이번 에피소드에서는 폴리 법률사무소 의료법무팀 부대표 모니카 크미엘레프스키와 PYA의 최고준법감시관 겸 내슈빌 사무소 대표 셰넌 섬너가 공급망 준법이 의료 산업에 미치는 영향을 탐구하고, 준법을 준수하지 않을 경우 발생하는 위험과 처벌에 대해 논의합니다.
"Let’s Talk Compliance" 팟캐스트 시리즈에 대한 자세한 내용은여기를 클릭하십시오.
아래 인터뷰 내용은 원문 그대로가 아님을 알려드립니다. 방송에서 다룬 내용을 요약하여 제공하기 위해 최선을 다하고 있습니다. 양해 부탁드립니다. 즐거운 시청 되시길 바랍니다!
앤지 콜드웰
안녕하세요. 폴리 앤 라드너(Foley & Lardner)와 PYA가 제공하는 '헬스케어 법률 오늘(Health Care Law Today)'의 '렛츠 토크 컴플라이언스(Let’s Talk Compliance)' 팟캐스트 시리즈에 오신 것을 환영합니다. 저는 공동 진행자이자 PYA의 컨설팅 책임자인 앤지 콜드웰(Angie Caldwell)입니다.
야나 콜라릭
그리고 저는 공동 진행자이자 폴리 헬스케어 실무 그룹의 파트너인 자나 콜라릭입니다. 오늘 함께해 주셔서 기쁩니다. 방송을 시작하기 전에, iTunes 또는 선호하시는 팟캐스트 앱에서 '헬스케어 법률 오늘'을 구독해 주시길 당부드립니다. healthcarelawtoday.com 또는 pyapc.com을 방문해 주세요. 오늘 방송에서는 폴리 헬스케어 실무 그룹 부의장 모니카 크미엘레프스키와 내슈빌 사무소 최고준법감시관이자 PYA 관리 책임자인 섀넌 섬너가 공급망 준법이 헬스케어 산업에 미치는 영향과 준법 미준수 시 발생할 수 있는 위험 및 처벌에 대해 논의합니다. 이제 모니카와 섀넌에게 자기소개를 부탁드리겠습니다.
모니카 츄미엘레프스키
앤지와 자나, 다시 한번 따뜻한 소개 말씀 감사드립니다. 앞서 말씀드렸듯이, 저는 모니카 크미엘레프스키입니다. 폴리 앤 라드너 시카고 사무소의 파트너이자 헬스케어 실무 그룹 부의장을 맡고 있습니다. 섀넌, 오늘 공급망 규정 준수, 특히 의료 산업의 공급자 및 제조업체·벤더 측면에 대해 논의하게 되어 매우 기쁩니다. 대부분의 분들이 아시다시피, 의료 산업은 가장 규제가 심한 분야 중 하나입니다. 병원 및 의료 시스템의 공급망 운영에 영향을 미치는 수많은 법률, 규정 및 준수 사항이 존재하는데, 제 경험상 의료 기관과의 거래에 익숙하지 않은 많은 공급업체와 제조업체들은 이를 제대로 인지하지 못하고 있습니다. 의료법 미준수 시에는 특정 제재가 따릅니다. 이러한 이유로 의료 기관들은 문제점을 식별하고 규정 준수를 해결하기 위해 다양한 규정 준수 및 위험 기반 시스템을 도입하거나 도입해야 합니다. 귀사가 이 분야에서 목격하고 있는 상황과 고객사에 제공하는 조언에 대한 의견을 듣게 되어 매우 기대됩니다.
하지만 그 부분에 구체적으로 들어가기 전에, 의료 산업에 좀 더 특화된 법률 및 규정들에 대한 간략한 개요를 먼저 제공해 드리려고 합니다. 그래야 여러분이 컴플라이언스 프로그램이나 위험 완화 평가 측면에서 무엇을 해야 하는지, 기관들이 이를 어떻게 다루고 실행하는지 이해할 수 있을 테니까요.
우선, 매우 높은 수준의 개요로 시작하자면, 의료 산업은 연방 반리베이트 법을 비롯한 수많은 법률의 적용을 받습니다. 또한 개별 주마다 자체적인 주 반리베이트 법이나 모든 지불 기관을 대상으로 하는 규정을 종종 가지고 있습니다. 스타크 법(Stark law)이 있으며, HIPAA를 비롯한 수많은 개인정보 보호법과 개인정보, 사이버보안을 다루는 개별 주 법률, 투명성과 보고를 다루는 법률도 있습니다. 그리고 의료 시스템은 공급업체 및 제조사와 거래를 체결할 때 이러한 각 법률을 준수해야 합니다.
리베이트 금지법은 아마도 가장 잘 알려진 법률일 것이며, 중요한 점은 이 법이 명칭 그대로 리베이트를 근본적으로 금지하는 형법이라는 사실입니다. 이 법은 사업 창출을 통해 환자 소개를 유도하거나 보상하기 위한 고의적 또는 의도적인 지급을 금지합니다. 현재 의료 시스템은 공급업체가 거래를 해당 범주에 맞출 것을 요구하는 수많은 안전항(안전항) 또는 예외 조항을 두고 있으며, 여기에는 할인, 리베이트, 보증 제공 등에 관한 예외 조항을 비롯해 관련 법률 및 규정이 포함됩니다.
스타크 법은 반리베이트 법과 유사한 맥락에서, 의사 및 의료 서비스 제공자가 부분적으로 소유한 기관 간 제품 수령을 포함한 특정 업무 소개를 위한 부적절한 거래 및 협정을 근본적으로 금지합니다. 또한 다양한 데이터 및 개인정보 보호 고려사항도 존재합니다. 이러한 요소들은 구매 및 취득 제품과 관련된 방식을 포함해 다양한 측면에서 공급망 계약 및 협정에 영향을 미치고 있습니다. 오늘날 많은 제품들, 장비든 의료 기기든, 보호 대상 건강 정보, 데이터 및 기타 정보를 수집하고 전송할 수 있는 기능을 갖추고 있습니다. 따라서 이러한 모든 법률들 때문에 의료 기관들은 다양한 컴플라이언스 프로그램을 시행하고, 공급업체들이 위험 평가 및 위험 평가 프로토콜 이행과 관련된 규정을 반드시 준수하도록 요구하는 모습을 실제로 목격하고 있습니다. 여기서 잠시 멈추고 섀넌에게 여쭙겠습니다. 일반적인 규정 준수 문제로는 어떤 것들이 관찰되고 있나요? 데이터 공급망 규정 준수와 관련된 규정 준수 프로그램 및 위험 완화 전략을 수립하도록 고객사에 어떤 조언을 하고 계신가요? 현재 가장 효과적인 실천 방법은 무엇이라고 보시나요?
섀넌 섬너
모니카, 이 주제로 이야기하게 되어 정말 반갑습니다. 말씀하신 대로, 지금까지 논의된 모든 법률들은 강력한 컴플라이언스 프로그램을 통해 공급망 또는 제3자 위험 완화의 주요 촉매제 역할을 해왔습니다. 하지만 의료 산업은 최근 제3자 데이터 유출, 공급 차질, 코로나19, 보호된 건강 정보(PHI) 접근 및 공개에 대한 강화된 감시 등 여러 문제에 직면해 왔습니다. 정말 완벽한 폭풍이죠. 저희 경험상 고객들에게 밤잠을 설치게 하는 주요 위험 요소를 물었을 때 상위 3위 안에 반드시 사이버 보안과 침해 사고가 포함됩니다. 하지만 더 깊이 들여다보면, 바로 제3자 위험 관리와 공급망과 관련된 여러분이 언급하신 모든 사항들이 핵심입니다.
역사적으로 수년간 우리는 공급망을 단순히 상품과 서비스 조달의 개념으로만 생각해왔습니다. 그러나 의료 시스템이 가진 광범위한 주체와 관계망을 살펴보면, 이는 단순히 의약품이나 기타 의료용품을 확보하는 차원을 넘어섭니다. 이는 실제로 여러분이 어떤 형태로든 협력 관계를 맺고 있는 개인, 집단, 기업들과의 관계입니다. 그리고 데이터 보안뿐만 아니라 공급망 위험에 대한 이 강화된 강조가 실제로 코로나19 사태 직후에 등장했다는 점을 꼭 명심하세요. 우리는 모두 인공호흡기, 보호 장비, 심지어 식염수 같은 것들까지 공급망 부족을 경험했습니다. 제3자에 의존할 때 발생하는 취약점이 그때 드러났다고 생각합니다.
따라서 강력한 위험 완화 기능 및 규정 준수 기능과 관련하여, 조직 내에서 소위 제3자 위험 관리 프로그램의 진화가 나타나기 시작했습니다. 이는 기업 위험 관리(ERM)와 매우 밀접하게 연관되어 있지만 동일하지는 않습니다. ERM의 구성 요소이긴 하지만, 이러한 관계가 점점 더 많아짐에 따라 현재 매우 강력하고 영향력 있는 구성 요소로 부상하고 있습니다.
따라서 제3자 위험 관리 프로그램이 실제로 무엇을 의미하는지 생각해 보면, 이는 전통적인 조달 및 공급업체 평가를 넘어서는 것이며, 제3자 관계의 전체 라이프사이클에 걸쳐 거버넌스, 위험 관리, 규정 준수 및 법적 요소를 통합하는 보다 포괄적인 접근 방식을 포괄하기 시작하고 있습니다. 새로운 공급업체, 서비스, 회사를 온보딩하고 지속적인 모니터링을 수행한 후 오프보딩하는 과정을 생각해 보십시오. 하지만 법적 관점, 즉 시행 중인 법률과 신규 규정을 넘어, 제3자 관련 위험이 증가하는 주요 동인에는 어떤 것들이 있을까요?
여러분이 지적하신 것처럼, 저희가 고객사와 규정 준수 평가를 진행하며 듣는 이야기 중 하나는 경기 침체기에 비용 절감을 위해 더 많은 기관들이 해당 업무를 제3자에게 아웃소싱하기 시작했다는 점입니다. 의료 데이터의 가격은 공개 시장이나 다크 웹에서 상승하고 있습니다. 현재 존재하는 모든 위협 요소를 생각해보면, 오늘은 자세히 다루고 싶지 않지만, 얼마나 많은 의료 기관이 이를 해결할 내부 자원을 갖추지 못하고 있는지 알 수 있습니다. 특히 농촌 지역 의료 제공자들은 현대적인 사이버 보안 역량을 갖춘 신뢰할 수 있는 파트너의 도움이 절실합니다. 이러한 파트너는 의료 IT 시스템의 인증, 호스팅, 유지보수 및 지원을 지원해야 합니다. 사이버 보안 기초 강좌를 할 생각은 없지만, 이런 위험이 커지는 주요 원인 중 하나가 바로 이거예요.
그리고 실제로 미국 법무부(DOJ)는 제3자 위험 관리에 관한 기업 컴플라이언스 프로그램 평가에 대한 추가 지침을 발표했습니다. 방금 언급하신 모든 법률 및 규정과 결합하면, 이제는 정말로 적절한 시기라고 생각합니다. 공급업체 공급망 및 제3자 위험 완화와 관련된 적절한 채널과 위험 완화 전략을 갖추고 있는지 진지하게 고민해볼 시점입니다. 하지만 귀사가 목격하고 있는 사례들과, 그러한 위험을 완화하기 위해 고객사에 어떤 조언을 하고 계신지에 대해 좀 더 자세히 듣고 싶습니다.
모니카 츄미엘레프스키
네, 물론입니다. 그리고 이 문제와 관련해 의료 시스템 제공자들이 직면한 핵심 과제들을 정말 잘 지적하셨다고 생각합니다. 제가 목격한 사례들을 말씀드리기 전에, 제게 깊은 인상을 남기고 공감이 갔던 부분은 바로 이러한 제3자 위험 관리 프로그램의 모범 사례로서 거버넌스, 위험 관리, 컴플라이언스, 법무 부서 간의 상호작용이었습니다. 이 모든 요소가 핵심 구성 요소라고 생각합니다. 한 가지 요소라도 빠지거나, 효과적인 프로세스와 의사소통 체계를 갖추지 못하면 의료 제공 기관이 이러한 규정 준수 문제에 취약해질 수 있습니다. 그리고 우리가 목격하고 있으며, 고객사가 제3자 위험 관리 프로그램을 도입하거나 개편할 때 조언하는 주요 사항 중 하나는 바로 프로그램의 범위가 무엇인가 하는 점입니다.
따라서 공급망 문제를 해결하려 할 때, 섀넌이 언급한 코로나19로 인한 제품 부족 사태가 발생합니다. 제품을 어떻게 확보할 수 있을까요? 옳든 그르든, 여러 기업들이 해외 공급업체를 포함한 다양한 경로로 제품을 조달하는 모습을 목격했습니다. 아마도 그들은 해당 업체가 미국 규정을 준수할 수 있는지 충분히 검증하지 않았을 것입니다. 적절한 사이버 보안 정책을 갖추고 있는지? 정당한 IT 검토를 거치고 있는지? 우리가 조달하는 제품이 미국 내에서 실제로 제품을 마케팅하고 판매하는 데 필요한 모든 규제 승인을 받았는지? 해당 의약품 유형에 따라 적절한 미국 식품의약국(FDA) 허가나 승인을 받았는지, 또는 의료기기의 경우 어디서 조달하는지?
그리고 한 걸음 더 나아가, 협력할 공급업체를 심사하는 과정을 거치고 있다고 가정해 보자. 그들의 하청업체는 어떻습니까? 아웃소싱을 하고 있습니까? 계약 중인 공급업체가 데이터를 처리할 미국 외 기업에 아웃소싱하고 있지는 않은가? 안타깝게도 계약된 공급업체가 하청업체를 통해 병원 내 각종 의료 기기 및 장비에 대한 원격 유지보수 서비스를 수행한 사례가 몇 건 있었습니다. 그들이 원격 유지보수를 수행한 장비와 기기에는 당연히 보호 대상 건강 정보(PHI)가 저장되어 있었습니다. 해당 제3자 하청업체를 검증하지 않고, 그들의 IT 검토를 거치지 않은 결과 데이터 유출 사고가 발생했습니다. 이는 결국 규정 준수 문제로 이어집니다.
따라서 우리는 고객들에게 현재 제3자 위험 관리 프로그램이 있다면 이를 철저히 검토하고, 없다면 반드시 도입할 것을 권고해 왔습니다. 시간적 압박이 있다는 점을 이해하면서도, 법적 준수 위험을 포괄하고 견고한 거버넌스 구조를 갖춰야 합니다. 왜냐하면 준수의 장애물은 속도라고 생각하기 때문입니다. 제품을 확보하고 서비스를 신속히 도입해야 하는 수요가 존재합니다. 환자의 필요와 요구가 존재합니다. 따라서 이러한 위험 평가와 심사 절차를 신속하고 효율적으로 수행할 수 있는 프로그램이 마련되어야 합니다. 그렇지 않을 경우, 잠재적인 형사적 처벌이나 금전적 벌금뿐만 아니라 환자 피해 및 평판 손상과 같은 잠재적 위험에 직면하게 될 수 있기 때문입니다.
섀넌 섬너
네, 방금 언급하신 속도 관련 사항들 중 일부는 확실히 공급업체 확보 속도나, 심지어 오늘처럼 최근까지도 일부 기관이나 의료 시스템이 실제로 의사나 마취과 의사가 부족해 수술을 중단해야 하는 상황까지 벌어지고 있다는 점입니다. 따라서 공급망과 서비스 속도를 고려할 때, 이는 우리가 매일 협력하는 의료 제공자들도 마찬가지입니다. 그들 역시 인력 부족 문제에 직면해 있을 수 있으며, 이는 결국 귀 기관에도 파급 효과를 미칠 것입니다.
따라서 제3자 리스크 관리 프로그램의 구성을 고민할 때는 누가 참여하는지, 해당 프로그램에 적합한 인력이 반드시 포함되도록 하는 것이 핵심입니다. 법적·규정 준수 관점에서 조직은 여전히 운영되어야 하지만, 계약 검토 시 성공적인 내부 통제 프로세스의 특정 요소를 생략한다면—특히 아웃소싱 제공업체와 관련된 방금 언급하신 조건들을 확인하는 과정—이는 제가 좀 더 논의하고 싶은 부분입니다. 아웃소싱된 개인, 그룹, 서비스 또는 회사와의 관계가 명확한 경우도 있지만, 그렇지 않은 경우도 있습니다. 바로 이때 강력한 제3자 위험 관리 프로그램이 도움이 될 수 있습니다. 이를 통해 아웃소싱되었는지 명확하지 않은 요소와 프로세스를 식별할 수 있기 때문입니다.
그렇다면 일반적으로 해외 아웃소싱되는 서비스에는 어떤 것들이 있을까요? 감사 업무가 대표적입니다. 내부 감사, 외부 감사, 청구 처리, 코딩, 지급 기록, 콜센터 등이 해당되죠. 개인적으로 어떤 기관에 직접 전화해 본 경험이 있으신가요? 실제로 해외 아웃소싱되는 사례가 많습니다. 데이터 저장, 이용 검토, 전사 작업도 포함됩니다. 따라서 여러분이 체결한 마스터 서비스 계약서에는 이러한 영역들이 은밀히 포함되어 있을 수 있습니다.
하지만 포괄적인 제3자 위험 관리 프로그램을 구축하기 위한 첫 번째 단계는 바로 '우리의 자산 목록이 무엇인가?'를 고민하는 것입니다. 즉, 실제로 어떤 제3자 서비스를 활용하고 있는가 하는 점이죠. 고객사와 협력한 사례를 보면, 앞서 언급하신 의료기기 제조사, IT 서비스 제공업체, 원격의료 플랫폼, 전자건강기록(EHR), 클라우드 서비스 제공업체, 제3자 관리업체 등이 해당됩니다. 말하자면, 그 목록은 끝없이 이어질 수 있습니다. 마케팅 및 웹사이트 서비스 제공업체, 실험실 서비스, 공급망 등 그 목록은 계속 이어집니다.
따라서 제3자 위험 관리에 다학제적 접근 방식을 적용할 때는 위원회에 누가 참여할지, 즉 해당 위원회 구조에 반드시 포함되어야 할 인원을 신중히 고려해야 합니다. 지금까지 관찰된 바에 따르면 내부 감사, 컴플라이언스, 법무, 품질 관리, 위험 관리, 공급망 관리 부서가 대표적이며, 이는 운영에 매우 중요한 프로세스를 검토하고 해당 분야의 전문가들을 고려하는 것입니다. 또한 서비스 라인의 관리를 아웃소싱하는 경우, 해당 프로세스 평가에 적합한 인력이 참여하고 있는지 확인해야 합니다.
그러므로 해당 위원회의 역할과 책임이 무엇인지 고려해볼 때, 이는 우리가 제3자 위험 관리 라이프사이클이라고 부르는 과정을 감독하는 것입니다. 모니카, 아까도 잠깐 언급하셨지만, 이 과정은 공급업체와의 관계 구축 단계인 온보딩에서 시작됩니다. 여기에는 계약 체결을 위한 적절한 법적 검토 및 실사도 포함되죠. 바로 그 위험 평가입니다. 규정 준수, 재무, 운영 등 잠재적 위험을 평가하는 것이죠. 앞서 기업 위험 관리에 대해 이야기했을 때, 해당 위원회의 역할과 책임에 이 요소도 반드시 반영되어야 한다고 강조한 바 있습니다.
또한 우리는 모니터링의 다음 단계, 즉 해당 관계에 대한 지속적인 감독에 대해서도 논의합니다. 제가 PYA로 복귀하기 전, 제 경력 중 하나는 내부 감사 업무를 담당했던 것입니다. 당시 우리는 훌륭한 계약을 체결하는 데 탁월한 성과를 냈지만, 솔직히 말해 실행 단계에서 실패하는 경우도 있었습니다. 그래서 저는 특정 계약과 계약상 요구사항에 대한 지속적인 모니터링 및 감사를 수행할 강력한 내부 감사 체계가 필요하다고 생각합니다. 여기에는 성과 평가도 포함되며, 공급업체의 납품물과 서비스 수준이 기대치에 부합하는지 철저히 검토하는 것을 의미합니다.
그리고 안타깝게도 때로는 퇴출을 고려해야 할 때가 있습니다. 그 관계를 종료하거나 자연스럽게 종료될 때 어떤 일이 발생하는지요. 특정 공급업체를 퇴출한 후에는 그 위험 요소들이 어디에 집중되어 있을까요?
모니카와 법무팀이 매우 긴밀히 협력하는 한 분야는 실사 관점에서 검토하는 것입니다. 즉, 특정 서비스를 보유하고 있으며 해당 서비스를 아웃소싱하거나 제3자와 협력해야 할 필요가 있다고 판단할 때, 저희는 법무법인과 함께 다음과 같은 요소들을 구체적으로 검토합니다. 귀하의 의견도 듣고 싶지만, 해당 업체가 과거에 데이터 개인정보 유출 사고를 겪은 적이 있는지, 기업 윤리 협약(CIA) 체결 여부, 감시 대상 목록 등재 여부, 합의금 지급 사례, 사이버 보안 사고 발생 여부 등을 검토합니다. 최근에는 정보 보안 관리 및 유지 인프라와 실시간 연계된 보안 등급 평가도 활용하고 있습니다. 이해 상충 여부도 확인합니다. 조직의 컴플라이언스 프로그램도 검토합니다. 협력하는 조직이 강력한 컴플라이언스 프로그램을 보유하고 있는지, 마지막으로 감사받은 시점은 언제인지, 관련 정보가 있는지 확인합니다.
그리고 마지막으로, 재정적·운영적 안정성과 관련된 몇 가지 요소와 기본적인 기본 원칙에 관한 사항으로, 해당 기관이 정부 프로그램 참여에서 제외된 공급자인가?
하지만 모니카는 여러분이 고객사와 협력할 때, 제3자 위험 평가 측면에서 고객사를 지원하는 주요 사항들에 대해 여러분의 관점을 듣고 싶어 합니다.
모니카 츄미엘레프스키
물론입니다. 그리고 핵심 사항들을 정확히 지적하셨습니다. 우리가 그들에게 검토를 돕는 내용에 들어가기 전에, 계약 체결 시 계약이 무효화된다는 점에 대해 말씀하신 부분이 있습니다. 이 점은 정말 중요합니다. 고객사들 중에는 제3자 공급업체의 대부분의 관련 법률 준수를 다루는 훌륭한 계약 조건을 가진 경우도 있습니다. 리베이트 금지법(Anti-Kickback Statute)은 할인 안전항(safe harbor)에 부합할 수 있습니다. HIPAA(건강보험 이동성 및 책임법)도 다루고, 개별 주 법률도 다룹니다. 예를 들어 캘리포니아는 자체적으로 매우 엄격한 개인정보 보호법(CCPA, 캘리포니아 소비자 개인정보 보호법)을 가지고 있는데, 이는 GDPR(일반 데이터 보호 규정)과 크게 다르지 않습니다. 사이버보안 문제도 다룰까요? 이렇게 완벽해 보이는 훌륭한 계약서를 가질 수 있지만, 계약 체결 전에 해당 업체에 대한 적절한 실사를 수행하지 않았다면, 계약이 업체에 의해 체결되는 순간 잠재적으로 위반될 수 있습니다.
공급업체가 계약서에 서명했지만 실제로 이행 능력이 없다면, 잠재적으로 계약 위반을 주장할 근거가 생깁니다. 하지만 그게 무슨 소용이 있겠습니까? 이미 피해는 발생했으니까요. 섀넌, 당신의 지적대로 우리가 고객을 진정으로 돕는 부분이자 공급업체 실사 수행 시 주요 초점으로 삼는 것은 바로 당신이 강조한 '제외 대상 여부'와 관련된 사항들입니다. 해당 공급업체가 과거에 제외된 적이 있습니까? 직원들에 대한 배제 여부 확인 절차를 갖추고 있나요? 감사와 관련된 기업 윤리 협약(Corporate Integrity Agreement)의 당사자인가요? 이러한 사항들은 특히 의료 기관과 관련하여 중요합니다. 의료 기관이 의료 프로그램 참여에서 배제된 공급업체와 실제로 계약을 체결할 경우, 해당 의료 시스템 자체가 배제된 기관과 계약을 체결한 것에 대한 처벌을 받을 수 있기 때문입니다.
HIPAA 개인정보 보호 사이버 보안은 실사 과정에서 매우 중요한 부분으로, 공급업체가 의료 시스템 표준에 따른 보안 목적의 IT 검토를 반드시 거쳐야 합니다. 이는 공급업체와 하청업체 모두 해당됩니다. 계약서에 준수 사항을 다루는 훌륭한 약관이 포함되어 있고 국가적·국제적 개인정보 보호법 준수를 요구하더라도, 공급업체가 해당 역량을 갖추지 못한 상태에서 데이터 유출 사고가 발생하면 결국 피해가 발생하기 때문입니다. 계약 위반 소송 가능성도 있지만, 피해는 이미 발생한 상태입니다. 따라서 이처럼 강력한 위험 관리 프로그램 구축이 매우 중요하며, 실사 단계가 가장 핵심적이라고 생각합니다.
그리고 제 생각에 한 가지 방법은, 그리고 어떤 면에서는, 우리가 이러한 프로그램을 구성하는 데 도움을 줄 때 고객들에게 조언해 온 것 중 하나는 프로그램의 가치와 필요성을 홍보하는 데 도움을 줄 핵심 이해관계자들을 참여시키고 관여시키는 것입니다. 예를 들어, 의사나 주요 의견 리더들이 특정 의료기기 제조업체와 계약을 체결하기를 원하거나, 수술실에 도입되는 품목을 원하며, 아마도 의사 추천 품목 같은 것일 수 있기 때문에 해당 품목의 도입을 추진하는 시스템을 종종 목격합니다.
그러나 공급업체 자체가 검증되지 않았고 표준 공급망 절차를 거치지 않았다면, 섀넌이 지적했듯이 다양한 분야를 아우르는 이 전반적인 제3자 공급업체 위험 관리 프로그램에 반드시 포함되어야 합니다. 그러한 공급업체가 도입한 장비나 서비스를 사용하는 것은 의료 시스템에 잠재적 책임 문제가 될 수 있습니다. 또한 해당 기관이 주요 의견 리더(KOL)나 의사들을 이 위험 관리 프로그램, 즉 위험 평가 프로그램의 핵심 이해관계자로 참여시킬 수 있다면, 이들이 프로그램을 홍보하는 데 실질적으로 기여할 뿐만 아니라 동료 및 의료 시스템 내 다른 직원, 계약자들이 이 위험 관리 프로그램의 중요성을 수용하고 이해하도록 지원하는 데 큰 도움이 됩니다.
또한 이 프로그램이 무엇을 목표로 하는지, 왜 중요한지, 그리고 실제로 전체 의료 시스템에 어떻게 도움이 되는지에 대한 교육도 제공하고 있습니다. 또한 의료 시스템의 관점에서, 이 프로그램이 어떻게 환자 안전을 더욱 강화하고 보장하도록 설계되었는지 설명합니다. 이는 구매하는 제품의 사용 안전성부터 데이터 유출 방지, 개인정보 유출 방지까지 포괄합니다. 조직 내 구성원들에게 이 제3자 공급업체 위험 완화 프로그램의 기능, 목적, 중요성을 소개하고, 사회화하며 재교육할 수 있는 방법을 마련함으로써, 목적, 그리고 이 제3자 공급업체 위험 완화 프로그램의 중요성에 대해 조직 내 개인들에게 소개하거나 사회화하거나 재교육할 수 있는 방법을 마련하는 것이, 우리가 목격한 바에 따르면, 규정 준수를 보장하고 개인들이 제3자 서비스 제공업체를 도입하고자 할 때, 예를 들어 청구 업무 운영을 아웃소싱할 것인가? 새로운 원격의료 플랫폼을 도입할 것인가? 그와 관련된 IT 구성 요소를 고려할 때, 정말로 큰 도움이 됩니다.
사람들이 정말 멈춰 서서 "이 업체는 검증된 것인가? 공급업체가 우리 기준을 충족하는지 확인하는 절차를 거쳤는가? 공급업체가 기준을 충족할 뿐만 아니라, 우리는 이 업체가 누구인지 알고 있는가?"라고 묻게 만듭니다. 즉, 단순히 공급업체뿐인가? 하청업체를 이용하는가? 어디에 위치해 있는가? 데이터 해외 이전을 하는가? 어떤 기술을 사용하는가? 그들의 규정 준수 프로그램은 어떤 모습인가? 여러분이 협력하고, 운영을 맡기고, 데이터를 맡기고, 기술을 맡기는 대상이 누구인지 정말로 이해하고 있어야 합니다. 이는 매우 중요하며, 많은 고객사들이 적극적으로 수용하는 부분입니다. 이미 제3자 위험 공급업체 평가 시스템을 보유한 경우에도 이를 재검토하고 강화 방안을 모색하는 수준까지 이르렀습니다.
그리고 바로 그 지점에서, 섀넌, 아마도 이 부분을 보고 계실 텐데, 말씀해 주세요. 고객사들이 당신을 참여시킨 후, "우리의 제3자 공급업체 리스크 관리 시스템 프로그램이 충분한가?"라고 판단하기 위해 감사, 검토 및 평가를 수행해 주길 원한다는 점을 우리는 목격하고 있습니다. 오늘날 벌어지는 모든 일과 우리가 살고 있는 환경 속에서, 기술이 너무 빠르게 변화하고 있고, 특히 많은 인공지능(AI)이 도입되면서, 고객들이 현재 구축한 시스템을 어떻게 평가하도록 돕고 있나요? 고객들에게 무엇을 고려하라고 조언하고 있나요?
섀넌 섬너
아주 좋은 질문입니다. 최근 점점 더 많은 의료 시스템, 특히 학술 의료 센터들이 이른바 혁신 센터를 설립하고 있기 때문입니다. 여기서는 의료진과 다른 관계자들이 새로운 의료 기기나 환자 치료 방식을 실제로 도입하고 있습니다. 새로운 시스템과 도구, 하류 조직과의 독특한 협력 방식이 등장하고 있으며, 인공지능 역시 촉매 역할을 해왔습니다. 수년 전에는 존재하지 않았던 의료 분야의 이러한 미묘한 변화들, 새로운 비즈니스 파트너들을 고려할 때, 저희가 조직들을 지원해온 부분은 바로 그들의 위험 관리 및 위험 평가 프로세스를 통해 이를 체계적으로 고민하는 것입니다.
그러니까 정말로 살펴봐야 할 점은, 우리에게 재고 목록이 있는지? 모든 데이터가 어디에 있는지 알고 있는지? 우리가 누구와 연결되어 있는지 알고 있는지? 아마도 이건 가장 눈을 뜨게 하는 작업 중 하나일 거예요. 조직이 가진 모든 의존성을 생각해보면 말이죠. 그리고 저는 의료보험제도 변경, 사이버 침해, 랜섬웨어 같은 문제들을 통해 이 점이 정말로 드러났다고 생각합니다. 이 과정에서 우리가 협력하는 파트너사가 얼마나 많은지, 그리고 모든 것을 한 곳에 집중할 경우 비즈니스에 얼마나 심각한 차질이 발생할 수 있는지 드러났습니다. 따라서 규정 준수 프로그램이든 재해 복구 데스크톱 훈련이든, 다각적인 접근이 필수적입니다. 과거에는 '우리 시설 내부나 조직 내에서만 문제가 발생하면'이라는 식으로 생각했지만, 이제는 훨씬 넓게 바라봐야 합니다. 데이터 센터든 제3자 관리업체든, 우리가 의존하는 주요 비즈니스 파트너가 침해를 당하면 어떻게 될지까지 고려해야 합니다.
귀하가 언급하신 바와 같이, 우리가 거래 상대방을 확실히 파악하는 교육에 대한 강조가 점차 커지고 있는 분야들입니다. 고객 지원을 위한 우리의 목적은, 이를 인지하고 있는지, 내부 감사 준수, ERM 위험 완화 활동에 이를 포함시키고 있는지(감사 및 모니터링을 포함하여), 그리고 기존에 제공되는 추가 지침 및 연구 자료를 활용하고 있는지에 있습니다.
예를 들어, 제가 앞서 언급한 사항 중 하나는 법무부(DOJ)가 기업 준법 프로그램 지침 평가에 검사관을 포함시키려는 의도를 분명히 하고 있다는 점입니다. 2023년 3월 발표된 해당 지침에는 제3자 관리 기대사항에 관한 섹션이 포함되어 있었습니다. 따라서 저희는 고객사에 다음과 같은 내부 검토를 권고합니다: "우리의 위험 기반 프로세스를 조달 및 공급업체 관리 프로세스와 통합했는가? 제3자와의 관계 구축에 적절한 사업적 근거가 마련되었는지 확인하고 있는가?"라고 내부적으로 질문하도록 권고합니다. 이는 모니카 씨의 실사 수행과 연결됩니다. 또한 계약 조건에 수행될 서비스가 구체적으로 명시되고 식별되어 있는가? 네, 대부분의 계약서에는 명시되어 있지만, 이를 어떻게 모니터링하고 감사하고 있는가?"
그리고 마지막으로, 우리가 강조하는 부분은 거버넌스 감독과 귀하가 언급하신 거버넌스 구조입니다. 따라서 이사회 구성원이 조직의 제3자 위험 관리 프로그램에 대해 질문해야 할 사항 목록을 제공하며, 내부 제3자 위험 관리 관련 위원회에 소속된 경우 지속적으로 답변해야 할 질문 사항으로도 포함됩니다. 예를 들어 다음과 같은 질문들이 포함됩니다: "해당 위원회가 구성되었는가? 누가 참여하는가? 제3자는 어떻게 선정되는가? 이해 상충은 평가되는가? 감사 및 모니터링은 어떻게, 누가 수행하는가? 조직은 해당 제3자들에 대한 보상 구조를 준수 위험과 비교하여 검토 및 분석했는가? 그러므로 해당 기관들이 어떻게 보상받거나 인센티브를 받는지 알고 있으며, 그들이 위험 관점에서 직접적 또는 간접적으로 귀사에 영향을 미칠 수 있는 행동을 할 가능성이 있는가?" 앞서 언급하신 스타크(Stark) 및 반리베이트(Anti-Kickback) 허위 청구 관련 법률로 돌아가서...
그리고 마지막으로 중요한 부분은 실사 과정에서 발견된 위험 신호들을 어떻게 식별하고 완화하는가입니다. 예를 들어, 공급업체와 관련해 위험 신호를 발견했다고 가정해 보죠. 우리는 몇 가지 완화 전략을 마련했다고 생각하고, 그 공급업체를 선정합니다. 그런데 그 실사 결과는, 말하기 싫지만, 선반 위에 방치됩니다. 이제는 아무것도 선반 위에 두지 않지만, 우리는 그 결과를 제대로 활용했나요? 우리는 알고 있었고, 알고 있었으며, 해당 제3자와 협력했습니다. 그런데 문제가 발생하면 어떻게 될까요? 정부가 이를 알게 될 것이고, 소송이나 합의 의무 측면에서 귀사에 문제가 있다고 판단할 것입니다. 왜냐하면 귀사는 이미 알고 있었기 때문입니다. 따라서 우리는 고객사가 식별된 위험을 완화하기 위한 구조를 실제로 구축하도록 지원하는 것입니다.
모니카 츄미엘레프스키
방금 말씀하신 내용이 정말 중요하다고 생각합니다. 실사를 수행하고 정보를 확보할 계획이라면, 당연히 그래야 하지만, 문제가 발생했을 때 그 정보에 따라 행동해야 한다는 점이죠. 규제 기관, 법무부(DOJ), 감사관실(OIG) 등 어떤 기관이 조사하든 그들은 이해하고 싶어 하며 우리 기관이 규정 준수를 하고 있는지 확인하고 싶어 합니다. 의료 분야 사기 및 남용에 대한 감독이 매우 강화된 상황에서, 특히 공급망 관계는 정부 규제 기관에게 거의 손쉽게 접근 가능한 대상이 될 수 있습니다. 반리베이트법(Anti-Kickback Statute)이나 스타크법(Stark Law)을 준수하지 않는 계약을 체결했다면, 형사 처벌, 민사적 금전적 제재, 허위 청구 혐의에 직면할 수 있습니다. 즉, 수백만 달러에 달하는 막대한 손해가 발생할 수 있다는 뜻입니다.
유감스럽게도 한 기관이 위험 관리 평가의 일환으로 공급업체에 대한 정보를 수집한 사례가 있었습니다. 해당 공급업체에 의사 소유 지분이 있는지 여부를 확인하기 위한 것이었죠.
우리 의료진과 해당 공급업체 간에 이해 상충 목적을 위한 관계가 존재합니까? 실사 과정의 일환으로 확보된 정보에 따르면, 해당 공급업체는 상당한 규모의 의사 소유 지분을 보유했을 뿐만 아니라, 고용된 의사들이 소속된 일부 기관들과도 관계가 있었습니다. 이로 인해 해당 계약은 스타크 법의 안전항 또는 예외 조항에 부합하도록 구조화되어야 함이 드러났습니다. 안타깝게도 섀넌이 언급했듯이, 그 정보가 선반 위에 방치되는 과정에서 문제가 발생했습니다. 비록 더 이상 선반이 존재하지는 않지만, 프로세스가 제대로 작동하지 않아 해당 정보가 법무팀이나 컴플라이언스 부서로 전달되지 않았습니다. 그 결과, 1년 이상 지속된 계약이 규정 준수 방식으로 구성되지 않은 채 진행되었으며, 이는 사전에 방지할 수 있었던 문제였습니다. 결국 벌금이 부과되었고, 정부에 자진 신고를 해야 하는 상황이 발생했습니다. 확립된 위험 평가 절차를 따랐더라면 이 모든 것은 피할 수 있었을 것입니다.
이를 완화할 방법이 있습니다. 섀넌이 지적했듯이 위험을 식별하고 완화하는 방법이 있지만, 제 생각에는 이 작업을 수행할 계획이라면(그리고 반드시 수행해야 합니다) 해당 정보에 따라 행동하는 것이 마찬가지로 중요합니다. 프로세스에서 발걸음을 멈춰서는 안 됩니다. 그렇게 하면 추가적인 책임 문제가 발생할 수 있기 때문입니다. 따라서 프로세스를 철저히 이행하고, 모니터링하며, 규정 준수를 위해 감사를 받는 것이 매우 중요합니다. 그렇지 않으면 공급업체와 의료 시스템 제공자 양측 모두 다양한 벌금 및 제재(기업 윤리 협약부터 배제 조치까지)에 처해질 수 있습니다.
섀넌 섬너
모니카, 이번 팟캐스트를 마무리하며, 조직이 어디서부터 시작해야 한다고 보시나요? "좋아, 우리는 아직 이걸 해본 적이 없어. 기업 리스크 관리 프로그램도 있고, 컴플라이언스 프로그램도 있고, 내부 감사 프로그램도 있지만, 어디서부터 시작해야 할지 모르겠어." 이런 상황에서 첫걸음으로 무엇을 권하시겠습니까?
모니카 츄미엘레프스키
첫 번째로 권장하는 단계는, 방금 말씀하신 대로 해당 프로그램이 필요하다는 점을 인식하는 것입니다. 이는 공급망에 특화된 것이든 전사적인 것이든 상관없습니다. 그런 다음 이 프로그램을 주도할 챔피언을 선정하고, 각 분야의 핵심 이해관계자를 참여시켜 프로그램을 구축해야 합니다. 우리는 항상 자재 관리 부사장, 공급망 부사장 또는 사장(직함에 따라 다름) 수준의 인사와 IT 담당자, 법무 담당자, 규정 준수 담당자를 포함하는 것이 중요하다고 봅니다. 또한 다른 부서를 포함할 경우 의료진 총괄 책임자도 포함해야 합니다. 의료진의 동의도 확보해야 하기 때문입니다.
따라서 먼저 핵심 이해관계자와 프로그램 추진 주체를 파악하는 것부터 시작합니다. 그다음 현재 상황을 파악해야 합니다. 확장해야 할 기존 프로그램이 있는지, 아니면 처음부터 시작하는지 확인하는 거죠. 이 단계에서 검토와 격차 평가를 수행하여 기존 컴플라이언스 프로그램의 유형을 파악하고, 이를 기반으로 구축 가능한지 확인해야 합니다. 그런 다음 섀넌님처럼 법률 부서와 협력하여 프로그램을 구축하고, 관련 교육 및 훈련을 제공한 후 실행 및 전사적 도입을 진행합니다. 이게 기본적으로 우리가 본 시작점과 진행 방식의 큰 그림입니다. 같은 관점인가요? 당신도 같은 접근을 권할 건가요?
섀넌 섬너
물론입니다. 그리고 그 다음 단계는 거버넌스라고 말씀드리고 싶습니다. 따라서 이사회 거버넌스 위원회나 조직 내 거버넌스 위원회에 참여하고 계신 청취자분들이 계시다면, 저희가 이를 갖추고 있는지 검토해 보시기 바랍니다. 첫걸음이 항상 가장 어렵다고 생각하는데, 특히 계약을 맺고 있으면서도 반드시 알지 못할 수 있는 조직의 수를 파악하는 것이 가장 어렵습니다. 하지만 정말 첫 번째 단계는 대화를 나누고, 어떤 위험이 존재하며 어떻게 완화되고 있는지 이해하는 것이라고 말씀드리고 싶습니다. 그리고 우리는 모든 위험을 예측할 수도 없고, 모든 위험을 관리할 수도 없다고 생각합니다.
하지만 지역사회와 환자, 직원들에게 봉사하고 자원을 잘 관리하려는 강한 의지를 가진 조직이라면, 이를 실현하기 위한 최선의 방안임이 분명하다고 생각합니다. 모니카, 제3자 위험 관리에 대해 이야기할 수 있어 기뻤습니다. 오늘 청취자 여러분과 함께한 시간이 정말 즐거웠으며, 모두 좋은 하루 보내시길 바랍니다.
모니카 츄미엘레프스키
네, 동의합니다. 그리고 섀넌, 고마워요. 저도 마찬가지예요. 즐거운 시간이었고, 모두에게 흥미롭고 유익하며 도움이 되었기를 바랍니다.
섀넌 섬너
알겠습니다, 감사합니다.
모니카 츄미엘레프스키
감사합니다.
앤지 콜드웰
모니카와 섀넌, 훌륭한 토론을 해주셔서 감사합니다. 오늘 시간을 내어 함께해 주셔서 감사드립니다. 청취자 여러분께도 감사드립니다. 헬스케어 및 생명과학 산업의 시의적절한 법률 업데이트를 전해 드리는 '헬스케어 법률 오늘(Health Care Law Today)'의 '렛츠 토크 컴플라이언스(Let’s Talk Compliance)' 팟캐스트 시리즈에 함께해 주셔서 감사합니다. 이 팟캐스트를 구독하시고, 폴리 헬스케어 법률 오늘 블로그(healthcarelawtoday.com)와 pyapc.com을 방문해 주시기 바랍니다. 본 프로그램이 마음에 드셨다면 구독과 함께 별점 5점을 꼭 부탁드립니다. 다음 시간까지, PYA의 앤지 콜드웰이었습니다.
야나 콜라릭
저는 폴리 앤 라드너의 자나 콜라릭입니다. 경청해 주셔서 감사합니다.
