HIPAA만으로도 모자라니…
연방거래위원회(FTC)는 두 차례의 데이터 보안 침해 사고로 환자 보호 건강 정보가 신원 도용범의 손에 넘어간 소규모 의료 실험실에 대한 행정 조치를 추진 중이다. 이 사건의 사실관계는 특별할 것이 없다: 소규모 시설이 데이터 유출 사고를 겪었고, 이제 행정적 결과를 마주하게 된 것이다. 오히려 이 사건의 독특한 점은 해당 시설이 직면한 행정적 결과의 성격에 있다. 보건복지부(HHS) 민권국(Office for Civil Rights)의 HIPAA(건강보험이동성 및 책임법) 조사 대상이 되는 대신, 해당 시설은 오히려 연방거래위원회로부터 "상업에 영향을 미치거나 상업 내에서 이루어지는 불공정하거나 기만적인 행위 또는 관행"을 금지하는 100년 된 소비자 보호 및 독점금지법 위반 혐의로 고발당하게 되었다.
FTC의 조치는 PHI를 취급하는 기업들이 HIPAA뿐만 아니라 더 많은 법률의 적용을 받는다는 점을 경고하는 사례로 작용한다.
사건의 사실관계
LabMD는 애틀랜타에 본사를 둔 독립 의료 검사 기관으로, (최근까지 운영을 축소하기 전까지) 암 검진 서비스에 주력해 왔습니다. 해당 사건에 제출된 서류에 따르면, LabMD는 2008년 어느 시점에 자사의 보험 연체 기록 파일(수천 명의 환자에 대한 상세한 개인정보가 포함된)이 무단 제3자에 의해 접근당했다는 통보를 받았습니다. 후속 조사 결과, LabMD는 해당 제3자가 연방 정부 지원 의료 정보 보안 연구를 지원하던 사이버 보안 업체임을 확인했습니다. 또한 이 업체가 직원 컴퓨터에 설치된 P2P 파일 공유 애플리케이션을 통해 보험 연체 기록 파일에 접근한 사실을 알게 되었으며, 이를 인지하자마자 LabMD는 즉시 해당 파일 공유 소프트웨어를 제거했습니다.
4년 후, 미국 반대편에서 새크라멘토 경찰국은 신원 도용범 일당을 체포했으며, 이들의 소지품에서 수백 명의 환자 이름과 사회보장번호가 기재된 다양한 LabMD '일일 기록표' 사본을 발견했다. 이 신원 도용범들이 어떻게 해당 문서를 입수했는지는 현재까지도 불분명하다.
소송 진행 상황
LabMD가 환자 정보를 보호하지 못한 점을 근거로, 연방거래위원회(FTC)는 FTC법 제5조 위반에 대한 행정적 소송을 제기했다. 해당 조항은 "상업 활동 내 또는 상업 활동에 영향을 미치는 불공정하거나 기만적인 행위 또는 관행"을 금지하고 있다. 본 기자가 다른 글에서 언급한 바와 같이, FTC는 변화하는 법적 이론 아래 명확한 규제 권한 없이도 데이터 유출 사고를 겪은 기업들을 대상으로 제5조의 광범위한 권한을 점점 더 많이 행사해 왔다.
캘리포니아 신원 도용범들이 어떻게 LabMD의 일일 기록 사본을 입수하게 되었는지는 불분명하므로, FTC의 주장은 명백히 LabMD가 PHI가 포함된 컴퓨터에 한 직원이 P2P 파일 공유 애플리케이션을 다운로드하도록 허용한 것이 "부당"했다는 것이다.
LabMD는 두 가지 전선에서 FTC와 맞서 싸웠다. LabMD는 FTC의 행정 조치가 FTC의 규제 권한 범위를 벗어난다는 이유로 연방 지방법원에 소송을 제기하여 이를 금지해 달라고 요청했다. 또한 행정적으로 LabMD는 FTC 규정에 따라 즉결 결정을 신청했는데, 이는 법원에서 즉결 판결을 신청하는 절차와 매우 유사하다.
적어도 당분간은 양측의 노력 모두 실패한 것으로 보인다. 2014년 5월 12일, 지방법원은 연방거래위원회(FTC)가 최종 기관 조치를 발표하기 전까지는 FTC의 조치를 사법적으로 심사할 수 없다고 판결했다. 일주일 후, 제11순회항소법원은 한 문장짜리 명령으로 이 판결을 뒤집기 위한 긴급 권한 행사를 거부했다. 한편 같은 날, FTC는 LabMD가 본안 심리로 사건 종결을 요청한 것을 만장일치로 기각했다. 이 결정으로 사건은 행정법 판사에게 회부되어 재판을 진행하게 된다.
연방거래위원회(FTC)의 결정은 위원회가 HIPAA를 위반하는 데이터 유출 사건만 제소할 수 있다는 주장을 기각했다는 점에서 주목할 만하다. 오히려 위원회는 제5조 권한이 HIPAA 요건과 완전히 별개라고 판단했다. 위원회에 따르면, LabMD의 책임 여부는 순수한 제5조 문제에 달려 있다: 즉, "해당 기업의 데이터 보안 관행이 합리적이었는지, 그리고 그러한 관행이 소비자에게 피할 수 없고 상쇄되는 이익으로 정당화될 수 없는 중대한 피해를 초래했거나 초래할 가능성이 있었는지" 여부이다.
테이크아웃
연방거래위원회(FTC)의 결정은 놀랍지 않지만, FTC를 주시해온 이들에게는 이 결정문이 제5조 '불공정성' 권한의 광범위한 사용을 공개적으로 비판해온 라이트 위원이 작성했다는 점이 의외일 것이다. 무엇보다도 이 결정은 의료정보보호국(OCR)만이 유일한 규제기관이 아니며, HIPAA만이 유일한 데이터 보안 법률이 아니라는 점을 피보험 기관과 업무 협력업체가 명심해야 한다는 불편한 사실을 다시금 상기시킨다.
FTC 조치의 가장 무서운 함의는 HIPAA 위반에 대한 공소시효가 논쟁의 여지가 있지만 더 길어졌다는 점일 수 있다. 45 C.F.R. § 160.522에 따르면 HIPAA 집행 조치에는 6년의 소멸시효가 적용됩니다. 그러나 FTC법 제5조에는 명시적인 제한 조항이 없으며 (아직 확정된 바는 아니지만) 적어도 일부 논평가들은 FTC가 제5조 사건에 대해 소멸시효를 전혀 적용하지 않는지 공개적으로 의문을 제기해 왔습니다.
그러나 FTC의 경찰 권한은 제한적이라는 점을 염두에 둘 필요가 있다. 지난달 FTC의 데이터 보안 집행 조치를 지지한 한 법원의 판결문에서 언급했듯이, "이 결정은 해킹 피해를 입은 모든 기업을 상대로 소송을 제기할 수 있는 백지 수표를 FTC에 부여하는 것이 아니다." 여러 제한 사항 중에서도, FTC는 불합리하게 느슨하다고 판단되는 데이터 처리 관행만을 대상으로 삼을 것으로 보인다. 따라서 적어도 현재로서는 HIPAA 보안 규정에 명시된 물리적·기술적·관리적 보호 조치를 준수하는 것만으로도 FTC가 문을 두드리는 것을 막기에 충분할 것입니다.