HIPAA vs GDPR: 의료 데이터 보호 규제 비교와 실무 대응 전략

데이터 범위 정의

PHI(Protected Health Information) – 개인 식별 가능한 건강정보

개인정보(PII) + 민감정보(Special Category Data: 건강·유전·생체 정보 포함)

GDPR이 범위가 더 넓음 (의료 외 민감정보까지 포함)

데이터 최소화

최소 필요 정보만 사용 (Minimum Necessary Standard)

Art. 5(1)(c) 데이터 최소화 원칙

불필요한 수집·보관 금지 원칙 동일

환자/정보주체 권리

진료기록 열람, 사본 요청, 정정 요청

Art. 15~20 접근·정정·삭제·이동권

GDPR이 권리 범위가 더 넓음(삭제권, 자동화 결정 거부권 포함)

보안 통제

Security Rule – 기술·물리·관리적 보호조치

Art. 32 기술적·조직적 보호조치

암호화, 접근통제, 감사 로그 요구사항 유사

위험평가

정기 위험 분석(Security Risk Analysis)

Art. 35 개인정보 영향평가(DPIA)

고위험 처리 사전 평가 필요, 방식은 다름

침해사고 대응

Breach Notification Rule – 60일 이내 통지

Art. 33~34 – 72시간 내 감독기관 통지, 필요 시 정보주체 통지

GDPR이 통지 기한이 더 엄격

위탁·제3자 계약

BAA(Business Associate Agreement) 필수

DPA(Data Processing Agreement) 필수

계약서에 보안·개인정보 요구사항 명시

기록 유지 기간

PHI 관련 기록 6년 보관

필요 기간만 보관(Art. 5(1)(e))

HIPAA가 구체적으로 보관기간 명시

교육·훈련

정기 보안·프라이버시 교육 의무

Art. 39 DPO 의무 및 교육 권장

교육 필수, DPO 제도는 GDPR에만 명시

감사·점검

OCR 감사 가능

각국 감독기관 감사 가능

규제기관 감사 대응 필수

개인정보·PHI 보호 정책서

조직의 데이터 보호 원칙 및 규정 준수 선언

목적, 범위, 정의, 보호 원칙, 역할과 책임, 규정 준수 의무

데이터 처리 활동 기록(ROPA)

GDPR Art. 30 및 HIPAA 기록 요구사항 충족

처리 목적, 데이터 범주, 보관 기간, 처리자·수탁자 목록

위험평가 보고서

HIPAA Security Rule 위험 분석 + GDPR DPIA 병행

위험 식별, 영향 분석, 대응 조치, 잔여 위험 평가

접근통제 정책

시스템·데이터 접근 권한 관리

권한 부여·변경·회수 절차, 최소 권한 원칙, MFA 사용

침해 대응 절차서

침해 사고 감지·보고·대응 절차

사고 식별, 초기 대응, 보고 라인, 72시간/60일 보고 템플릿

데이터 주체 권리 절차서

환자/정보주체 요청 대응 절차

열람, 정정, 삭제, 이동권 처리 절차 및 기한

서드파티 계약서 템플릿

BAA + DPA 결합

서비스 범위, 보안 요구사항, 위반 시 책임, 보고 의무

백업·복구 절차 문서

데이터 가용성 보장

백업 주기, 암호화 방식, 복구 테스트 계획

교육 기록 양식

교육 및 훈련 이력 관리

교육일자, 대상, 강사, 교육 내용, 서명

로그 및 감사 기록 관리 표준

접근·변경·삭제 기록 보관

로그 범위, 보관기간(최소 6년), 분석 방법