의료 조직 및 Microsoft 비즈니스 클라우드 서비스

Microsoft 비즈니스 클라우드 서비스에서 보호된 의료 정보의 보안, 규정 준수 및 개인 정보 보호를 이용하세요.

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

Microsoft 비즈니스 클라우드 서비스에서 보호된 의료 정보의 보안, 규정 준수 및 개인 정보 보호 이용

Microsoft는 고객이 Microsoft의 클라우드 서비스를 이용할 때 가장 중요하고 그 무엇으로도 대체할 수 없는 자산인 데이터를 Microsoft에 맡긴다는 사실을 잘 알고 있습니다.

신뢰는 환자 인구 통계 및 치료 정보를 비롯한 PHI(민감 건강 정보)를 포함하는 임상 응용 프로그램 및 데이터 집합을 공용 클라우드로 이동할 때 중요합니다. 신뢰는 의료 에코시스템에서 데이터를 공유하고 의료 전문가 및 환자가 기밀 정보에 액세스하는 방법과 위치를 확장할 때 중요합니다.

따라서 클라우드 전환 과정 중 어느 단계에 있든 신뢰할 수 있는 서비스 공급 기업을 이용하는 것이 중요합니다. 기밀 정보가 보호되고, 규정과 법을 준수하는 상태로 안전하게 보관 및 관리되며, 개인 정보가 보호된다는 사실을 믿어야 합니다.

Microsoft의 전체론적 접근 방식은 보안에 대해 심층 방어 접근 방식을 취하고, 비즈니스 클라우드 서비스에 대해 HIPAA BAA(비즈니스 협력 계약)를 제공하는 등 해당하는 규정 요구 사항을 준수하며, PHI 및 기타 데이터의 개인 정보를 보호하도록 도와 이 신뢰를 쌓도록 설계되었습니다.

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

Azure에서 HIPAA/HITRUST 솔루션 배포 가속화

지금 HIPAA/HITRUST 솔루션을 빌드하기 위한 도구와 지침을 확인하세요. Azure 보안 및 규정 준수 청사진(HIPAA/HITRUST 건강 데이터 및 AI)으로 의료 데이터 솔루션에 클라우드의 이점을 이용하세요.

Office 365, HITRUST CSF 인증 취득

Office 365는 HITRUST(건강 정보 신탁) 연합으로부터 HITRUST 인증을 받았습니다. HITRUST 공통 보안 프레임워크는 의료 조직이 보안 및 위험 관리를 처리하는 데 도움을 줍니다.

Medical professional wearing scrubs and smiling.

클라우드 서비스의 보안에 대해 심층 방어 접근 방식을 취하는 Microsoft

의료 조직은 데이터 침해 및 사이버 공격에 취약할 수 있습니다. 나쁜 행위자는 의료 네트워크뿐만 아니라 금전 등록기 같은 POS(Point of Sale) 디바이스, 심박 조절기 같은 의료 기기, 가상 의료 서비스를 제공하는 등의 의료 앱, 확산하는 모바일 디바이스(의료용 및 개인용)를 대상으로 합니다. 2015년 Verizon 민감 건강 정보 데이터 침해 보고서에 따르면 1,400곳의 의료 조직(대규모 및 소규모)에서 PHI 데이터 침해(1억 5,700만 개 이상의 의료 기록이 노출됨)를 겪었습니다. 이는 범죄 행위의 결과일 뿐만 아니라 의료 작업자 자체의 부적절한 데이터 보호 및 오용의 결과이기도 합니다.

Microsoft 비즈니스 클라우드 서비스 및 상업적 지원은 데이터와 데이터에 액세스하는 모든 디바이스가 매우 안전하도록 설계, 개발 및 운영됩니다. Microsoft 보안 전략의 지도 원칙은 Microsoft 시스템의 침해를 가정하고 손상과 탐지 사이의 시간을 줄이는 것입니다. Microsoft의 글로벌 인시던트 대응 팀은 24시간 내내 운영되어 Microsoft 클라우드에 대한 모든 공격의 효과를 완화합니다.

Microsoft 시스템 및 소프트웨어는 조직이 새롭게 출현한 사이버 위협으로부터 무장하고 모바일 인력을 관리하며 정부 규정을 준수하도록 돕는 기술 포트폴리오와 함께 강력한 보안 컨트롤로 데이터를 보호하는 데 도움을 줍니다.

|

Microsoft Antimalware 같은 최신 스팸 방지 기술 레이어는 스팸, 바이러스 및 기타 악성 소프트웨어(알려진 것과 알려지지 않은 것 모두 포함)를 식별하고 제거하는 데 도움을 줍니다. Microsoft는 서버, 네트워크 및 응용 프로그램을 모니터링하여 침입을 탐지하고 공격을 방지하며 이러한 방어를 지속적으로 강화합니다. 또한 공격이 발생할 경우 네트워크를 방어하고 빠르게 복구하도록 작동하는 시스템이 마련되어 있습니다.

 

자세한 정보

데이터가 있는 위치와 관계없이(로컬 서버, 공용 클라우드, 휴대용 디바이스 등) Microsoft는 네트워크에 액세스하는 주체가 자신이 주장하는 주체가 맞는지 확인하고, 데이터에 대한 해당 주체의 액세스가 제어되도록 하며, PHI를 볼 수 있는 권한이 있는 주체만 그렇게 할 수 있도록 지원합니다.

 

자세한 정보

데이터 암호화는 암호 해독 키가 없는 사람이 읽을 수 없습니다. Microsoft는 업계 표준 보안 전송 프로토콜을 사용하여 데이터가 디바이스와 Microsoft 데이터 센터 간에 이동할 때나 데이터 센터 내에서 이동할 때 데이터를 암호화합니다. Microsoft는 미사용 데이터를 보호하기 위해 다양한 기본 제공 암호화 기능을 제공합니다.

 

자세한 정보

Microsoft 비즈니스 제품 및 클라우드 서비스는 ISO/IEC 27001ISO/IEC 27018 같은 업계 표준에 따라 독립 외부 감사자의 감사를 받습니다. 또한 Microsoft는 HIPAA 및 HITECH Act와 MARS-E(Minimum Acceptable Risk Standards for Exchanges)를 지원합니다.

HIPAA 및 HITECH Act는 개별적으로 식별 가능한 의료 정보의 사용, 공개 및 보호에 대한 요구 사항을 설정하는 미국 의료법입니다. 이 법에서는 의료 조직이 환자의 PHI에 액세스하고 이를 처리하는 Microsoft 같은 서비스 공급 기업과 계약을 맺도록 요구합니다. 이 계약 또는 BAA(비즈니스 협력 계약)는 클라우드 서비스에서 PHI를 처리하는 방법을 명확히 하고 제한하며, 각 당사자의 이 법 내 보안 및 개인 정보 보호 조항 준수를 명시합니다.

 

Microsoft는 비즈니스 협력자로서의 역할을 지원하기 위해 HIPAA에서 요구하는 물리적, 기술적 및 관리상의 보호책을 구현했으며, PHI 침해가 발생할 경우 개인 및 정부에 알림을 제공하도록 요구하는 HITECH Act를 준수합니다. 현재 이 법 준수에 관한 공식적인 인증은 없지만, BAA가 적용되는 Microsoft 서비스는 공인된 독립 타사의 감사를 받았습니다. 예를 들어 Microsoft의 ISO/IEC 27001 감사 범위는 HIPAA 보안 방식을 처리하는 컨트롤을 포함합니다.

 

Microsoft는 Microsoft HIPAA BAA에 따라 다른 모든 클라우드 공급 기업보다 많은 적용된 서비스를 제공합니다. Microsoft는 Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 및 Microsoft Power BI를 통해 생산성 및 공동 작업, 환자 관계 관리, 분석, 응용 프로그램 호스팅, 데이터 저장소, 응용 프로그램 및 디바이스 관리를 포함하는 포괄적인 통합 솔루션을 제공합니다.

 

BAA 제공에서 Microsoft는 조직의 Microsoft 서비스 특정 사용이 HIPAA 및 HITECH Act를 준수하도록 하는 책임이 조직에 있더라도 HIPAA 규정 준수를 지원합니다. 이 목표를 위해 Microsoft는 AzureDynamics 365 및 Office 365HIPAA/HITECH Act 구현 지침Microsoft Azure를 사용하여 보안 상태 솔루션을 디자인할 수 있는 실용적인 가이드 같은 리소스를 제공합니다.

CMS(Center for Medicare and Medicaid Services)는 보호된 데이터의 의료 교환에서 기밀성, 무결성 및 가용성을 처리하는 프레임워크가 포함된 MARS-E(Minimum Acceptable Risk Standards for Exchanges)를 게시했습니다. MARS-E 2.0 프레임워크는 이 보호된 데이터 보호를 목표로 한 정보를 제공하며 교환 또는 마켓플레이스를 비롯한 엔터티를 관리하는 모든 미국 건강보험개혁법(ACA: Affordable Care Act)에 적용됩니다.

 

현재 MARS-E에 대한 공식적인 인증 및 공인 프로세스는 없지만, Azure 플랫폼 서비스는 독립 FedRAMP 감사를 받았으며 해당 표준에 따라 인증되었습니다. 이 표준이 특별히 MARS-E에 초점을 둔 것은 아니지만, MARS-E 제어 요구 사항 및 목표는 긴밀하게 조정되어 있으며 Azure가 데이터의 기밀성, 무결성 및 가용성을 보호하는 데 적절하게 도움을 준다는 보증을 제공합니다.

오랜 세월에 걸쳐 유효성이 입증된 Microsoft의 개인 정보 보호에 대한 접근 방식은 Microsoft 개인 정보 보호 표준Microsoft 보안 개발 수명 주기에 기반을 두고 있습니다. 타사 감사 및 인증은 Microsoft의 엄격한 기술 개발 표준을 검증하며 개인 정보 보호와 데이터 보호가 체계적으로 구현되었음을 보장하는 데 도움을 줍니다. 예를 들어 Microsoft는 클라우드 개인 정보 보호에 관한 첫 번째 국제 강령인 ISO/IEC 27018을 포함한 첫 번째 주요 클라우드 공급 기업이었습니다. 또한 Microsoft는 강력한 계약 내용으로 이러한 보호를 지원합니다.

 

궁극적으로 Microsoft는 데이터의 수집, 사용 및 배포에 대한 제어 기능을 제공합니다.

  • Microsoft는 Microsoft와 귀하가 동의한 서비스를 제공하는 데 한해서만 고객 데이터를 사용합니다. Microsoft는 고객 데이터를 마케팅 목적으로 검색하거나 다른 사람에게 판매할 제품으로 취급하지 않습니다.
  • 귀하는 귀하의 고객 데이터가 전 세계 Microsoft 데이터 센터가 저장되는 위치를 압니다. 귀하는 어떤 사람이 어떤 상황에서 고객 데이터에 액세스할 수 있는지, 그리고 고객 데이터가 어떻게 책임감 있게 보호, 전송 및 삭제되는지를 압니다.
  • 많은 고객의 데이터가 공유된 실제 위치에 저장된 경우 Microsoft는 논리적 격리를 사용하여 각 고객의 클라우드 서비스 데이터를 다른 고객의 클라우드 서비스 데이터와 분리합니다.

추가 리소스

Microsoft 엔터프라이즈 의료 서비스 솔루션

클라우드에서 데이터 및 개인 정보 보호

MARS-E(Minimum Acceptable Risk Standards for Exchanges)

ISO/IEC 27001

FedRAMP(Federal Risk and Authorization Management Program)


HIPAA 및 HITECH 리소스

HIPAA 및 HITECH Act

Azure를 사용하여 안전한 의료 솔루션을 설계하기 위한 실무 가이드


HIPAA/HITECH Act 구현 지침

Azure HIPAA/HITECH 구현 지침

Dynamics 365 및 Office 365 HIPAA/HITECH 구현 지침