생식 건강 관리 정보 보호를 목적으로 한 HIPAA 개인정보 보호 규정 개정안 (이하 '개정안') 이 시행일이 다가옴에 따라 법적 도전을 받고 있다.
이전 게시물에서 자세히 논의한 바와 같이, 규제 대상 기관은 2024년 12월 23일까지 개정안을 준수해야 합니다(개인정보 처리방침 고지서 변경 사항의 경우 2026년 2월 16일로 준수 기한이 연장됨). 최근 제기된 법적 도전과 새 대통령 행정부의 출범으로 인해 이 개정안의 집행 전망은 불투명합니다. 그러나 본 블로그 게시 시점 기준으로 규제 대상 기관들은 2024년 12월 23일까지 준수할 준비를 해야 합니다.
개정안에 대한 최근 도전 사례들
텍사스 북부 지방법원에 보건복지부(HHS)를 상대로 개정안 무효화를 요구하는 두 건의 소송이 제기되었다. 이 소송들은 개정안이 연방 기관의 규칙 및 규정 제정 및 시행 절차를 규율하는 행정절차법(APA)을 위반한다고 주장합니다. 원고 측은 APA에 따라 법원이 기관의 법정 권한을 초과한 행위, 또는 자의적·변덕스러운 행위, 재량권 남용 행위, 법에 부합하지 않는 행위로 판단되는 기관의 조치를 무효화해야 한다고 주장합니다.
첫 번째 소송인 텍사스 주 대 HHS 사건[1] 은 2024년 9월 텍사스 주 법무장관이 제기했다. 텍사스 주 법무장관은 HIPAA가 질병 또는 부상, 아동 학대, 출생 또는 사망 신고, 공중보건 감시, 공중보건 조사 또는 개입과 관련된 주 정부의 수사 권한을 보장한다고 주장하며, 따라서 HHS가 규제 대상 기관이 주 수사관에게 생식 건강 관리 정보를 공개하는 것을 금지함으로써 법정 권한을 초과했다고 밝혔다. 법무장관은 개정안이 낙태 및 성정체성 확인 치료를 포함한 생식 건강 관리에 관한 주 자체 법률의 집행 능력을 방해하므로 HHS가 법정 권한을 초과했다고 주장한다. 텍사스 법무장관은 또한 2000년 HIPAA 개인정보 보호 규칙 조항의 무효화를 요구하며, 의회가 규제 대상 기관이 보호 건강 정보를 법 집행 기관에 공개할 수 있는 상황을 HHS가 제한하도록 허용할 의도가 결코 없었다고 주장한다.
두 번째 소송인 Purl 대 HHS 사건[2] 은 텍사스 주 법무장관과 유사한 주장을 제기하는 텍사스 주 의사가 제기했습니다. 그러나 해당 의사는 개정안이 낙태나 성전환 수술을 포함한 생식 건강 관리와 관련된 모든 사항에 대해 의사가 학대나 방임을 신고하거나 법 집행 기관의 요청에 참여 및 협조하는 것을 금지한다고 주장합니다. 또한 해당 의사는 보건복지부가 도브스 대 잭슨 여성 건강 기구 사건[3]에 대한 대법원 판결에 대한 대응 이외의 이유로 이러한 새로운 금지 조항과 요건을 시행하는 이유를 충분히 설명하지 못했기 때문에 개정안이 자의적이고 변덕스러운 것이라고 주장한다.
HHS가 퍼얼 사건에 제출한 답변서 및 이의제기에서 HHS는 개정안이 주법상 의사의 학대 또는 방임 의심 사례 보고 의무를 방해하지 않는다고 주장한다. 구체적으로 HHS는 개정안이 "공중보건"의 정의를 유지한다는 점에 주목했는데, 이는 질병 예방 및 인구 건강 증진을 위한 수단으로서 감시, 조사, 개입을 포함하는 개념으로, 의료 서비스를 받는 개인에 대한 조사 수행이나 책임 부과와는 대조된다. HHS는 개정안이 이 정의를 유지했기 때문에 의사의 학대 또는 방임 신고 능력을 제한하지 않는다고 주장합니다. 오히려 개정안은 의사가 생식 건강 의료를 구하거나, 획득하거나, 제공하거나, 촉진하는 행위와 관련된 활동에 대해 신고하는 능력만을 금지하며, 따라서 의심되는 학대는 공개 금지 대상에서 제외된다고 설명합니다.
행정부 교체
트럼프 행정부 하의 보건복지부(HHS)가 이러한 소송을 계속 방어하고/또는 개정안을 시행할지 여부도 현재로서는 불분명합니다. 그러나 2024년 12월 23일부터 법원이 개정안의 합법성에 대해 판결을 내리거나 트럼프 행정부가 취임 후 구체적인 지침을 제시할 때까지, 규제 대상 기관들은 생식 건강 관리 정보를 사용하거나 공개할 때 개정안을 준수해야 합니다.
보건복지부, 최근 합의에서 생식 건강 관리 정보 프라이버시 지원 강화
2024년 11월, 보건복지부(HHS) 는 한 병원이 환자의 전체 의료 기록을 해당 환자의 잠재적 고용주에게 무단으로 공개한 사건에 대해 합의했습니다. 해당 환자는 단 하나의 검사 결과만 공개하도록 허가하는 동의서에 서명한 상태였습니다. 공개된 정보에는 생식 건강 관리 정보가 포함되어 있었으며, 보건복지부는 개정안의 의무 준수 기한 이전에 발생한 이 공개 사건에도 불구하고 합의 관련 공식 발표에서 해당 정보를 중점적으로 언급했습니다.
연계된 보도 자료에서 보건복지부(HHS)는 "환자들은 환자-의사 관계에 대한 신뢰를 유지하고 필요한 치료를 받을 수 있도록 자신들의 기록에 담긴 민감한 건강 정보가 보호된다는 점을 믿을 수 있어야 합니다. 이는 특히 생식 건강 정보의 사생활 보호에 해당됩니다"라고 밝혔습니다. 보건복지부가 발표한 합의 관련 헤드라인에도 "생식 건강 정보"라는 표현이 포함되었습니다. 이는 현 보건복지부가 해당 개정안에 대해 지지하는 입장을 보여주는 것입니다.
주요 내용
개정안의 향후 전망은 불확실하나, 2024년 12월 23일 현재 규제 대상 기관은 추가 공지 시까지 생식 건강 관리 정보를 사용하거나 공개할 때 개정안을 준수할 준비를 해야 합니다. 준수 준비를 위해 규제 대상 기관은 다음을 수행해야 합니다:
- 생식 건강 관리 정보가 개정안을 위반하여 사용되거나 공개되지 않도록 HIPAA 개인정보 보호 정책 및 절차를 업데이트하십시오.
- 생식 건강 관리 정보가 보건 감독 기관, 법 집행 기관, 검시관 또는 법의학자, 또는 사법 또는 행정 절차(소환장 및 법원 명령에 대한 응답 포함)에 공개되기 전에 증명을 획득하십시오.
- 제3자에게 건강 정보를 공개하는 업무를 담당하는 직원들을 대상으로 개정안에 따른 준수를 보장하기 위한 업데이트된 교육을 시행하십시오.
의료 데이터 개인정보 보호 규정은 지속적으로 급속히 진화하고 있으므로, 규제 대상 기관들은 새로운 동향을 면밀히 모니터링하고 규정 준수를 위한 필요한 조치를 지속적으로 취해야 합니다. 최종 규정(Final Rule) 및 최근 의료 데이터 개인정보 보호법 개정 사항에 대한 준수 관련 문의 사항이 있으시면, 본 문서의 저자 또는 폴리 로펌(Foley)의 사이버 보안 및 데이터 개인정보 보호 그룹(Cybersecurity and Data Privacy Group) 또는의료 실무 그룹(Health Care Practice Group) 소속 파트너(Partners) 또는 선임 변호사(Senior Counsel)에게 연락주시기 바랍니다.
[1] 텍사스 대 보건복지부, 사건번호 5:24-cv-00204 (텍사스 북부 지방법원, 2024년 9월 4일).
[2] Purl 대 보건복지부 사건, 사건번호 2:24-cv-00228 (텍사스 북부 지방법원, 2024년 10월 21일).
[3] Dobbs v. Jackson Women’s Health Org., 597 U.S. 215 (2022).
