2020년 12월 10일, 보건복지부 산하 시민권 보호국(OCR)은 HIPAA 개인정보 보호 규정 개정을 위한 규정 제정 예고안(NPRM)을 발표했습니다. 개인정보보호규칙 개정안은 "개인정보 보호를 통해 그러한 부담을 충분히 보상하거나 상쇄하지 못한 채" 협조적 치료에 장벽을 조성하는 조항들을 수정하고자 합니다. OCR은 2018년 12월 협조적 치료 개선을 위한 HIPAA 규칙 수정 정보 요청(RFI)에 대한 공개 의견 수렴 결과를 검토한 후 해당 개정안을 마련했습니다. 이 제안은 개인의 보호 건강 정보(PHI) 접근권을 크게 확대하고, 특정 상황에서 치료 조정 또는 약물 사용 장애 환자 지원을 위한 추가 정보 공유를 장려하며, 개인정보 처리방침(NPP) 요건을 개정하고, 통신 중계 서비스(TRS)에 대한 정보 공개를 허용할 것입니다.
아래에 개인정보 보호 규칙에 대한 주요 개정안을 요약하여 제시합니다. 다만, 이러한 개정안이 최종적으로 시행되든 그렇지 않든, 주 의료 개인정보 보호법 및 42 C.F.R. Part 2 등 기타 관련 법률을 반드시 고려해야 함을 유의하시기 바랍니다.
접근권 확대
이 제안된 규칙(NPRM)이 법으로 시행될 경우, HIPAA 하에서 개인의 접근 권한이 크게 확대될 것입니다:
- 응답 기한. 해당 기관은 접근 요청에 대해 "가능한 한 신속히" 응답해야 하며, 어떠한 경우에도 요청 접수 후 15일 이내(현행 30일에서 단축)에 응답해야 합니다.
- 요청된 형식과 포맷. 개인정보 보호규정은 현재 피보험 기관이 개인이 요청한 형식과 포맷으로 PHI를 제공할 것을 요구하며, 해당 형식과 포맷으로 "쉽게 생성 가능"한 경우에 한합니다. 제안된 수정안은 "쉽게 생성 가능"한 범주에 개인이 선택한 애플리케이션(예: "개인 건강 애플리케이션")을 사용하는 안전하고 표준 기반의 API가 포함됨을 명확히 할 것입니다. 개인은 또한 직접 방문하여 PHI를 확인하거나 기록하기 위해 메모, 동영상, 사진 촬영 또는 기타 개인 자원을 사용할 권리를 갖게 됩니다.
- 수수료. 본인의 PHI를 열람하거나 사본을 취득하는 개인은 직접 방문하거나 인터넷을 통해 PHI에 접근할 경우 무료로 해당 접근 권한을 부여받습니다. OCR은 인건비, 소모품, 우편 요금에 대한 특정 수수료는 계속 허용하며, 제3자에게 PHI 전자 사본 전송을 지시하는 개인에게 제한된 수수료를 부과하는 것도 허용할 것입니다. 해당 기관은 웹사이트(소유 시)에 일반적인 유형의 PHI 사본 요청에 대한 예상 수수료 일정을 사전에 공지해야 하며, 요청 시 사본에 대한 개별 수수료 견적과 사본 요청에 대한 실제 비용 내역서를 제공해야 합니다.
- 제3자에게 사본을 직접 전달할 권리. 현재 개인이 PHI 사본을 제3자에게 직접 전달할 수 있는 권리는 , 이 문제에 관한 기존 법원 판결을 법제화하기 위해, NPRM에 따라 전자 사본으로 제한될 것입니다. 이 요청은 "명확하고, 눈에 띄며, 구체적"인 한 더 이상 서면으로 할 필요가 없습니다. 또한 이 제안은 개인의 접근권 일환으로, 해당 기관이 전자 건강 기록에 포함된 전자 PHI를 다른 해당 기관에 전송할 것을 요구할 것입니다.
- 검증. OCR은 또한 적용 대상 기관이 개인에게 "부당한" 신원 확인 절차를 부과하는 것을 금지할 것을 제안했습니다. 부당한 절차에는 요청에 대한 공증, 원격 확인이 가능한 경우에도 개인이 직접 신원 증명을 제출하도록 요구하는 행위, 또는 접근 요청에 대해 HIPAA 승인 양식 전체 작성을 요구하는 행위 등이 포함됩니다.
의료 서비스 연계 및 사례 관리 활동 장려
이 예비규정안(NPRM)은 의료 서비스 제공자 또는 건강보험 플랜을 포함한 적용 대상 기관들이 개인 차원의 진료 조정 및 사례 관리 활동에 더욱 적극적으로 참여하도록 장려하는 데 중점을 둡니다. OCR은 현행 개인정보보호규칙이 이러한 진료 조정 및 사례 관리 활동에 조성한 장벽을 다음과 같은 방법으로 제거할 것을 제안합니다:
- 의료 운영 정의 개정.현행 개인정보 보호 규정에서 일부 적용 대상 기관들은 "의료 운영"을 "치료" 활동 하에서 허용되는 개인별 활동이 아닌 인구 기반 진료 조정 및 사례 관리만을 포함하는 것으로 해석하고 있습니다. "의료 운영"의 정의를 개정하여 개인 수준의 진료 조정 및 사례 관리 활동을 포함시킴으로써, OCR은 건강보험 플랜과 같이 치료 활동에 관여하지 않는 적용 대상 기관도 개인 수준의 진료 조정 또는 사례 관리 활동을 수행할 수 있음을 명확히 할 것입니다.
- 공개 시 최소한의 필요 기준에 대한 예외 규정 마련.현재 개인정보 보호 규칙은 개인 치료에 종사하는 적용 대상 기관이 치료 조정 및 사례 관리 목적의 공개 시 최소한의 필요한 정보를 고려할 의무를 면제하고 있습니다. 그러나 개인 치료에 종사하지 않는 적용 대상 기관은 동일한 공개에 대해 최소한의 필요 요건을 준수해야 합니다. 이 NPRM은 HIPAA에서 정의한 "치료" 또는 "의료 운영" 기능 하에서 수행하는지 여부와 관계없이, 개인 기반 치료 조정 및 사례 관리 활동에 참여하는 모든 적용 대상 기관을 동일하게 취급하고자 합니다.
- 특정 제3자에 대한 PHI 공개 허용. 제안된 개정안은 피보험 기관이 개인의 유효한 동의 없이도 개인 수준 치료 조정 및 사례 관리를 위해 건강 관련 서비스를 제공하는 지역사회 기반 기관, 가정 및 지역사회 기반 서비스(HCBS) 제공자, 사회복지 기관 및 기타 유사한 제3자에게 PHI를 공개할 수 있도록 허용합니다. 예를 들어, 제3자는 식품 또는 보호 주거 제공을 통해 건강의 사회적 결정 요인과 건강 위험 요인 해결에 종사하는 지역사회 기반 기관일 수 있습니다.
개인정보 처리방침 고지서 개정 사항
OCR의 제안은 HIPAA의 NPP 요건을 수정하여, 현재의 확인 요건이 의료 제공자에게 초래하는 행정적 부담을 줄이는 동시에 개인이 HIPAA 하에서 자신의 권리와 그 행사 방법을 더 잘 이해할 수 있도록 지속적으로 지원하는 것을 목표로 합니다. 이러한 균형을 이루기 위해 OCR은 개인과 직접적인 치료 관계가 있는 특정 적용 대상 기관이 해당 개인으로부터 NPP 수령을 확인하는 서면 동의서를 취득하고 사본을 보관해야 하는 요건을 폐지하고, 이를 개인이 적용 대상 기관의 지정 담당자와 NPP에 대해 논의할 수 있는 권리로 대체할 것을 제안했습니다. 개인의 권리 및 해당 기관의 개인정보 보호 관행에 대한 인식을 더욱 지원하기 위해, 이 규정안은 NPP 내용 요건을 수정하여 개인이 접근권을 행사하는 방법에 대한 추가 설명과 지침을 포함시키고, 새롭고 더 상세하며 지시적인 필수 헤더를 의무화합니다. NPRM에서 고려된 제안된 헤더에는 NPP가 개인의 권리에 대해 어떤 정보를 제공하고, 이를 어떻게 행사할 수 있는지, 그리고 해당 기관의 지정 연락 담당자의 이용 가능성에 대한 추가적인 명세가 포함될 것입니다.
특정 상황에서 가족 구성원 및 기타 보호자에게 정보 공개를 장려하기 위한 개정안
OCR은 또한 특정 조건이 충족되는 경우, 약물 사용 장애(SUD) 또는 중증 정신 질환(SMI)을 경험하는 개인이 관련된 상황 및 응급 상황에서 의료 제공자가 PHI를 보다 광범위하게 공개하도록 장려하기 위해 개인정보 보호 규칙에 대한 몇 가지 수정안을 제안했습니다. 이러한 제안된 수정안은 적용 대상 기관이 PHI를 특정 용도로 사용하고 공개할 수 있는 능력과 의지를 향상시킬 것입니다.
선의의 신념
제안된 개정안은 개인정보 보호 규칙 하에서 PHI의 사용 및 공개와 관련된 특정 요건을 수정할 것이며, 여기에는 개인의 치료에 관여하는 가족 및 친구에게 PHI를 공개하는 조항도 포함되어, HIPAA 위반 우려 없이 피보험 기관의 추가적인 정보 공유를 장려하기 위함이다. 구체적으로, 해당 제안은 현재 적용 대상 기관이 "전문적 판단의 행사"에 근거하여 PHI를 특정 용도로 사용 및 공개할 수 있도록 허용하는 기존 문구를, 해당 사용 또는 공개가 개인의 최선의 이익에 부합한다고 적용 대상 기관이 "선의의 신념"을 가질 경우 이를 허용하는 상대적으로 더 유연한 기준으로 대체할 것입니다. 제안된 수정안은 또한 적용 대상 기관의 선의를 추정할 것입니다.
본 제안은 현행 규정에 따른 "전문적 판단" 요건이 개인의 최선의 이익에 부합하는지 여부를 판단할 권한을 면허를 보유한 자 또는 전문적 훈련에 의존하는 자로 제한하는 것으로 해석될 수 있다는 OCR의 우려에 근거합니다.
전문적인 훈련과 경험은 의료 제공자가 개인의 최선의 이익에 대해 선의로 판단하는 데 자연스럽게 기여하지만, 선의의 판단이 반드시 해당 기관이나 직원에게 전문 교육이나 직업적 경험을 요구하는 것은 아닙니다. 오히려 "선의" 기준은 해당 기관이나 직원이 PHI를 사용하거나 공개하기로 결정할 때, 그리고 적용 가능한 허가에 포함된 기타 조건을 준수할 때 자신의 역할에 적합한 수준의 재량권을 행사할 것을 전제로 합니다. 아래는 이 제안된 변경 사항이 실제로 어떻게 적용될지에 대한 몇 가지 예시입니다.
- 해당 기관은 경험에 근거하여 선의의 판단을 내릴 수 있다. 즉, 과다 복용, 정신 건강 위기 또는 기타 건강 비상사태로 인해 의사결정 능력이 상실된 청년 환자의 최선의 이익을 위해, 환자의 치료에 관여하고 있으며 환자와의 관계상 환자의 회복 과정에 참여하거나 관여할 것으로 기대되는 부모에게 정보를 공개하는 것이 바람직하다고 판단할 수 있다.
- 응급 연락처에 대한 서면 지정이 없으나 의식불명 환자의 지정된 응급 연락처를 알고 있는 급성 치료 시설은, 환자가 해당 공개에 반대하지 않는다는 선의의 신념에 근거하여 해당 연락처에 PHI를 공개할 수 있다.
- 해당 주 또는 관할 지역의 적용 법률이 미성년자의 부모를 개인 대리인으로 인정하지 않는 경우, 의료 제공자가 부모에게 정보를 공개하는 것이 미성년자의 치료 및 관리를 개선할 수 있다고 선의로 판단할 때, 해당 기관은 약물사용장애(SUD)를 겪고 있는 미성년자의 보호를 받지 않은 미성년자의 개인건강정보(PHI)를 공개할 수 있습니다. 이 제안된 기준은 주 법률상 미성년자의 법정 대리인으로 인정되지 않는 부모 또는 보호자에게 SUD 또는 SMI를 경험하는 미성년자의 PHI를 공개하는 데 있어 장애 요소를 제거할 것입니다. 동시에, 본 제안은 HIPAA 하에서 공개를 허용할 뿐 의무화하지 않으므로 민감한 정보 공개를 금지하는 주 법률을 우선하지 않습니다. 따라서 해당 기관은 주 법률에 따라 공개를 제한함으로써 HIPAA와 더 제한적인 주 법률 모두를 준수할 수 있습니다.
심각하고 합리적으로 예측 가능한 위협
개인 또는 대중에게 가해질 수 있는 피해를 예방하고 경감시키기 위해, 제안된 개정안은 또한 개인 또는 대중의 건강이나 안전에 대한 위협을 막기 위해 PHI를 공개할 수 있도록 허용할 것입니다. 이는 현재의 엄격한 기준인 건강이나 안전에 대한 "심각하고 임박한" 위협이 필요한 대신, 피해가 "심각하고 합리적으로 예측 가능한" 경우에 해당됩니다. 제안된 개정안은 피보험 기관이 위협된 피해가 임박한지 여부를 판단할 필요 없이(일부 경우 판단이 불가능할 수 있음) PHI를 사용하거나 공개할 수 있도록 허용합니다. 대신 위협된 피해가 발생할 가능성이 합리적으로 예측 가능한지 여부를 판단하면 됩니다.
OCR은 피보험 기관들이 피해 위협의 임박성을 정확히 판단할 수 없다는 이유로 허용되지 않은 사용 또는 공개에 대한 HIPAA 제재 대상이 될까 우려하여, 피해를 방지하거나 위협을 완화하는 데 필요하다고 판단되는 PHI의 사용 및 공개를 거부하는 상황을 방지하기 위해 이 변경을 제안했습니다. 예를 들어, 이 제안에 따르면 피보험 기관은 위협된 피해가 임박했는지 여부를 판단할 필요 없이(일부 경우 판단이 불가능할 수 있음) PHI를 이용하거나 공개할 수 있습니다. 대신 위협된 피해가 발생할 가능성이 합리적으로 예측 가능한지 여부를 판단하면 됩니다.
TRS 제공업체에 대한 공개 사항 관련 설명
OCR은 청각장애인, 난청인, 청각·시각장애인 또는 언어장애인을 위한 TRS(전신수화통역서비스) 통신 보조원에게 정보 공개를 명시적으로 허용하고, TRS 제공자를 제외하도록 사업 협력자 정의를 수정할 것을 제안했습니다.
아직 발간 일정이 확정되지는 않았으나, 교육부(OCR)는 연방관보(Federal Register)에 게재된 후 60일 동안 해당 예비규정안(NPRM)에 대한 의견을 접수하고 있습니다.
