m

HIPAA 준수 및 SurveyMonkey

저한테 HIPAA가 해당되나요? "적용 대상"(HIPAA에서 정의된 대로)이며 SurveyMonkey를 사용하여 기밀 건강 정보 즉 PHI(개인이 받은 의료 서비스에 대한 정보와 연결된 개인의 이름이나 연락처 정보 같이 특정한 개인과 연결 지을 수 있는 건강 상태, 의료 서비스의 제공, 의료 서비스 비용의 지불 등에 대한 정보)를 수집하거나 저장하는 경우에는 SurveyMonkey 사용에 HIPAA가 적용됩니다.

Health Insurance Portability and Accountability Act of 1996 (HIPAA)은 “보호되는 건강 정보”(PHI)의 수집 및 취급을 규제하는 미국 법규입니다. “적용 대상”이라고 물리는 특정 회사 및 단체와 비즈니스 제휴사는 HIPAA를 준수해야 합니다.

SurveyMonkey에서 "HIPAA 준수"라는 말은 적용 대상이 HIPAA를 준수하는 방식으로 설문조사를 통해 PHI를 수집 및 관리할 수 있게 하는 서비스를 제공한다는 뜻입니다. 이러한 서비스 제공의 일환으로 SurveyMonkey는 그러한 법규와 적용 대상 사용자의 비즈니스 제휴사로서 SurveyMonkey의 역할과 호환되고 일관된 방식으로 운영할 것을 보장합니다.

계정 또는 팀에서 HIPAA 준수 기능을 사용하려면 SurveyMonkey와 비즈니스 제휴 계약(BAA)을 체결해야 합니다. 이용 약관에 따라 SurveyMonkey는 비즈니스 제휴 계약(BAA)이 체결된 상태에서 “HIPAA 기능을 사용하는 계정”을 통해 수행되는 경우에만 규제되는 대상에 의한 PHI 수집을 허용합니다. 하지만 설문조사에서 수집하는 PHI와 관련하여 HIPAA의 규제를 받지 않는 경우에는 SurveyMonkey와 BAA를 체결하지 않아도 됩니다.

HIPAA 기능

SurveyMonkey의 비즈니스 제휴 계약(BAA)

SurveyMonkey는 HIPAA 요건을 충족시키고 적용 대상이 SurveyMonkey 계정 내에서 체결할 수 있도록 해주는 표준 양식 BAA를 제공합니다. 적용 대상이 BAA를 수락하면 수락 날짜와 함께 대표로 서명하는 개인의 이름과 직책이 기록됩니다. 회원정보 페이지에서 BAA 사본을 다운로드하거나 나중에 참조할 수 있습니다. BAA를 수락하면 계정이 HIPAA 기능을 사용하는 계정으로 전환됩니다.

일부 적용 대상은 비즈니스 제휴사와의 BAA에 포함시켜야 하는 특정 항목을 가지고 있다는 사실을 인정합니다. SurveyMonkey는 HIPAA 기능을 사용하는 계정을 추가 비용 없이 제공하기 때문에 고객 양식 BAA에 대해 협상하지 않습니다. 하지만 요금을 지불할 경우 표준 BAA에 대해 협상할 수 있습니다.

맞춤형 BAA에 관심이 있으시면 아래 양식을 작성해 주세요. 비즈니스 제휴 계약(BAA) 협상

SurveyMonkey가 이용하는 HIPAA 보안 수단

HIPAA에서 요구하는 대로, SurveyMonkey는 HIPAA 기능 사용 계정과 관련하여 적용 대상을 대신하여 SurveyMonkey에서 수신, 유지관리 및 전송하는 전자적으로 보호되는 건강 정보의 기밀성, 무결성, 가용성을 합당하고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행합니다. 이러한 보호 조치는 다음과 같이 보안 규칙에서 요구하는 수단을 포함합니다.

  • 보호 조치를 관련성 있고 효과적으로 유지하기 위해 정기적인 시스템 위험 평가
  • HIPAA의 보안 요건 준수를 담당하는 보안 팀 배정
  • 고객의 PHI에 접하는 SurveyMonkey 직원의 선별, 승인 및 교육
  • 데이터 백업 계획
  • 재해 복구 계획
  • 정기적인 시스템 모니터링, 업데이트 및 패치 적용
  • 영향을 받는 적용 대상에게 보안 사건에 대해 보고하는 것을 포함한 사건 대처 계획
  • SurveyMonkey 서버와의 모든 커뮤니케이션을 SSL로 암호화

자세한 내용은 SurveyMonkey의 보안 성명을 참조하세요.

기능 목록

HIPAA 준수 기능을 사용할 때 HIPAA에서 요구하는 다음과 같은 기능이 해당 계정에 활성화됩니다. 이러한 기능은 적용 대상이 자체 HIPAA 의무 사항을 준수할 수 있도록 돕습니다.

  • 보안 알림: PHI에 대해 특정의 민감한 작업(예: 제3자와 공유될 가능성이 있는 설문조사 데이터 내보내기)을 수행할 때마다 표시되는 제품 내 메시지를 통해 사용자에게 HIAPP 의무에 대해 알려줍니다.
  • 자동 로그아웃: 30분 동안 아무 활동도 하지 않으면 사용자 세션 시간이 초과됩니다.
  • BAA: 언제든 계정의 BAA 사본을 볼 수 있습니다.
  • 로깅: 계정 액세스 활동 및 설문조사 데이터 수정을 기록합니다. HIPAA 기능을 사용하는 계정과 관련된 다양한 이벤트를 타임스탬프, 확인 가능 아이덴티티(IP 주소 및/또는 계정 아이디) 및 이벤트 유형별로 기록합니다. 기록되는 이벤트 유형에는 다음이 포함됩니다.
    • 계정 로그인 성공 및 실패
    • 계정 수동 로그아웃
    • 계정 비밀번호 재설정 요청
    • 계정 아이디 요청
    • 컬렉터 삭제, 진행 및 종료
    • 설문조사 응답 내보내기
    • 설문조사 응답 공유 및 공유 취소
    • 설문조사 응답 삭제
    • API 애플리케이션 승인 및 승인 취소
    • 다른 계정으로 설문조사 이전
    • 사용자가 이벤트를 수행했는지, 아니면 SurveyMonkey 관리자가 이벤트를 수행했는지

현재 온라인 계정을 통해 이러한 로그에 액세스할 수 있는 방법은 없습니다. SurveyMonkey에 문의하여 로그를 요청할 수 있습니다.

HIPAA 기능 사용 설정

SurveyMonkey와 BAA를 체결함으로써 개인 PLATINUM 서비스나 ENTERPRISE 팀에서 HIPAA 준수 기능을 사용할 수 있습니다.

BAA 체결 단계는 서비스 유형에 따라 다릅니다. 아래에서 관련 섹션을 선택하여 해당 지침을 보세요.

개인 PLATINUM 서비스

SurveyMonkey와 BAA를 체결하려면:

  1. PLATINUM 계정에서 오른쪽 위에 있는 아이디를 클릭합니다.
  2. 회원정보를 선택합니다.
  3. 페이지 아래쪽에 있는 HIPAA 섹션에서 BAA 체결을 클릭합니다.
  4. BAA를 살펴봅니다.
  5. 양식을 완성합니다. 해당 회사나 단체에서 승인된 사람만이 BAA를 체결하도록 해야 합니다. 즉, BAA 수락 양식의 “이름” 필드에 계정 소유자가 아닌 다른 사람의 이름이 필요할 수도 있습니다.
  6. 수락을 클릭합니다.

회원정보 페이지에서 언제든지 BAA를 볼 수 있습니다.

PLATINUM 팀

현재 해당 계정 내의 PLATINUM 팀에서는 HIPAA 준수 기능을 사용할 수 없습니다. 사용할 수 있는 방법이 있는지 알아보려면 SurveyMonkey에 문의하세요.

ENTERPRISE 팀

ENTERPRISE 팀의 주 관리자는 팀에 HIPAA 준수 기능을 사용하도록 설정할 수 있습니다. 팀에 속한 모든 계정에서 HIPAA 기능을 사용할 수 있게 됩니다. 다시 말하면, 그러한 모든 계정이 설문조사에서 PHI를 수집할 수 있도록 허용됩니다.

팀 내 일부 개인 계정에 대해서면 HIPAA 준수 기능을 사용 설정할 수 있는 방법은 없습니다. 팀 전체에 대해서만 HIPAA 준수 기능을 사용 설정할 수 있습니다.

SurveyMonkey와 BAA를 체결하려면:

  1. 주 관리자 계정에서 오른쪽 위에 있는 아이디를 클릭합니다.
  2. 내 팀(또는 내 그룹)을 선택합니다.
  3. 팀 세부정보 아래에서 BAA 체결을 클릭합니다.
  4. BAA를 살펴본 후 양식을 완성하고 수락을 클릭합니다.

모든 팀원은 해당 계정의 회원정보 페이지를 통해 BAA의 사본을 볼 수 있습니다.

계정이나 팀에서 HIPAA 준수 기능을 사용 설정하면 번복할 수 없습니다. 즉, 계정에서 HIPAA 기능을 사용하도록 설정한 후에는 HIPAA 기능을 사용하지 않는 계정으로 되돌릴 수 없습니다. BAA가 종료되는 경우에는 계정도 해지되어야 합니다. 자세한 내용은 아래의 다운그레이드 섹션을 참조하세요.

다운그레이드

아래의 일반적인 질문을 읽고 HIPAA 기능을 사용하는 계정에서 다운그레이드가 어떤 식으로 작동하는지 이해하시기 바랍니다.

HIPAA 기능을 사용하는 제 계정이나 팀을 하위 서비스 유형으로 다운그레이드할 수 있나요?

아니요. 일단 PLATINUM 서비스나 ENTERPRISE 팀에서 HIPAA 준수 기능을 사용하도록 설정한 후에는 HIPAA 기능을 사용하지 않은 일반 계정으로 되돌아 갈 수 없습니다.

계정에서 HIPAA 준수 기능을 취소하거나 하위 서비스로 바꾸고 싶다면 새 계정을 만들어야 합니다. HIPAA 기능을 사용하는 계정에서 일반 계정으로 설문조사를 이전할 수 있지만 PHI가 포함된 설문조사는 이전하지 않도록 각별히 주의해야 합니다. 사용자가 일반 계정에 PHI를 저장하는 것은 허용되지 않으며 일반 계정은 BAA의 적용을 받지 않습니다.

HIPAA 기능을 사용하는 계정이나 팀을 연장하지 않으면 어떻게 되나요?

SurveyMonkey를 더 이상 사용하지 않기로 결정하고 HIPAA 기능을 사용하는 계정을 연장하지 않으면 계정이 일시 중단 상태로 전환됩니다. 일시 중단 상태에 있는 동안 SurveyMonkey는 계정에 포함된 모든 데이터를 보존하고 계속하여 BAA에 따라 다룹니다. 하지만 설문조사 데이터에 계정에 직접 액세스할 수는 없습니다. 단, 청구 및 계정 관리를 위한 제한된 기능을 수행할 경우는 예외입니다.

SurveyMonkey는 계정을 연장하여 일시 중단 상태에서 벗어날 수 있는 기회를 제공하기 위해 BAA에 명시된 기간 동안 일시 중단된 계정을 유지합니다. 일시 중단 기간 종료 시 SurveyMonkey는 계정을 해지하고 모든 데이터를 삭제합니다.

계정이 일시 중단 상태에 있는 동안 SurveyMonkey에 문의하여 모든 설문조사 데이터를 내보낸 사본을 요청하거나 즉시 계정을 해지해 줄 것을 요청할 수 있습니다.

HIPAA 기능을 사용하는 계정을 해지하거나 BAA를 종료하면 어떻게 되나요?

HIPAA 기능을 사용하는 계정이나 팀을 해지하면 BAA가 종료됩니다.

BAA를 종료하면 BAA 약관에 따라 HIPAA 기능을 사용하는 계정이나 팀이 해지됩니다. SurveyMonkey의 표준 BAA는 항상 계정이 해지되기 전에 설문조사 데이터의 사본을 저장할 수 있는 기회를 제공하도록 작성됩니다.

HIPAA 보안 팁

계정이나 팀에서 HIPAA 준수 기능을 사용 설정했으면 반드시 책임감 있고 안전하게 데이터를 취급할 수 있도록 특정 작업 수행 시 다음 모범 사례를 따라 주세요.

작업
HIPAA 보안 팁
설문조사 결과 내보내기개인 컴퓨터에 설문조사 결과를 다운로드하는 경우, 다운로드한 파일에 보안 유지가 필요한 건강 정보가 포함되어 있을 수 있으므로 반드시 올바른 방법으로 그러한 파일을 처리하도록 해야 합니다. 그러한 파일을 암호화하고 암호화된 연결 상태에서만 전송하여 안전하게 보호해야 합니다.
팀원들과 설문조사 공유다른 사람들과 설문조사를 공유할 때, 함께 작업하기로 결정된 사용자들은 수집된 설문조사 응답을 포함하여 공유된 해당 설문조사를 보고 수정할 수 있습니다. 반드시 HIPAA 의무 사항과 부합되게 이 기능을 사용해야 합니다. 해당 설문조사에 대해 작업할 수 있도록 승인받은 사람들과만 공유하여 함께 작업해야 합니다.
다른 계정으로 설문조사 이전다른 SurveyMonkey 계정으로 설문조사를 이전해야 하는 경우, 수신 계정이 설문조사를 이전하려는 계정이 확실한지 반드시 확인해야 합니다. 설문조사를 이전하려면 그 계정의 정확한 아이디를 입력해야 합니다. 이전 절차는 수신 계정 보유자의 조처 없이는 실행 취소될 수 없습니다.

설문조사에 보안 유지가 필요한 건강 정보(PHI)가 포함되어 있는 경우, 반드시 그 PHI가 적합한 수신자에게만 공개되도록 해야 합니다. 즉, PHI를 다른 계정으로 이전하는 경우 그 계정 또한 반드시 HIPAA를 지원하는 계정이어야 합니다.
설문 응답 수집설문조사에 보안 유지가 필요한 건강 정보(PHI)가 포함되어 있는 경우에는 웹 링크 컬렉터를 사용하시기 바랍니다. 또한, 설문조사를 통해 보안 유지가 필요한 건강 정보(PHI)를 수집하거나 HIPAA를 지원하는 계정을 가지고 있는 경우에는 항상 SSL 암호화 기능을 켜두어야 합니다. SSL은 설문조사 및 설문조사 결과를 암호화함으로써 강화된 보안을 제공합니다.

이러한 경우에는 이메일 초대장 컬렉터의 사용을 권하지 않습니다. 이메일 초대장 컬렉터는 수신자의 이메일 주소에 연결된 고유 설문조사 링크가 포함된 설문조사 초대장을 이메일로 보냅니다. 응답자들이 자신들의 응답을 수정할 수 있는 경우, 이메일 초대장의 수신자는 설문조사 전체 또는 일부를 완성한 후 다른 사람에게 자신의 고유 설문조사 링크를 전달할 수 있습니다. 이렇게 하면 두 번째 수신자는 PHI를 포함하고 있을 수도 있는 첫 번째 수신자의 응답을 볼 수 있게 됩니다.
설문조사 결과 공유설문조사 결과에 보안 유지가 필요한 건강 정보가 포함되어 있을 수도 있으므로 HIPAA 의무 사항과 부합되는 방식으로만 설문조사 결과를 공유해야 합니다. 승인된 수신자에게만 결과를 공개해야 합니다.
HIPAA는 “보호되는 건강 정보”(PHI)의 수집 및 취급을 규제하는 미국 법규입니다. “적용 대상”이라고 물리는 특정 회사 및 단체와 비즈니스 제휴사는 HIPAA를 준수해야 합니다. 계정이나 팀에서 HIPAA 기능을 사용 설정하면 설문조사에서 PHI를 수집할 수 있습니다.

답을 얻으세요