국제의료정보포털

미국, 건강정보에 대한 HIPAA 적용의 필요성

구글애널리틱스(Google Analytics) 및 메타픽셀(Meta Pixel)과 같은 추적 기술을 사용하는 해당 법인 및 비즈니스 제휴사는 ‘보호된 건강정보(Protected Health Information, PHI)’가 미국 의료정보보호법(HIPAA)에 따라 처리되고 있는지 여부에 세심한 주의가 필요

• 미국 보건복지부(HHS) 산하 민권담당국(Office for Civil Rights, OCR)은 추적 도구를 사용하는 해당 법인 및 비즈니스 제휴사는 HIPAA에 따른 의무에 세심한 주의를 기울여야 한다고 지적
• 추적 기술 공급업체가 적용 대상을 대신하여 PHI를 생성, 유지 또는 수신하는 경우 추적 기술 공급업체와 비즈니스제휴계약(Business Associate Agreement, BAA)을 체결했는지 확인이 필요
• OCR은 적용 대상이 ‘추적 기술 공급업체에 대한 PHI의 모든 공개가 개인 정보 보호 규칙에 의해 특별히 허용되고 예외가 적용되지 않는 한 의도된 목적을 달성하는 데 필요한 최소한의 PHI만 공개되도록’ 보장할 것을 권장