HIPAA 규정 준수를 위한 Microsoft Entra ID 구성
Microsoft Entra ID와 같은 Microsoft 서비스는 1996년 HIPAA(미국 의료정보보호법) 준수를 위한 개인 식별 정보 관련 요구 사항을 충족하는 데 도움이 될 수 있습니다.
HSR(HIPAA 보안 규칙)은 해당 기관이 생성, 수신, 사용 또는 유지 관리하는 개개인의 전자적 개인 건강 정보를 보호하기 위한 표준을 확립합니다. HSR은 미국 보건 복지부(HHS)에 의해 관리되며 전자적 보호 대상 건강 정보의 기밀성, 무결성, 보안을 보장하기 위해 적절한 행정적, 물리적, 기술적 보호 조치를 갖출 것을 요구합니다.
기술적 보호 요구 사항 및 목표는 CFR(미국연방규정집)의 Title 45에 정의되어 있습니다. Title 45 Part 160에는 일반적인 행정적 요구 사항이 있으며, Part 164의 하위 항목 A 및 C에는 보안 및 개인 정보 요구 사항이 설명되어 있습니다.
하위 항목 § 164.304는 기술적 보호 조치를 전자적 보호 대상 건강 정보를 보호하고 이에 대한 액세스를 제어하는 기술, 정책, 절차라고 정의합니다. 또한 HHS는 HIPAA 기술적 보호 조치를 구현할 때 의료 서비스 기관이 고려해야 할 주요 영역을 간략하게 설명합니다. § 164.312 기술적 보호 조치에서:
액세스 제어 - § 164.308(a)(4)에 명시된 대로 접근 권한이 부여된 사람이나 소프트웨어 프로그램에만 접근을 허용하도록 전자적 보호 대상 건강 정보를 유지하는 전자적 정보 시스템에 대한 기술적 정책 및 절차를 구현합니다.
감사 제어 - 전자적 보호 대상 건강 정보를 포함하거나 사용하는 정보 시스템에서의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현합니다.
무결성 제어 - 전자적 보호 대상 건강 정보를 부적절한 변경이나 파기로부터 보호하기 위한 정책과 절차를 구현합니다.
개인 또는 기관 인증 - 전자적 보호 대상 건강 정보에 액세스하려는 개인 또는 기관이 본인인지 확인하는 절차를 구현합니다.
전송 보안 - 전자 통신 네트워크를 통해 전송되는 전자적 보호 대상 건강 정보에 대한 무단 접근을 방지하기 위한 기술적 보안 조치를 구현합니다.
HSR은 필수적 및 처리 가능한 구현 사양과 함께 하위 항목을 표준으로 정의합니다. 모두 구현되어야 합니다. "처리 가능"하다는 표현은 사양이 합리적이고 적절하다는 것을 나타냅니다. 처리 가능하다는 표현이 구현 사양이 선택 사항임을 의미하지는 않습니다. 따라서 처리 가능으로 정의된 하위 파트도 필수 사항입니다.
이 시리즈의 나머지 문서에서는 주요 영역과 기술적 보호 조치별로 정리된 리소스에 대한 지침과 링크를 제공합니다. 각 주요 영역에는 관련 보호 기능이 나열된 표와 보호 조치를 수행하기 위한 Microsoft Entra 지침 링크가 있습니다.
자세한 정보
45 CFR 160, 162, 164에 있는 모든 HIPAA 관리 간소화 규정의 통합 규정 텍스트
규정의 공공 복지 부분을 설명하는 CFR(미국연방규정집) Title 45
Title 45의 일반 행정적 요구 사항을 설명하는 Part 160
Title 45의 보안 및 개인 정보 보호 요구 사항을 설명하는 Part 164 하위 항목 A 및 C