건강 보험 이동성 및 책임에 관한 법률(HIPAA 웹사이트)은 전자 의료 데이터를 취급하는 모든 사람이 채택해야 하는 다양한 지침(1996년에 승인됨)을 명시하고 있습니다.
이 지침은 모든 의료 및 병원 서비스가 환자 정보를 안전하게 유지하기 위해 전자 의료 데이터를 저장, 액세스 및 공유할 때 필요한 조치를 취해야 한다고 규정합니다. 안전 표준에 대한 HIPAA 규정을 준수하지 않으면 막대한 벌금이 부과되고 의료 면허가 상실될 수도 있습니다.
HIPAA를 준수해야 하는 사람은 누구입니까?
HIPAA를 준수해야 하는 사람들 중에는 의료 서비스를 제공하거나 비용을 지불하는 법인이 있습니다. 여기에는 임상 센터, 건강 플랜 및 기타 유형의 의료 제공자(예방, 진단, 치료, 재활, 유지 또는 완화 치료, 상담, 서비스, 평가 또는 절차를 포함하여 개인의 건강과 관련된 치료, 서비스 또는 용품)가 포함될 수 있습니다. 신체의 구조나 기능에 영향을 미치는 개인의 신체적 건강, 정신 상태 또는 기능적 상태와 관련됨).
위에 나열된 일부 기능을 수행하는 하이브리드 엔터티도 HIPAA를 준수해야 합니다. 병원이 있는 대학이 그 예입니다. 대학 병원은 개인 건강 정보를 전자적으로 전송하며 이 정보는 HIPAA의 적용을 받습니다.
다른 한편으로, 이 같은 대학에 병원에 통합되지 않은 연구 실험실이 있다고 상상해 보십시오. 이 경우 이 실습은 HIPAA를 준수할 필요가 없습니다. 건강정보를 다루면서도 병원과 같은 정보를 접할 수 없기 때문이다.
HIPAA 규정에 대한 간략한 요약
HIPAA의 슬로건은 "귀하의 건강 정보, 권리"입니다. , 시민이 이 법의 중심에 있다는 것은 놀라운 일이 아닙니다. 다음은 가장 중요한 규정입니다.
정보 액세스: 누구나 자신의 건강 정보에 액세스할 수 있습니다. 수정을 제안하고 실제 또는 전자 사본을 얻을 수 있습니다.
정보 공유: 시민은 어떤 이유로든 의사 또는 의료 전문가와 정보를 공유해야 할 수 있으며 HIPAA를 통해 모든 정보가 온라인에 있고 공유할 대상을 선택할 수 있으므로 이것이 가능합니다.
정보 보호: HIPAA를 준수해야 하는 모든 엔터티는 HIPAA의 개인 정보 보호 규칙 또는 HIPAA의 보안 규칙과 같은 특정 HIPAA 규칙을 따라야 합니다. 이는 환자의 정보를 승인 없이 공개할 수 없는 정보 공유에 관한 것입니다(특정 경우 제외).
HIPAA 및 WordPress 웹사이트
WordPress로 만든 의료 웹사이트가 있다면 HIPAA를 준수해야 하는지(그리고 준수할 수 있는지) 궁금할 것입니다. 실제로는 웹사이트 관련 규정 준수에 중점을 두지 않으므로 웹사이트에 대한 HIPAA 요구 사항이 다소 모호합니다.
이와 관련하여 터치해야 할 또 다른 중요한 개념인 ePHI가 있습니다. "Electronic Protected Health Information"의 약자로 환자를 식별하는 데 사용할 수 있는 디지털 형식의 모든 정보를 나타냅니다. HIPAA는 물리적이든 아니든 모든 종류의 전송 PHI에 대해 동일한 기밀 유지 요구 사항을 적용하므로 HIPAA 규정 준수의 필수 부분입니다.
이를 염두에 두고 ePHI의 기밀성, 무결성 및 가용성에 대한 HIPAA의 요구 사항에 대응하는 보호 장치를 적용하는 것이 필수가 되었습니다. 모든 관련 웹사이트는 관리, 물리적, 기술 및 보안 조치를 취하여 보호되는 건강 정보의 기밀성을 항상 보장해야 합니다.
효과적인 HIPAA 규정 준수 프로그램의 필수 부분은 BAA(Business Associate Agreement)라는 점을 언급할 가치가 있습니다. 조직이 보호된 건강 정보(PHI)를 처리, 사용, 배포 또는 액세스하는 경우 HIPAA 규정에 따라 BAA 자격이 있습니다.
사이트를 만드는 방법 HIPAA 규정 준수?
WordPress 사이트가 HIPAA를 준수하도록 만드는 직접적인 방법은 없지만 수행할 수 있고 수행해야 하는 몇 가지 단계가 있습니다.
잠재적 위험 분석부터 시작
웹사이트의 활동과 목적에 따라 리스크가 상당히 달라질 수 있으므로 모든 경우에 맞는 보편적인 리스크 분석을 하는 것은 불가능합니다. 웹사이트 소유자는 일반적인 사이버 공격을 인지하고 ePHI가 처리될 모든 상황을 식별해야 합니다.
적절한 호스팅 서비스 찾기
웹 사이트의 호스팅을 직접 관리하지 않는 한 올바른 호스팅 서비스를 선택하는 것이 중요합니다. 호스팅 서비스가 취약하고 공격에 취약하다면 HIPAA를 준수하는 WordPress 웹사이트를 만드는 것은 전혀 가치가 없습니다.
그런 다음 아무도 트래픽을 스니핑할 수 없도록 암호화된 VPN 연결과 강력한 방화벽을 제공해야 하는 HIPAA 호환 호스팅 서비스를 선택하는 것이 중요해집니다. 그리고 다른 중요하고 유용한 보안 기능 중에서 데이터가 손실되지 않도록 오프사이트 백업을 제공합니다. 더 나은 호스팅 제공업체로 전환하려는 경우 선택할 수 있는 최고의 WordPress 호스팅에 대한 유용한 게시물입니다.
플러그인의 힘 활용
WordPress 플랫폼의 가장 강력한 기능 중 하나는 플러그인을 사용하여 얼마나 향상시킬 수 있는지입니다. 올바른 플러그인을 사용하면 HIPAA 규정 준수도 쉽게 달성할 수 있습니다.
이에 대한 좋은 예는 웹 사이트에 HIPAA 호환 웹 양식을 포함할 수 있는 WordPress 플러그인인 HIPAA FORMS입니다. Caldera Forms 또는 Gravity Forms와 같은 일반 양식 플러그인을 사용하고 여기에 보안 계층을 추가합니다. 여기에는 사용자가 마우스를 드래그하거나 터치 스크린에서 손가락으로 서명할 수 있는 서명 필드가 포함됩니다.
제출 시 데이터를 암호화하고 HIPAA FORMS 서비스 API로 푸시합니다. 그런 다음 HIPAA 호환 스토리지 솔루션 내에 데이터를 저장합니다. 이 플러그인에는 유료 라이선스가 필요합니다.
WordPress 플러그인 옵션은 무한합니다. 선택할 수 있는 WordPress 보안 플러그인이 많이 있습니다.
플러그인 사용에 주의
플러그인은 WordPress의 놀라운 기능이지만 보안 측면에서 가장 취약한 부분이기도 합니다. Wordfence의 데이터에 따르면 플러그인 관련 취약점은 알려진 공격 진입점의 절반 이상을 차지했습니다.
이를 방지하려면 항상 공식 소스에서 플러그인을 받으십시오. 또한 항상 최신 상태로 유지하십시오. 물론 보안 문제가 발생하기 쉽기 때문에 기본 WordPress 플랫폼도 마찬가지입니다.
WordPress 외부에 ePHI 저장
대부분의 웹사이트는 WordPress를 기반으로 구축되어 WordPress 사이트가 사이버 범죄자의 표적이 됩니다. WordPress는 실제로 가장 안전한 플랫폼이 아니므로 ePHI 데이터를 거기에 저장하지 마십시오.
여기에서 가능한 최상의 솔루션을 얻을 수 있도록 호스팅 제공업체와 이 문제에 대해 논의하세요. 올바른 호스팅 제공업체를 통해 외부 호스팅 위치를 확보하고 모든 데이터가 암호화된 방식으로 안전하게 저장 및 검색되도록 할 수 있습니다.
모든 일반적인 보안 팁 사용
보안은 웹에서 공통적인 주제입니다. 사용자가 따를 수 있는 WordPress 보안 팁은 많지만 따르는 사람은 거의 없습니다.
HIPAA 준수 웹사이트가 따라야 하는 일반적인 보안 규칙은 –
- 강력한 비밀번호 사용
- 2단계 또는 다단계 인증 사용
- 무차별 대입 공격 등을 피하기 위해 관리자 계정 이름 변경
모든 새 사용자 계정 확인
또 다른 추가 보안 계층에는 사용자가 사이트에서 마음대로 새 계정을 만들 수 없도록 하는 것이 포함됩니다. 위험을 줄이기 위해 모든 새 계정 요청을 수동 또는 자동으로 확인해야 합니다.
결론
사실 WordPress는 HIPAA를 염두에 두고 개발되지 않았습니다. HIPAA WordPress 코어는 없지만 이 플랫폼에 구축된 웹 사이트를 해당 법을 준수하도록 만들 수 없다는 의미는 아닙니다. 올바른 지식과 노력으로 달성할 수 있습니다. 그러나 그렇게 할 가능성을 높이고 위험을 최소화하려면 전문가에게 문의하십시오. 개인이든 호스팅 서비스이든, 이를 준수하는 사이트에 대해 잘 알고 있어야 합니다.
이것은 Atlantic.net의 게스트 게시물입니다.