• 검색 결과가 없습니다.

규제를 중심으로, 디지털 헬스케어 제품과 관련해서는 AI 의료기기 등에 적용되는 특례 특히, 국민건강보험 요양급여 비용 청구와 관련한 규제를 중심으로 살펴보려 한다.

제 2 절 디지털 헬스케어 규제 관련 해외 사례

제 1 항 서설

이 절에서는 앞서 논의된 디지털 헬스케어 문제의식에 관한 개선방안 을 모색하기 위하여 3가지 분석틀 즉, 디지털 헬스케어 데이터 규제, 디 지털 헬스케어 서비스 규제, 디지털 헬스케어 제품 규제와 관련한 해외 의 법제를 비교해보는 것을 목표로 하고자 한다. 이때 ① 디지털 헬스케 어 디지털 헬스케어 데이터 규제의 경우 미국, EU, 핀란드, 일본의 사례 를 살펴보고, ② 디지털 헬스케어 서비스 규제의 경우 미국, 프랑스의 사 례를, ③ 디지털 헬스케어 제품 규제의 경우는 미국, 독일의 사례를 개략 적으로 살펴보고자 한다. 이때 서비스 규제는 원격의료를 중심으로, 제품 규제는 의료기기를 중심으로 살펴보고자 한다.

제 2 항 디지털 헬스케어 데이터 규제

보(health information)’에 대하여 구전이나 기록된 어떤 형태나 매개에 의해서 전해지는 다음 각 호의 정보로서 (A)헬스케어 제공자, 헬스 계 획, 공중 보건 당국, 고용주, 생명 보험자, 학교, 대학 또는 헬스케어 클 리어링 하우스(Health care clearinghouse)가 만들고 수령하는 정보이거 나, (B)개인의 과거, 현재 또는 미래의 신체적 또는 정신적 건강이나 상 태, 개인에 대한 건강 관리 제공 또는 개인에 대한 건강 관리 제공에 대 한 과거, 현재 또는 미래의 지불내역과 관련되는 것이다.335)

이러한 정보에 대하여 HIPAA 프라이버시 규칙에서는 건강정보 관리 자에게 건강정보의 제공에 허락을 받았거나 제공이 요구되는 경우를 제 외하고는 공개가 금지되지만336) 개인을 식별하는데 사용될 수 있다는 합 335) 42 U.S. Code § 1320d (4)

(2)Health care clearinghouse

The term “health care clearinghouse” means a public or private entity that processes or facilitates the processing of nonstandard data elements of health information into standard data elements.

(3)Health care provider

The term “health care provider” includes a provider of services (as defined in section 1395x(u) of this title), a provider of medical or other health services (as defined in section 1395x(s) of this title), and any other person furnishing health care services or supplies.

(4)Health information

The term “health information” means any information, whether oral or recorded in any form or medium, that—

(A)is created or received by a health care provider, health plan, public health authority, employer, life insurer, school or university, or health care clearinghouse; and

(B)relates to the past, present, or future physical or mental health or condition of an individual, the provision of health care to an individual, or the past, present, or future payment for the provision of health care to an individual.

…336) 45 CFR § 164.502

리적인 근거가 없는 경우에는 사용이 가능하다. 이를 위해서는 적절한 지식과 경험을 가진 전문가로부터 식별이 불가능하다는 분석 결과가 있 어야 하고, 18가지 식별자가 삭제된 경우여야 한다.337)

그러므로 이러한 규칙에 따르면 미국의 경우에는 건강정보 전반에 대 하여 건강정보의 출처인 개인에 대한 식별이 불가능한 경우라면 개인의 동의 없이도 자유롭게 활용이 가능하다고 평가할 수 있는 것이다.

또한, 디지털 헬스케어 데이터를 활용 중 유출되는 경우, 헬스케어 데 (a) Standard. A covered entity or business associate may not use or disclose protected health information except as permitted or required by this subpart or by subpart C of part 160 of this subchapter.

337) 45 CFR § 164.514

(a) Standard: De-identification of protected health information. Health information that does not identify an individual and with respect to which there is no reasonable basis to believe that the information can be used to identify an individual is not individually identifiable health information.

(b) Implementation specifications: Requirements for de-identification of protected health information. A covered entity may determine that health information is not individually identifiable health information only if:

(1) A person with appropriate knowledge of and experience with generally accepted statistical and scientific principles and methods for rendering information not individually identifiable:

(i) Applying such principles and methods, determines that the risk is very small that the information could be used, alone or in combination with other reasonably available information, by an anticipated recipient to identify an individual who is a subject of the information; and

(ii) Documents the methods and results of the analysis that justify such determination; or

(2)

(i) The following identifiers of the individual or of relatives, employers, or household members of the individual, are removed:

이터를 활용한 서비스 혹은 제품에 의하여 손해를 입히는 경우 등이 있 을 수 있다. 이 절에서 데이터의 유출에 초점을 맞추어 미국의 경우를 살펴보게 되면 HIPAA에 의해 형사적으로 규율되고, 추가로 민사적 손 해배상책임을 묻는 것이 가능할 것이다.

이 경우 HIPAA의 규정에 초점을 맞추어 보면 고의로 고유한 건강식 별자를 사용하거나 사용되도록 하는 경우, 개인과 연관된 식별가능한 건 강정보를 얻는 경우, 식별가능한 건강정보를 다른 사람에게 공개하는 경 우, 만약 건강정보를 상업적 이익을 취득하기 위한 이유 등으로 그러하 였다면 최대 25만달러 이하의 벌금형과 10년 이하의 징역형에 처해질 수 있도록 한 것이다.338)

338) 42 U.S. Code § 1320d –6 (a)Offense

A person who knowingly and in violation of this part—

(1)uses or causes to be used a unique health identifier;

(2)obtains individually identifiable health information relating to an individual;

or

(3)discloses individually identifiable health information to another person, shall be punished as provided in subsection (b). For purposes of the previous sentence, a person (including an employee or other individual) shall be considered to have obtained or disclosed individually identifiable health information in violation of this part if the information is maintained by a covered entity (as defined in the HIPAA privacy regulation described in section 1320d–9(b)(3) of this title) and the individual obtained or disclosed such information without authorization.

(b)Penalties

A person described in subsection (a) shall—

(1)be fined not more than $50,000, imprisoned not more than 1 year, or both;

(2)if the offense is committed under false pretenses, be fined not more than

$100,000, imprisoned not more than 5 years, or both; and

(3)if the offense is committed with intent to sell, transfer, or use individually identifiable health information for commercial advantage, personal gain, or malicious harm, be fined not more than $250,000, imprisoned not more than

문서에서 비영리-변경금지 2.0 - S-Space (페이지 161-165)