민감한 건강 관련 정보를 해당 지역의 개인 정보 보호 및 보안 의무에 따라 저장, 처리 및 전송하는 애플리케이션을 구축합니다.
AWS에서는 보안 및 개인 정보 보호가 최우선 사항입니다
의료 서비스 산업을 위해 특별히, AWS는 클라우드에서 가장 민감한 데이터를 저장, 처리 또는 전송하고 보안 및 규정 준수 태세를 개선할 수 있는 다수의 글로벌 인증 및 인가(HIPAA, HITRUST, GDPR 및 기타)를 제공합니다.
역할 및 책임
AWS에 저장된 고객 데이터는 고객의 데이터입니다. AWS의 공동 보안 모델에 따라 고객 데이터의 소유권과 제어 권한은 항상 고객에게 있습니다. AWS는 의료 서비스 데이터를 지속적으로 보호하고 바로 사용할 수 있도록 하는 강력한 솔루션 세트를 제공합니다. AWS는 GDPR, HITRUST, ENS High, HDS, C5 등에 대한 지원을 포함하여 업계 관련 글로벌 IT 및 규정 준수 표준에 대한 130개가 넘는 HIPAA 적격 서비스와 수많은 자격증에 대한 액세스를 제공합니다. 의료 조직에서는 다른 클라우드 제공업체보다 2배 더 많은 가용 영역을 통해 AWS의 확장성, 보안 및 신뢰성을 활용할 수 있습니다.
AWS 및 데이터 개인 정보 보호
AWS에서는 데이터 프라이버시를 매우 중요하게 생각하며 고객의 신뢰를 유지하기 위해 끊임없이 노력합니다. 고객의 서비스와 콘텐츠에 대한 액세스는 언제나 고객이 관리합니다. AWS에서는 고객의 동의 없이는 어떠한 이유로도 고객 콘텐츠에 액세스하거나 이를 사용하지 않습니다. 고객이 고객의 콘텐츠가 저장되는 리전을 선택합니다. AWS에서는 고객의 동의 없이는 고객이 선택한 리전 외부로 고객 콘텐츠를 이동하거나 복제하지 않습니다.
공동 책임
AWS에서 의료 서비스 애플리케이션을 구축하는 방법을 이해한다는 것은 공동 책임 모델을 이해한다는 뜻입니다. AWS 클라우드에서 보안은 AWS와 고객의 공동 책임입니다. 다시 말해 기본 인프라의 물리적 보안과 같은 특정한 보안 요소는 현재 AWS의 책임입니다. 고객에게는 애플리케이션을 보호하는 데 사용되는 보안 조치 등 보안의 다른 측면에 대한 책임이 있습니다. 이는 기존 데이터 센터에서 실행되는 자사의 애플리케이션을 보호하는 것과 다를 바가 없습니다.
AWS 의료 서비스 규정 준수/프레임워크
- AWS 규정 준수 인증은 ‘클라우드 자체의 보안’과 AWS 제어의 운영 효과를 증명합니다. 고객은 클라우드 내부의 보안에 대한 책임이 있습니다.
- 고객은 이러한 규정 준수 인증을 그대로 상속하며 이 인증을 사용하여 감사 및 규제 기관에 규정 준수 일부를 입증할 수 있습니다.
규정 준수 인증 및 증명은 독립된 서드 파티 감사 기관에 의해 평가되고 인증, 감사 보고서 또는 규정 증명이 수행됩니다.
AWS 고객은 관련 준수법 및 규정을 준수할 책임이 있습니다. 경우에 따라 AWS는 고객의 규정 준수를 지원하기 위한 기능(예: 보안 기능), 인에이블러 및 법률 계약(예: AWS 데이터 처리 계약 및 Business Associate Addendum)을 제공합니다.
이러한 법률 및 규제 범위에 속하는 클라우드 서비스 공급자가 이용하거나 배포할 수 있는 공식적인 인증은 없습니다.
규정 준수 편성 및 프레임워크에는 특정 업계 또는 기능과 같은 특정 목적으로 게시된 보안 또는 규정 준수 요건이 포함됩니다. AWS는 이러한 유형의 프로그램에 맞는 기능(예: 보안 기능)과 인에이블러(규정 준수 지침, 매핑 문서 및 백서 포함)를 제공합니다.
규제 준수에 대해 논의할 때는 공동 책임 모델을 언급하는 것이 중요합니다. AWS는 첨단 기술을 제공하고 가능한 경우 전 세계 및 지역별 업계 표준 인증 및 증명을 거치며 산업 프레임워크를 준수하여 의료 서비스 규정을 준수하는 AWS 서비스의 구현을 촉진합니다. 공동 책임 모델이라는 방패 아래 고객은 규정을 준수하는 제어 및 기능을 상속하여 해당 지역의 의료 서비스 규정을 준수하는 데 필요한 요건을 충족할 수 있습니다.
아래의 정보는 대표적인 인증, 의료 서비스 법률 및 관련 프레임워크를 제공합니다.
주요 인증 및 증명
ISO 9001
ISO 27001, 27017, 27018
SOC 1, 2, 3
PCI DSS 레벨 1
FedRAMP
Cyber Essentials Plus
DoD SRG
의료 서비스 법률 - 규제 및 개인 정보 보호
GDPR
HIPAA
HITECH
PDPA-2012(싱가포르)
PIPEDA(캐나다)
개인 정보 보호법(오스트레일리아)
PDPA -2010(말레이시아)
주요 준수 및 프레임워크
CSA(Cloud Security Alliance)
유럽-미국 프라이버시 실드
NIST
BioPhorum IT Controls
미국
AWS 및 FedRAMP
FedRAMP(연방정부 위험 및 인증 관리 프로그램)는 클라우드 제품 및 서비스의 보안 평가, 인증 및 지속적인 모니터링에 대한 표준 접근 방식을 제공하는 미국 정부 차원의 프로그램입니다. FedRAMP는 미국 보건복지부를 비롯하여 모든 미국 연방 정부와 모든 클라우드 서비스에서 의무적으로 사용해야 합니다.
두 개의 별도 FedRAMP 기관 인증을 획득했습니다. 하나는 AWS GovCloud(미국) 리전에 적용되고, 다른 하나는 AWS 미국 동부/서부 리전에 적용됩니다.
AWS 및 HITRUST 규정 준수
HITRUST CSF(클라우드 보안 프레임워크)는 미국 연방법(HIPAA, HITECH 등), 주법(매사추세츠의 주 거주자의 개인 정보 보호에 대한 표준), 공인된 비정부 규정 준수 표준(PCI DSS)의 다양한 측면을 기반으로 하는 보안 통제 항목을 의료 서비스 요구 사항에 맞게 조정된 단일 프레임워크로 통합하는 역할을 합니다.
특정 AWS 서비스는 승인된 HITRUST CSF 평가 기관을 통해 HITRUST CSF 보증 프로그램에 따라 HITRUST CSF v9.3 인증 기준을 충족하는 것으로 평가되었습니다.
고객은 HIPAA 계정으로 지정된 계정에서 모든 AWS 서비스를 사용할 수 있습니다. 하지만 HIPAA 적격 서비스로만 개인 건강 정보(PHI)를 처리, 저장 및 전송해야 합니다.
AWS, HIPAA 및 HITECH 규정 준수
미국 의료 정보 보호법(HIPAA)은 1996년에 제정되었으며, 미국 근로자가 직장을 옮기거나 잃었을 때 의료 보험을 좀 더 쉽게 유지할 수 있도록 고안되었습니다. 또한 전자 의료 레코드를 장려하여 개선된 정보 공유를 통해 미국 의료 서비스 시스템의 효율성과 품질을 높이고자 제정되었습니다.
2009년에는 경제적 및 임상적 건전성을 위한 의료정보기술에 관한 법(HITECH)에서 HIPAA 규칙을 확대했습니다. HIPAA 및 HITECH는 PHI의 보안 및 개인 정보 보호를 목적으로 함께 연방 표준을 수립했습니다. 이러한 조항은 "Administrative Simplification" 규칙으로 알려진 규칙에 포함되어 있습니다. HIPAA 및 HITECH는 PHI의 사용 및 공개, PHI를 보호하기 위한 적절한 보호 조치, 개인의 권리, 관리 책임과 관련된 요구 사항을 부과합니다.
캐나다
개인 정보 보호 및 전자 문서 보호법(PIPEDA)
개인 정보 보호 및 전자 문서 보호법(PIPEDA)은 모든 캐나다 주에서 펼쳐지는 상업 활동 과정에서 개인 정보의 수집, 사용 및 공개에 적용되는 캐나다 연방법입니다.
건강 정보법(HIA)은 관리 하에 있거나 관리인의 통제를 받는 건강 정보의 수집, 사용, 공개 및 보호에 적용되는 앨버타의 개인 정보 보호법입니다.
AWS 캐나다(중부) 리전에서는 현재 Amazon Elastic Compute Cloud(Amazon EC2), Amazon Simple Storage Service(Amazon S3) 및 Amazon Relational Database Service(Amazon RDS)를 비롯하여 다양한 서비스를 제공합니다.
개인 의료정보 보호법(온타리오)
개인 의료정보 보호법(PHIPA)은 온타리오의 개인정보 보호 법률이며 의료 서비스를 소개하고 제공하는 모든 과정에서 개인 의료정보(PHI)의 수집, 사용 및 공개하는 데 적용됩니다.
영국
건강 및 사회 복지 클라우드 보안 - 우수 사례 가이드
건강 및 사회 복지 클라우드 보안 - 우수 사례 가이드는 NHS Digital, NHS England, Department of Health and Social Care 및 NHS Improvement와 공동으로 작성되었습니다.
이 지침은 건강 및 사회 복지 조직에서 퍼블릭 클라우드에 기밀 환자 정보를 비롯한 건강 및 사회 복지 데이터를 안전하게 배치하는 데 필요한 보호 장치(오프쇼링 데이터를 활용하는 솔루션 포함)를 설명합니다.
AWS는 AWS에 배포되는 워크로드를 분류하여 규정 준수를 보장하고 등급에 적절한 제어를 구현하여 이를 지원합니다. ‘NHS 클라우드 보안 지침의 맥락에서 AWS 사용’ 백서에 조직이 수행할 세부적인 위험 관리 활동이 포함되어 있으며, 그 활동은 주로 필요한 보안 수준에 적합한 기술적 조치로 이루어집니다.
프랑스
Hébergeur de Données de Santé(HDS)
Hébergeur de Données de Santé(HDS) - 프랑스 정부 산하 보건 기구인 ‘Agence du Numérique en Santé(ANS)’에서 도입한 HDS(Hébergeur de Données de Santé)는 개인 의료 데이터의 보안과 보호를 강화하기 위해 마련한 인증입니다.
HDS 인증을 받으려는 IT 공급자는 ISO 27001 인증을 획득해야 합니다. 다시 말해 ISO 27001 인증이 적용되는 당사 서비스가 HDS의 범위에 포함된다는 뜻입니다. ISO/IEC 27001:2013 인증 범위에 포함되는 AWS 서비스는 ISO 인증 웹 페이지에서 확인하실 수 있습니다.
독일
DiGAV 규정 준수
DiGAV는 독일 보건 시스템의 디지털화를 지원하기 위해 2020년 4월에 도입되었습니다. DiGAV에 따라 특정 의료 서비스 애플리케이션은 독일 법정 건강 보험 제도 하에 환급 가능한 것으로 인식됩니다. 그러나 조직에서 DiGAV 규정을 준수하고 환급 자격을 얻으려면 해당 애플리케이션이 DiGAV 데이터 보호 요구 사항을 충족함을 입증해야 합니다. 예를 들어 개인 데이터는 유럽 경제 지역(EEA) 또는 유럽연합 일반 데이터 보호 규정(GDPR) 45조에 따라 유럽연합 집행위원회의 적정성 결정을 받은 국가 내에서만 처리되어야 합니다.
AWS는 의료 서비스 워크로드를 클라우드로 이전할 때 독일 디지털 공급법(DVG) 및 이와 관련된 디지털 건강 애플리케이션 조례(DiGAV)를 포함한 지역 규제 및 입법 요구 사항을 해결하는 데 도움이 되는 업계 최고 수준의 여러 도구를 제공합니다.
일본
개인 정보 보호법(APPI)
개인 정보 보호법(APPI)은 일본에서 개인 데이터를 취급할 때 적용되는 주요 법률입니다.
APPI는 개인 정보를 취급하는 모든 사업자(개인 및 법인)에 적용됩니다. 또한 APPI에서는 개인 정보와 개인 데이터를 구분하는데, APPI에서 정의하는 개인 정보는 개인 정보 데이터베이스의 일부가 됩니다. 사업자에 대한 의무 조항은 해당 사업자가 개인 정보 또는 개인 데이터를 획득, 사용 또는 제공하는지 여부에 따라 달라집니다.
AWS는 ISO 27001, ISO 27017, ISO 27018, PCI DSS 레벨 1과 SOC 1, 2 및 3을 포함하여, 전 세계적으로 인정받는 보안 보증 프레임워크 및 인증에 따라 AWS 클라우드 인프라 서비스에 적용되는 기술적 및 조직적 보안 대책을 구현하고 유지합니다. 기술적 및 조직적 보안 대책은 독립적인 서드 파티 평가자에 의해 검증되고 고객 콘텐츠의 무단 액세스 또는 공개를 방지하도록 설계됩니다.
싱가포르
2012년 개인 데이터 보호법(PDPA)
2012년 개인 데이터 보호법(PDPA)은 개인 데이터가 처리를 위해 국외로 전송되는 경우를 비롯하여 싱가포르의 개인 데이터 보호에 적용되는 법입니다. PDPA는 개인 데이터의 수집, 사용, 공개 및 보호를 관장합니다.
AWS는 ISO 27001, ISO 27017, ISO 27018, PCI DSS 레벨 1과 SOC 1, 2 및 3을 포함하여, 전 세계적으로 인정받는 보안 보증 프레임워크 및 인증에 따라 AWS 클라우드 인프라 서비스에 적용되는 기술적 및 조직적 보안 대책을 구현하고 유지합니다. 기술적 및 조직적 보안 대책은 독립적인 서드 파티 평가자에 의해 검증되고 고객 콘텐츠의 무단 액세스 또는 공개를 방지하도록 설계됩니다.
AWS는 의료 데이터 공유를 사용하여 이전에 알려지지 않은 질병을 진단하는 것부터 새로운 바이러스를 식별하여 다른 팬데믹을 방지하는 것에 이르기까지, 영향을 미치기에 충분한 속도로 움직이는 데 필요한 기술과 다른 많은 중요한 기능을 제공하는 동시에 최고 수준의 보안 및 규정 준수 요구 사항을 충족할 수 있도록 고객을 지원함으로써 전 세계의 많은 의료 서비스 조직을 지원합니다. 일례로 싱가포르에서 싱가포르 공중 의료 서비스를 구동하는 기술을 공급하는 기관인 통합 건강 정보 시스템(IHiS)은 백신 접종 IT 시스템을 안전하게 확장하기 위해 AWS로 전환했고 아주 짧은 기간 안에 일 8천 건의 백신 접종이라는 초기 로드에서 4주 안에 하루 최고 8만 건의 백신 접종이라는 획기적으로 높은 로드를
지속할 수 있었습니다.