Health) Act의 제정으로 확장됩니다.

HIPAA는 환자 보호되는 건강 정보(PHI)를 생성, 수신, 유지, 전송 또는 액세스하는 대상 기관(특히 의료 서비스 공급자, 의료 계획 및 의료 서비스 클리어링 하우스)에 적용됩니다. HIPAA는 대상 기관 또는 대상 기관을 대신하여 서비스를 제공하는 작업의 일부로 PHI와 관련된 특정 기능이나 활동을 수행하는 대상 기관의 비즈니스 직원에게 추가로 적용됩니다.

대상 기관이 Microsoft와 같은 클라우드 서비스 공급자의 서비스를 사용하게 될 경우 클라우드 서비스 공급자는 HIPAA에 따라 비즈니스 파트너가 됩니다. 또한 비즈니스가 PHI를 생성, 수신, 유지 관리 또는 전송하기 위해 클라우드 서비스 공급자와 하도급업체를 연결하면 클라우드 서비스 공급자도 비즈니스 동료가 됩니다.

Microsoft, HIPAA 및 HITECH Act

HIPAA 규정은 적용 대상 기관(규칙에 따라 정의)이 비즈니스 동료와 계약을 체결하여 PHI가 적절하게 보호되도록 해야 합니다. 이 계약을 비즈니스 관련 계약이라고 합니다. 무엇보다도 비즈니스 동료 계약은 비즈니스 동료가 수행한 활동 또는 서비스 간의 관계에 따라 비즈니스 동료가 PHI의 허용되고 필요한 사용 및 공개를 수립합니다. Microsoft 엔터프라이즈 제품 및 서비스를 사용할 때 HIPAA를 준수하는 고객을 지원하기 위해 Microsoft는 대상 기관 및 비즈니스 파트너 고객과 비즈니스 관련 계약을 체결합니다.

HIPAA 또는 비즈니스 동료가 HITECH 법률을 준수하는지 입증하기 위해 보건복지부에서 승인한 인증 표준은 현재 없습니다. 그러나 Microsoft는 고객이 HIPAA 및 HITECH 법률을 준수할 수 있도록 지원하며 비즈니스 파트너의 역량을 위해 HIPAA의 보안 규칙 요구 사항을 준수합니다. 또한 Microsoft는 HIPAA 의무 준수를 지원하기 위해 대상 기관 및 비즈니스 파트너와 비즈니스 관련 계약을 체결합니다.

타사 인증

Microsoft 서비스 MICROSOFT ISO/IEC 27001 인증 및 HITRUST CSF 인증에 대한 공인 독립 감사자에 의해 수행된 감사를 BAA에서 다루고 있습니다.

Microsoft 엔터프라이즈 클라우드 서비스에는 FedRAMP 평가도 있습니다. Microsoft Azure Microsoft Azure 정부는 FedRAMP 합동 인증 위원회에서 운영할 임시 기관을 수신합니다. Microsoft Dynamics 365 미국 정부는 미국 보건부로부터 미국 Microsoft Office 365 개발부로부터 운영 기관을 받은 기관을 받았습니다.

Microsoft 클라우드에서 고객이 HIPAA 및 HITECH 요구 사항을 지원하는 방법을 알아보고 Microsoft 고객 사례를 방문하세요.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

  • Azure 및 Azure Government
  • Azure DevOps 서비스
  • Dynamics 365 및 Dynamics 365 U.S. Government
  • Intune
  • Microsoft Cloud App Security
  • Microsoft Healthcare Bot Service
  • Microsoft Managed Desktop
  • Microsoft 전문 서비스: Azure, Dynamics 365, Intune, 비즈니스용 Microsoft 365의 중간 규모 비즈니스 및 엔터프라이즈 고객 대상 프리미어 및 온-프레미스
  • Office 365 Office 365 미국 정부
  • 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power Automate(이전 Microsoft Flow) 클라우드 서비스
  • 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 PowerApps 클라우드 서비스
  • Power BI 독립 실행형 서비스로 또는 Office 365 또는 Dynamics 365 브랜드 플랜 또는 제품군에 포함된 클라우드 서비스

Azure, Dynamics 365 및 HIPAA

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure HIPAA 서비스를 참조하세요.

Office 365 HIPAA

Office 365 클라우드 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음 Office 365 클라우드 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
상업용 Access Online, Azure Active Directory, Azure Communications Service, 준수 관리자, 고객 Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox(Torus), Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 고객 포털, Office 365 마이크로 서비스(Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online 문서 서비스, 쿼리 주석 서비스, 학교 데이터 동기화, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, 비즈니스용 OneDrive, Planner, PowerApps, Power BI, Project Online, 고객 키를 사용하는 서비스 암호화, SharePoint Online, 비즈니스용 Skype Stream
GCC Azure Active Directory, Azure Communications Service, 준수 관리자, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 보안 및 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, Stream

질문과 대답

조직에서 Microsoft와 함께 BAA를 입력할 수 있나요?

예. Microsoft는 대상 기관 및 비즈니스 파트너 고객에게 범위 내 계약을 다루는 비즈니스 관련 계약을 Microsoft 서비스.

Microsoft HIPAA 비즈니스 파트너 계약은 HIPAA에 Microsoft Online Services 기관 또는 비즈니스 관련자인 모든 고객에게 기본적으로 Microsoft Online Services 데이터 보호 부록을 통해 사용할 수 있습니다. 이 BAA가 다루는 클라우드 서비스 목록은 이 웹 페이지의 'Microsoft 범위 내 클라우드 서비스'를 참조하세요.

HIPAA 비즈니스 파트너 계약은 범위 내 Microsoft Professional 사용할 수 있습니다. 자세한 내용은 Microsoft 서비스 담당자에게 문의하십시오.

Microsoft와 비즈니스 관련 계약을 체결하면 조직이 HIPAA 및 HITECH 법률을 준수하는지 확인합니까?

아니요. Microsoft는 비즈니스 관련 계약을 제공하면 HIPAA 규정 준수를 지원할 수 있습니다. 그러나 이 Microsoft 서비스 자체적으로 HIPAA 규정 준수를 달성하지는 못합니다. 조직은 적절한 규정 준수 프로그램 및 내부 프로세스가 준비되어 있으며, 조직의 특정 사용이 HIPAA 및 HITECH Microsoft 서비스 의무에 부합하는지 보장할 책임이 있습니다.

Microsoft에서 조직의 비즈니스 관련 계약을 사용할 수 있나요?

아니요. Microsoft는 고객의 비즈니스 파트너 계약을 사용할 수 없습니다. 모든 고객을 위해 표준화된 하이퍼스케일 다중 테넌트 서비스를 제공하기 때문에 일관된 방식으로 운영해야 합니다. Microsoft HIPAA 비즈니스 협력 계약은 Microsoft의 운영 방법을 긴밀하게 반영합니다. 따라서 의료 산업의 요구를 해결하기 위해 Microsoft는 의료 산업의 요구 사항을 해결하기 위해 의료 기관 내의 교육 의료 센터 및 기타 공공 및 공공 부문 기관 컨소시엄과 협력하여 규모 서비스 제공에 부합하고 고객의 요구를 충족하는 비즈니스 협력 계약을 만들 수 있습니다.

제3자 감사 보고서의 복사본을 얻을 수 있는 방법

서비스 보안 포털은 독립적으로 감사를 거친 규정 준수 보고서를 제공합니다. 감사자는 포털을 사용하여 감사 보고서를 요청할 수 있으므로 감사자는 Microsoft의 클라우드 서비스 결과를 자체 법적 및 규정 요구 사항과 비교할 수 있습니다. Azure 고객은 Azure 보안 센터의 감사 보고서 블레이드를 통해 Azure Portal에서 Azure 인증서 및 감사 보고서를 검색할 수도 있습니다.

Microsoft에서 HIPAA 및 HITECH Act 준수를 지원하는 방법에 대해 자세히 알아보는 방법

고객이 이 작업을 지원할 수 있도록 Microsoft는 다음 가이드를 게시했습니다.

  • 개인 정보, 보안 및 규정 준수 책임자 및 HIPAA 및 HITECH Act 구현을 담당하는 기타 Azure에 대한 HIPAA/HITECH Act 구현 지침은 조직이 규정 준수를 유지하기 위해 취할 수 있는 구체적인 단계를 설명합니다.
  • 보안 솔루션을 사용하여 보안 상태 솔루션을 디자인하는 Microsoft Azure 지침은 클라우드 서비스를 안전한 방식으로 채택하는 데 필요한 것을 더 잘 이해하는 데 도움이 됩니다.

Microsoft 준수 관리자를 사용하여 위험 평가

Microsoft 준수 관리자는 조직의 준수 입장을 이해하고 위험을 줄이기 위한 조치를 취하도록 돕는 Microsoft 365 규정 준수 센터의 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.

리소스