HITECH의 상태 보험 이식성 및 책임 (HIPAA) &Health Insurance Portability and Accountability (HIPAA) & HITECH Acts

HIPAA 및 HITECH Act 개요HIPAA and the HITECH Act overview

HIPAA (건강 보험 이식성 및 책임 Act)는 개별적으로 식별 가능한 상태 정보의 사용, 공개 및 보호를 위한 요구 사항을 설정 하는 미국 의료 기관입니다.The Health Insurance Portability and Accountability Act (HIPAA) is a US healthcare law that establishes requirements for the use, disclosure, and safeguarding of individually identifiable health information. 이 정보는 남기려면 ' 사무실, hospitals, health insurers 및 기타 의료 기업 (환자의 ' protected health information)에 대 한 액세스 권한이 있으며, 클라우드 서비스 및 IT 공급자와 같이 사용 하지 않는 비즈니스 연결에도 적용 됩니다.It applies to covered entities — doctors' offices, hospitals, health insurers, and other healthcare companies — with access to patients' protected health information (PHI), as well as to business associates, such as cloud service and IT providers, that process PHI on their behalf. (대부분의 항목 엔터티는 클레임 또는 데이터 처리와 같은 기능을 자체적으로 수행 하지 않으며, 비즈니스 연결을 사용 하 여 작업을 수행 합니다.)(Most covered entities do not carry out functions such as claims or data processing on their own; they rely on business associates to do so.)

이 법칙은 다음과 같은 네 가지 일반적인 분야에서 사용 하지 않는 것을 규정 합니다.The law regulates the use and dissemination of PHI in four general areas:

  • 개인 정보 보호-환자 기밀을 다룹니다.Privacy, which covers patient confidentiality.
  • 보안-실제, 기술 및 관리 보호를 비롯 한 정보 보호를 처리 합니다.Security, which deals with the protection of information, including physical, technological, and administrative safeguards.
  • 식별자-리서치 목적으로 수집 된 경우 해제할 수 없는 정보의 유형입니다.Identifiers, which are the types of information that cannot be released if collected for research purposes.
  • 자격 및 보험 청구 및 지불을 포함 하 여 의료 관련 거래에서 데이터를 전자적으로 전송 하기 위한 코드입니다.Codes for electronic transmission of data in healthcare-related transactions, including eligibility and insurance claims and payments.

HIPAA의 범위는 경제 및 임상 의료 (HITECH) Act에 대 한 상태 정보 기술인 enactment 사용 하 여 확장 되었습니다. HIPAA와 HITECH Act 규칙은 다음과 같습니다.The scope of HIPAA was extended with the enactment of the Health Information Technology for Economic and Clinical Health (HITECH) Act. Together, HIPAA and HITECH Act rules include:

  • 사용자의 개인 정보 사용을 제어할 수 있는 것은 무엇 이며, 사용 하지 않도록 설정 하 고 공개를 제한 하는 것은 매우 적합 합니다.The HIPAA Privacy Rule, which focuses on the right of individuals to control the use of their personal information, and covers the confidentiality of PHI, limiting its use and disclosure.
  • HIPAA 보안 규칙-관리, 기술 및 물리적 보호책에 대 한 표준을 설정 하 여 무단으로 액세스, 사용 및 공개 되지 않도록 합니다.The HIPAA Security Rule, which sets the standards for administrative, technical, and physical safeguards to protect electronic PHI from unauthorized access, use, and disclosure. 또한 기업 연결 동의 (BAAs)와 같은 조직 요구 사항도 포함 되어 있습니다.It also includes such organizational requirements as Business Associate Agreements (BAAs).

보안 되지 않은 화이 발생 한 경우 개인 및 정부에 통지를 제공 해야 하는 HITECH 위반 알림 최종 규칙입니다.The HITECH Breach Notification Final Rule, which requires giving notice to individuals and the government when a breach of unsecured PHI occurs.

Microsoft와 HIPAA 및 HITECH ActMicrosoft and HIPAA and the HITECH Act

HIPAA 규정 엔터티 및 해당 비즈니스 관계자 (이 경우에는 Microsoft가 클라우드 서비스를 포함 하 여 포함 된 엔터티에 대 한 서비스를 제공 하는 경우)를 계약에 입력 하 여 해당 비즈니스 관계자가 더 이상 사용할 수 없는 상황을 보호할 수 있도록 해야 합니다.HIPAA regulations require that covered entities and their business associates — in this case, Microsoft when it provides services, including cloud services, to covered entities — enter into contracts to ensure that those business associates will adequately protect PHI. 이러한 계약서 또는 BAAs는 비즈니스 연결에서 화이을 처리 하는 방법을 명확 하 게 하 고 제한 하며, 각 당사자가 HIPAA 및 HITECH Act에 설정 된 보안 및 개인 정보 보호 규정을 준수 하도록 설정할 수 있습니다. 일단 BAA가 배치 되 면 Microsoft 고객은 해당 서비스를 사용 하 여 화이를 처리 하 고 저장할 수 있습니다.These contracts, or BAAs, clarify and limit how the business associate can handle PHI, and set forth each party's adherence to the security and privacy provisions set forth in HIPAA and the HITECH Act. Once a BAA is in place, Microsoft customers — covered entities — can use its services to process and store PHI.

현재 HIPAA 또는 HITECH Act 규정 준수에 대 한 공식 인증을 사용할 수 없습니다.Currently there is no official certification for HIPAA or HITECH Act compliance. 그러나, BAA에서 다루는 이러한 Microsoft 서비스는 Microsoft ISO/IEC 27001 인증을 위해 공인 독립 감사자에 의해 수행 된 감사를 거쳤습니다.However, those Microsoft services covered under the BAA have undergone audits conducted by accredited independent auditors for the Microsoft ISO/IEC 27001 certification.

Microsoft 엔터프라이즈 클라우드 서비스에는 FedRAMP 평가도 포함 됩니다.Microsoft enterprise cloud services are also covered by FedRAMP assessments. Microsoft Azure 및 Microsoft Azure 정부는 FedRAMP 공동 인증 위원회에서 운영 하는 Provisional 기관을 수신 했습니다. Microsoft Dynamics 365 U.S. 정부 기관에서 미국 부서, Microsoft Office 365 미국 정부 기관의 의료 부서와 도시 개발을 수행 하기 위한 에이전시 기관을 수신 했습니다.Microsoft Azure and Microsoft Azure Government received a Provisional Authority to Operate from the FedRAMP Joint Authorization Board; Microsoft Dynamics 365 U.S. Government received an Agency Authority to Operate from the US Department of Housing and Urban Development, as did Microsoft Office 365 U.S. Government from the US Department of Health and Human Services.

고객이 Microsoft 클라우드를 통해 HIPAA 및 HITECH 요구 사항을 지원 하는 방법을 알아보려면 Microsoft 고객 스토리를 방문 하세요.To learn how the Microsoft Cloud helps customers support HIPAA and the HITECH requirements, visit Microsoft Customer Stories.

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

  • Azure 및 Azure GovernmentAzure and Azure Government
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Microsoft Microsoft 의료 Bot 서비스Microsoft Microsoft Healthcare Bot Service
  • Microsoft StreamMicrosoft Stream
  • Microsoft 전문 서비스: Azure, Dynamics 365, Intune, 비즈니스용 Microsoft 365의 중간 규모 비즈니스 및 엔터프라이즈 고객 대상 프리미어 및 온-프레미스Microsoft Professional Services: Premier and On Premises for Azure, Dynamics 365, Intune, and for medium business and enterprise customers of Microsoft 365 for business
  • Dynamics 365 및 Dynamics 365 U.S. GovernmentDynamics 365 and Dynamics 365 U.S. Government
  • Power 자동화 (이전 Microsoft Flow) 클라우드 서비스를 독립 실행형 서비스로 또는 Office 365 또는 Dynamics 365 브랜드 요금제 또는 suite에 포함Power Automate (formerly Microsoft Flow) cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • IntuneIntune
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government DefenseOffice 365, Office 365 U.S. Government, and Office 365 U.S. Government Defense
  • 독립 실행형 서비스 혹은 Office 365 혹은 Dynamics 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 PowerApps 클라우드 서비스PowerApps cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Power BI 클라우드 서비스를 독립 실행형 서비스로 또는 Office 365 또는 Dynamics 365 브랜드 요금제 또는 suite에 포함Power BI cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Azure DevOps ServicesAzure DevOps Services

Azure에서 HIPAA/HITRUST 솔루션 배포를 가속화 합니다.Accelerate your deployment of HIPAA/HITRUST solutions on Azure

Azure 보안 및 규정 준수 청사진 (HIPAA/HITRUST Health Data and AI)을 사용 하 여 상태 데이터 솔루션에 대 한 클라우드의 이점을 활용할 수 있는 방법을 알아봅니다.Get a head start on taking advantage of the benefits of the cloud for health data solutions with the Azure Security and Compliance Blueprint — HIPAA/HITRUST Health Data and AI. 이 청사진은 지금 HIPAA/HITRUST 솔루션을 작성할 수 있는 도구와 지침을 제공 합니다.This blueprint provides tools and guidance to get you started building HIPAA/HITRUST solutions today.

Azure HIPAA/HITRUST 청사진 사용 시작Start using the Azure HIPAA/HITRUST Blueprint

자주 묻는 질문Frequently asked questions

조직이 Microsoft의 BAA에 입력 될 수 있나요?Can my organization enter into a BAA with Microsoft?

Microsoft는 범위 내 Microsoft 서비스를 다루는 자격이 있는 회사 또는 해당 공급자를 제공 합니다.Microsoft offers qualified companies or their suppliers a BAA that covers in-scope Microsoft services.

Microsoft 클라우드 서비스의 경우: Hipaa 비즈니스 연결 계약은 기본적으로 hipaa에서 엔터티 또는 비즈니스 연결을 포함 하는 모든 고객에 게 온라인 서비스 약관을 통해 사용할 수 있습니다.For Microsoft cloud services: The HIPAA Business Associate Agreement is available via the Online Services Terms by default to all customers who are covered entities or business associates under HIPAA. 이 BAA에서 다루는 클라우드 서비스의 목록은이 웹 페이지의 ' Microsoft in scope cloud services '를 참조 하세요.See 'Microsoft in-scope cloud services' on this webpage for the list of cloud services covered by this BAA.

Microsoft 전문 서비스 서비스용: Microsoft 서비스 담당자의 요청에 따라 microsoft 전문 서비스 범위 내에서 HIPAA 비즈니스 관련 수정 사항을 사용할 수 있습니다.For Microsoft Professional Services services: The HIPAA Business Associate Amendment is available for in-scope Microsoft Professional Services upon request to your Microsoft services representative.

Microsoft와의 BAA를 사용 하 여 조직에서 HIPAA 및 HITECH Act를 준수 하는지 확인 합니다.Does having a BAA with Microsoft ensure my organization's compliance with HIPAA and the HITECH Act?

아니요.No. Microsoft는 BAA를 제공 하 여 HIPAA 준수를 지원 하지만 Microsoft 서비스를 사용 하는 것은 자신에 게 적합 하지 않습니다.By offering a BAA, Microsoft helps support your HIPAA compliance, but using Microsoft services does not on its own achieve it. 조직은 적절 한 준수 프로그램 및 내부 프로세스를 마련 하 고 특정 Microsoft 서비스 사용이 HIPAA 및 HITECH Act와 부합 하는지 확인 해야 합니다.Your organization is responsible for ensuring that you have an adequate compliance program and internal processes in place, and that your particular use of Microsoft services aligns with HIPAA and the HITECH Act.

Microsoft에서 내 조직의 BAA를 수정할 수 있나요?Can Microsoft modify my organization's BAA?

Microsoft 서비스가 모든 고객에 대해 일관성이 있으므로 microsoft는 HIPAA BAA를 수정할 수 없으므로 모든 사용자에 대해 동일한 절차를 수행 해야 합니다.Microsoft cannot modify the HIPAA BAA, because Microsoft services are consistent for all customers and so must follow the same procedures for everyone. 그러나 Microsoft의 HIPAA 규제 고객 및 서비스에 대 한 BAA를 만들려면 Microsoft collaborated에는 몇 가지 주요 미국 의료 학교와 해당 HIPAA 개인 정보 자문 위원 및 기타 공개 및 개인-섹터 HIPAA가 포함 된 엔터티가 포함 되어 있습니다.However, to create the BAA for Microsoft's HIPAA-regulated customers and its services, Microsoft collaborated with some of the leading US medical schools and their HIPAA privacy counsel, as well as other public- and private-sector HIPAA-covered entities.

감사자 보고서의 복사본은 어떻게 얻을 수 있나요?How can I get copies of the auditor's reports?

Service Trust Portal은 독립적으로 감사를 거친 규정 준수 보고서를 제공합니다.The Service Trust Portal provides independently audited compliance reports. 이 포털을 사용 하 여 감사자가 Microsoft의 클라우드 서비스 결과와 사용자의 법적 및 규정 요구 사항을 비교할 수 있도록 감사 보고서를 요청할 수 있습니다.You can use the portal to request audit reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

HIPAA 및 HITECH Act 준수에 대 한 자세한 내용은 어떻게 확인할 수 있나요?How can I learn more about complying with HIPAA and the HITECH Act?

이 작업을 고객에 게 지원 하기 위해 Microsoft는 다음 가이드를 게시 했습니다.To assist customers with this task, Microsoft has published these guides:

Microsoft 준수 점수를 사용하여 위험 평가Use Microsoft Compliance Score to assess your risk

Microsoft 준수 점수는 조직의 준수 입장을 이해하고 위험을 줄이기 위한 조치를 취하도록 돕는 Microsoft 365 컴플라이언스 센터의 미리 보기 기능입니다.Microsoft Compliance Score is a preview feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. 규정 준수 점수를 설정한후에는 서식 파일 드롭다운 메뉴에서 미리 구성 된 HIPAA Office 365 서식 파일HIPAA Intune 서식 파일을 선택 하 여 조직이이 규정 요구 사항을 충족 하는 데 도움을 받을 수 있습니다.After setting up Compliance Score, select the pre-configured HIPAA Office 365 template and the HIPAA Intune template from the Template drop-down menu to help your organization meet the requirements for this regulation.

리소스Resources