AI 서기는 현대 의료 서비스의 디지털 조력자로 빠르게 자리 잡고 있습니다. 의료진의 번아웃을 줄이고, 문서를 간소화하며, 환자 경험을 개선할 수 있습니다. 하지만 의료 서비스 제공자와 디지털 의료 회사가 AI 서기 솔루션을 도입하기 위해 경쟁하면서 한 가지 주요 우려가 계속 제기되고 있습니다: HIPAA 위험은 무엇인가요?
HIPAA 위험은 AI 솔루션의 교육, 배포, 통합 및 관리 방식에 따라 크게 달라집니다. 회사에서 AI 스크라이브 솔루션을 검토 중이거나 이미 사용하고 있다면 이 블로그를 로드맵으로 삼아 위험을 테스트해 보세요.
AI 서기란 무엇인가요?
AI 서기는 머신러닝 모델을 사용하여 환자와 의료진 간의 대화를 듣고(또는 녹음을 처리하고) 구조화된 임상 노트를 생성합니다. 이러한 도구는 전자 건강 기록(EHR)에 원활하게 통합되어 수동 차트 작성의 필요성을 줄이고 의사가 방문 중에 환자에게 더 집중할 수 있도록 하기 위해 판매되고 있습니다.
그 이면에서 AI 서기사는 여러 양식(예: 오디오, 녹취록, 구조화된 EHR 데이터 등)에 걸쳐 대량의 PHI(보호 대상 건강 정보)를 실시간으로 처리합니다. 따라서 AI 서기사는 HIPAA의 규제를 받게 됩니다.
AI 서기 라이프사이클의 HIPAA 함정
다음은 디지털 의료 고객, 의료 시스템, 서기 기술을 출시하는 AI 공급업체에 자문을 제공하면서 겪은 가장 일반적인 HIPAA 함정입니다.
1. 적절한 승인 없이 PHI에 대한 AI 교육
많은 AI 서기들은 이전 진료 기록이나 임상의가 편집한 메모 등 실제 데이터를 사용하여 '미세 조정'되거나 재훈련을 받습니다. 이러한 데이터에는 일반적으로 PHI가 포함됩니다. HIPAA에 따라 보험 적용 대상 의료 서비스 제공자의 치료, 지불 또는 의료 서비스 운영 이외의 목적으로 PHI를 사용하려면 일반적으로 환자의 승인이 필요합니다. 따라서 모델 교육이나 제품 개선과 같은 사용 사례는 해당 활동이 보험 적용 대상 의료 서비스 제공자의 의료 서비스 운영에 해당한다는 강력한 사례가 필요하며, 그렇지 않은 경우 환자의 승인이 필요합니다.
위험: AI 공급업체가 환자의 승인 없이 또는 방어 가능한 치료, 결제 또는 의료 서비스 운영 기준으로 고객을 대신하여 고객 데이터로 모델을 학습시키는 경우, 이러한 사용은 잠재적인 HIPAA 위반으로 평가되어야 합니다. 또한 주 기록법에 따라 환자 또는 제공자의 기록에 대한 동의 등 이 기술을 배포하는 데 필요할 수 있는 다른 동의도 고려해야 합니다.
2. 부적절한 비즈니스 제휴 계약(BAA)
적용 대상 법인 또는 다른 비즈니스 관계자를 대신하여 PHI에 액세스, 저장 또는 처리하는 AI 서기 벤더는 거의 항상 HIPAA에 따른 비즈니스 관계자에 해당합니다. 그러나 (a) 준수하는 BAA가 없거나, (b) 벤더의 책임을 본질적으로 제거하는 광범위한 면책 조항이 포함되어 있거나, (c) 허용된 사용 및 공개를 정의하지 않거나 HIPAA에서 허용하지 않는 사용 및 공개를 포함하는 벤더 계약(예: 적절한 승인 없이 또는 기타 HIPAA 예외를 충족하지 않고 PHI에 대해 AI 모델을 훈련하도록 허용)을 본 적이 있습니다.
팁: 모든 AI 벤더 계약을 면밀히 검토합니다. BAA 또는 기본 서비스 계약에 액세스, 저장 또는 처리되는 데이터, 데이터 사용 방법(학습에 사용할 수 있는 데이터 포함), 서비스 제공 후 데이터의 비식별화 또는 보관 여부가 명확하게 정의되어 있는지 확인합니다.
3. 보안 안전 장치 부족
AI 서기 플랫폼은 공격자들에게 높은 가치를 지닌 표적입니다. 이러한 플랫폼은 실시간 오디오를 캡처하거나, 임상 노트 초안을 저장하거나, API를 통해 EHR에 통합할 수 있습니다. 이러한 플랫폼이 제대로 보호되지 않아 데이터 유출이 발생하면 규제 벌금 및 과태료, 집단 소송, 평판 손상 등의 위험이 발생할 수 있습니다.
HIPAA요건: 적용 대상 법인 및 비즈니스 협력업체는 PHI를 보호하기 위해 "합리적이고 적절한" 기술적, 관리적, 물리적 보호 조치를 구현해야 합니다. 또한 HIPAA 규제를 받는 단체는 AI 서기 사용을 포함하도록 위험 분석을 업데이트해야 합니다.
4. 모델 환각 및 잘못된 방향의 출력
특히 생성 모델을 기반으로 구축된 AI 서기는 임상 정보를 '환각'하거나 조작할 수 있습니다. 더 심각한 문제는 전사 오류나 환자 불일치가 발생하면 정보를 엉뚱한 환자에게 잘못 귀속시킬 수 있다는 점입니다. 이는 단순한 워크플로우 문제가 아닙니다. PHI가 잘못된 차트에 삽입되거나 잘못된 개인에게 공개되면 HIPAA 및 주 데이터 침해법에 따라 위반이 될 수 있습니다(잘못된 입력으로 인해 향후 치료에 영향을 받는 경우 환자에게 잠재적으로 불이익을 줄 수도 있습니다).
위험 관리: 모든 AI가 작성한 메모에 대해 사람이 직접 검토하는 방식을 구현하세요. 의료진이 환자 기록에 입력하기 전에 메모의 정확성을 확인하도록 교육을 받았는지 확인하세요.
5. 비식별화 오류
일부 벤더는 데이터가 비식별 처리되어 있기 때문에 자사의 AI 솔루션이 "HIPAA를 준수한다"고 주장합니다. 그러나 벤더는 45 C.F.R. § 164.514에 따라 허용되는 두 가지 비식별처리 방법인 전문가 결정 또는 세이프 하버 방법 중 하나를 엄격하게 따르지 않는 경우가 많습니다. 이러한 방법 중 하나에 따라 데이터가 완전히 비식별 처리되지 않은 경우, 해당 데이터는 HIPAA에 따라 비식별 처리되지 않습니다.
규정 준수 확인: 공급업체가 비식별처리된 데이터만 사용하기 때문에 자사 시스템이 HIPAA의 적용을 받지 않는다고 주장하는 경우, 사용된 비식별처리 방법, 재식별 위험 분석의 증거, 사용된 비식별처리 전문가의 자격증명(해당되는 경우)을 요청하세요. 또한 비식별처리를 위해 공급업체에 PHI를 제공하는 경우, 해당 비식별처리를 위해 공급업체 및 공급업체와 BAA를 체결해야 한다는 점에 유의하세요.
의료 시스템 및 디지털 의료 기업을 위한 실용적인 다음 단계
AI 스크라이브를 평가 중이거나 이미 도입한 기업을 위해 혁신을 저해하지 않으면서 위험을 완화할 수 있는 팁을 소개합니다:
- 공급업체를 철저하게 검증
- EHR 워크플로우에 거버넌스 구축
- 승인 없는 2차 사용/교육 제한
- 위험 분석 업데이트
- 제공업체 교육
결론
AI 서기사가 임상 문서를 혁신하고 있습니다. 그러나 뛰어난 자동화와 함께 특히 HIPAA에 따른 책임도 커집니다. 벤더, 디지털 의료 회사, 의료 시스템은 AI 서기를 단순한 소프트웨어가 아니라 환자 치료에 내재된 데이터 관리자로 취급해야 합니다. 디지털 의료 리더는 강력한 계약상 보호 장치를 구축하고, PHI 사용을 HIPAA에서 허용하는 범위로 제한하며, 다운스트림 위험을 지속적으로 평가함으로써 부당한 위험을 초래하지 않고 혁신을 수용할 수 있습니다.
팀, 출판물 및 대표 경험을 포함하여 AI, 원격 의료, 원격 의료, 디지털 의료 및 기타 의료 혁신에 대한 자세한 내용은 저자 또는 Foley의 사이버 보안 및 데이터 개인정보 보호 그룹 또는 의료 실무 그룹의 파트너나 선임 변호사에게 문의하시기 바랍니다.
