HIPAA 준수 및 SurveyMonkey

이 문서의 내용
HIPAA 기능
HIPAA 기능 사용 설정
다운그레이드
HIPAA 보안 팁

Enterprise 추가 기능: HIPAA 준수 계정은 Enterprise 고객에만 이용할 수 있습니다. 관심이 있으면 영업팀에 문의하세요. 이미 Enterprise 계정이 있는 경우에는 고객 성공 관리자(CSM)에게 문의하세요.

저한테 HIPAA가 해당되나요? "적용 대상"(HIPAA에서 정의된 대로)이며 서베이몽키(SurveyMonkey)를 사용하여 보호되는 건강 정보(개인이 받은 의료 서비스에 대한 정보와 연결된 개인의 이름이나 연락처 정보와 같이 특정한 개인과 연결지을 수 있는 건강 상태, 의료 서비스의 제공, 의료 서비스 비용의 지불 등에 대한 정보)를 수집하거나 저장하는 경우에는 서베이몽키(SurveyMonkey) 사용에 HIPAA가 적용됩니다.

Health Insurance Portability and Accountability Act of 1996 (HIPAA)은 “보호되는 건강 정보”(PHI)의 수집 및 취급을 규제하는 미국 법규입니다. “적용 대상”이라고 물리는 특정 회사 및 단체와 비즈니스 제휴사는 HIPAA를 준수해야 합니다.

SurveyMonkey에서 "HIPAA 준수"라는 말은 적용 대상이 HIPAA를 준수하는 방식으로 설문조사를 통해 PHI를 수집 및 관리할 수 있게 하는 서비스를 제공한다는 뜻입니다. 이러한 서비스 제공의 일환으로 SurveyMonkey는 그러한 법규와 적용 대상 사용자의 비즈니스 제휴사로서 SurveyMonkey의 역할과 호환되고 일관된 방식으로 운영할 것을 보장합니다.

이용 약관에 따라 SurveyMonkey는 비즈니스 제휴 계약(BAA)이 체결된 상태에서 “HIPAA 기능을 사용하는 계정”을 통해 수행되는 경우에만 규제되는 대상에 의한 PHI 수집을 허용합니다. 하지만 설문조사에서 수집하는 PHI와 관련하여 HIPAA의 규제를 받지 않는 경우에는 SurveyMonkey와 BAA를 체결하지 않아도 됩니다.

HIPAA 기능

SurveyMonkey가 이용하는 HIPAA 보안 수단
HIPAA에서 요구하는 대로, 당사는 HIPAA 기능 사용 계정과 관련하여 적용 대상을 대신하여 서베이몽키(SurveyMonkey)에서 수신, 유지관리 및 전송하는 전자적 PHI의 기밀성, 무결성, 가용성을 합당하고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행합니다. 이러한 보호 조치는 다음과 같이 보안 규칙에서 요구하는 수단을 포함합니다.
- 보호 조치를 관련성 있고 효과적으로 유지하기 위해 정기적인 시스템 위험 평가
- HIPAA의 보안 요건 준수를 담당하는 보안 팀 배정
- 고객의 PHI에 접하는 SurveyMonkey 직원의 선별, 승인 및 교육
- 데이터 백업 계획
- 재해 복구 계획
- 정기적인 시스템 모니터링, 업데이트 및 패치 적용
- 영향을 받는 적용 대상에게 보안 사건에 대해 보고하는 것을 포함한 사건 대처 계획
- SurveyMonkey 서버와의 모든 커뮤니케이션을 SSL로 암호화
자세한 내용은 SurveyMonkey의 보안 성명을 참조하세요.
기능 목록
HIPAA 준수 기능을 사용할 때 HIPAA에서 요구하는 다음과 같은 기능이 해당 계정에 활성화됩니다. 이러한 기능은 적용 대상이 자체 HIPAA 의무 사항을 준수할 수 있도록 돕습니다.
- 보안 알림: PHI에 대해 특정의 민감한 작업(예: 제3자와 공유될 가능성이 있는 설문조사 데이터 내보내기)을 수행할 때마다 표시되는 제품 내 메시지를 통해 사용자에게 HIAPP 의무에 대해 알려줍니다.
- 자동 로그아웃: 30분 동안 아무 활동도 하지 않으면 사용자 세션 시간이 초과됩니다.
- 로깅: 당사는 계정 액세스 활동 및 HIPAA가 사용 설정된 계정과 관련된 다양한 이벤트를 타임스탬프, ID(IP 주소 및/또는 계정 아이디) 및 이벤트 유형별로 기록합니다. 계정 내에서는 이러한 로그에 액세스할 수 있는 방법이 없지만 당사에 문의하여 로그를 요청할 수 있습니다.

HIPAA 기능 사용 설정

SurveyMonkey는 HIPAA 요건을 충족하는 표준 양식 BAA를 제공합니다. 계정에서 HIPAA 기능을 사용 설정하는 데 관심이 있으면 당사에 문의하세요.

이미 당사와 BAA를 체결한 경우에는 당사에 문의하여 BAA 사본을 받을 수 있습니다.

즉, 계정에서 HIPAA 기능을 사용하도록 설정한 후에는 HIPAA 기능을 사용하지 않는 계정으로 되돌릴 수 없습니다. BAA가 종료되는 경우에는 계정도 해지됩니다. 자세한 내용은 아래의 다운그레이드 섹션을 참조하세요.

다운그레이드

아래의 일반적인 질문을 읽고 HIPAA 기능을 사용하는 계정에서 다운그레이드가 어떤 식으로 작동하는지 이해하시기 바랍니다.

HIPAA 기능을 사용하는 제 계정이나 팀을 하위 플랜 유형으로 다운그레이드할 수 있나요?
아니요. 계정이나 Enterprise 팀에서 HIPAA 준수 기능을 사용하도록 설정한 후에는 HIPAA 기능을 사용하지 않은 일반 계정으로 되돌아 갈 수 없습니다.
계정에서 HIPAA 준수 기능을 취소하거나 하위 서비스로 바꾸고 싶다면 새 계정을 만들어야 합니다. HIPAA 기능을 사용하는 계정에서 일반 계정으로 설문조사를 이전할 수 있지만 PHI가 포함된 설문조사는 이전하지 않도록 각별히 주의해야 합니다. 사용자가 일반 계정에 PHI를 저장하는 것은 허용되지 않으며 일반 계정은 BAA의 적용을 받지 않습니다.
HIPAA 기능을 사용하는 계정이나 팀을 연장하지 않으면 어떻게 되나요?
서베이몽키(SurveyMonkey)를 더 이상 사용하지 않기로 결정하고 HIPAA 기능을 사용하는 계정을 연장하지 않으면 계정이 일시 중단 상태로 전환됩니다. 일시 중단 상태에 있는 동안 서베이몽키(SurveyMonkey)는 계정에 포함된 모든 데이터를 보존하고 계속하여 BAA에 따라 다룹니다. 하지만 설문조사 데이터에 계정에 직접 액세스할 수는 없습니다. 단, 청구 및 계정 관리를 위한 제한된 기능을 수행할 경우는 예외입니다.
서베이몽키(SurveyMonkey)는 계정을 연장하여 일시 중단 상태에서 벗어날 수 있는 기회를 제공하기 위해 일정 기간 동안 일시 중단된 계정을 유지합니다. 계정이 일시 중단되었으며 데이터에 액세스해야 하거나 계정을 해지하고 싶은 경우에는 문의하세요. 일시 중단 기간이 종료되면 서베이몽키(SurveyMonkey)는 계정을 해지하고 계정의 모든 데이터를 삭제합니다.
HIPAA 기능을 사용하는 계정을 해지하거나 BAA를 종료하면 어떻게 되나요?

HIPAA 보안 팁

계정이나 팀에서 HIPAA 준수 기능을 사용 설정했으면 반드시 책임감 있고 안전하게 데이터를 취급할 수 있도록 특정 작업 수행 시 다음 모범 사례를 따라 주세요.

작업	HIPAA 보안 팁
설문조사 결과 내보내기	개인 컴퓨터에 설문조사 결과를 다운로드하는 경우, 다운로드한 파일에 PHI가 포함되어 있을 수 있으므로 반드시 올바른 방법으로 그러한 파일을 처리하도록 해야 합니다. 그러한 파일을 암호화하고 암호화된 연결 상태에서만 전송하여 안전하게 보호해야 합니다.
다른 사람들과 설문조사 공유	설문조사를 공유할 때, 내가 공유하도록 선택한 사람들은 설문조사를 보거나, 가능한 경우 수정하거나, 수집된 설문조사 응답에 액세스할 수 있는 권한이 부여됩니다. 반드시 HIPAA 의무 사항에 부합하는 방식으로만 설문조사를 공유해야 합니다. 해당 설문조사에 대한 작업이 승인된 사람들에 한해서만 설문조사를 공유하세요.
다른 계정으로 설문조사 이전	다른 서베이몽키(SurveyMonkey) 계정으로 설문조사를 이전해야 하는 경우, 수신 계정이 설문조사를 이전하려는 계정이 확실한지 반드시 확인해야 합니다. 설문조사를 이전하려면 그 계정의 정확한 아이디를 입력해야 합니다. 이전 절차는 수신 계정 보유자의 조처 없이는 실행 취소될 수 없습니다.설문조사에 PHI가 포함되어 있는 경우, 반드시 그 PHI가 적합한 수신자에게만 공개되도록 해야 합니다. 즉, PHI를 다른 계정으로 이전하는 경우 그 계정 또한 반드시 HIPAA를 지원하는 계정이어야 합니다.
설문 응답 수집	설문조사에 PHI가 포함되어 있는 경우에는 웹 링크 컬렉터를 사용하시기 바랍니다. 이러한 경우에는 이메일 초대 컬렉터의 사용을 권하지 않습니다. 이메일 초대 컬렉터는 연락처의 이메일 주소에 연결된 고유 설문조사 링크가 포함된 설문조사 초대장을 이메일로 보냅니다. 응답자들이 자신들의 응답을 수정할 수 있는 경우, 이메일 초대의 연락처는 설문조사 전체 또는 일부를 완성한 후 다른 사람에게 자신의 고유 설문조사 링크를 전달할 수 있습니다. 이렇게 하면 두 번째 연락처는 PHI를 포함하고 있을 수도 있는 첫 번째 연락처의 응답을 볼 수 있게 됩니다.
설문조사 결과 공유	설문조사 결과에 PHI가 포함되어 있을 수도 있으므로 HIPAA 의무 사항과 부합되는 방식으로만 설문조사 결과를 공유해야 합니다. 승인된 수신자에게만 결과를 공개해야 합니다.

SurveyMonkey

HIPAA 준수 및 SurveyMonkey

HIPAA 기능

HIPAA 기능 사용 설정

다운그레이드

HIPAA 보안 팁

관련 문서