← Resources
USECASE · 2026-03-12
헬스케어를 위한 프라이빗 AI: 클라우드 락인 없는 HIPAA 정렬 워크스페이스
HIPAA 정렬 AI는 PHI를 제3자 모델로 보내는 것을 요구하지 않습니다. 온디바이스 우선 워크스페이스에 선택적 BYOK 클라우드 폴백, 감사 로그, RBAC, 그리고 클라우드를 사용하는 경우의 서명된 BAA를 갖추면 대부분의 적용 대상 기관 요건을 충족할 수 있습니다.
HIPAA가 AI 어시스턴트에 실제로 요구하는 것
*본 문서는 일반 가이드이며 법률 또는 컴플라이언스 조언이 아닙니다. 귀하의 적용 대상 기관의 개인정보 보호 책임자가 최종 결정권자입니다.*
HIPAA는 도구가 아니라 데이터를 중심으로 작성되었으므로, AI 어시스턴트는 보호 대상 의료 정보를 다루는 다른 인력 또는 비즈니스 어소시에이트와 동일하게 취급됩니다. Privacy Rule은 PHI의 허용된 사용과 공개, 최소 필요 기준을 규정합니다. Security Rule은 접근 통제, 감사 통제, 무결성, 전송 보안, 문서화된 위험 분석을 포함한 관리적, 물리적, 기술적 안전장치를 요구합니다. Breach Notification Rule은 비보안 PHI가 인가 없이 공개되었을 때 영향받은 개인, HHS, 그리고 더 큰 사고의 경우 언론에 통지할 의무를 설정합니다.
최근 HHS 규정 제정은 ePHI를 생성, 수신, 유지, 전송하는 AI 시스템이 다른 자산처럼 인벤토리되고 위험 분석되어야 하며, 전송 및 저장 시 암호화, 다중 인증, 적시 사고 대응을 포함해야 한다는 신호를 보내고 있습니다. 차트를 읽는 주체가 모델이라고 해서 의무가 바뀌지는 않습니다.
ChatGPT, Copilot, Gemini가 PHI에 부족한 이유
ChatGPT, Microsoft Copilot, Google Gemini의 컨슈머 티어는 기본 상태로는 PHI에 적합하지 않습니다. 무료 및 표준 구독에는 BAA가 없으며, 기본 약관 하에서 프롬프트가 보존되거나 모델 개선에 사용될 수 있습니다.
구분이 필요한 미묘한 점: 각 벤더는 BAA 하에 들여올 수 있는 엔터프라이즈 구성을 제공합니다. OpenAI는 API와 영업 관리 계정을 통한 ChatGPT Enterprise 또는 Edu에 대해 BAA를 서명합니다. Microsoft는 Azure OpenAI Service와 특정 Microsoft 365 Copilot 테넌트에 대해 BAA 적용을 제공하지만, GitHub Copilot과 기타 컨슈머 표면은 제외됩니다. Google은 자격 있는 Workspace 티어 내 Gemini에 대해 BAA를 지원하지만 NotebookLM과 Gemini-in-Chrome 표면은 명시적으로 제외합니다.
실용적 리스크는 인력 드리프트입니다. 브라우저 탭의 무료 챗봇에 임상의가 퇴원 요약을 붙여넣는 것은, 엔터프라이즈 계약이 무엇을 말하든 기본적으로 모든 BAA 외부의 공개입니다.
온디바이스 우선 아키텍처: 로컬 모델 + 옵트인 BYOK
HIPAA 노출을 최소화하는 아키텍처는 일반적인 SaaS 패턴을 뒤집습니다. 기본 모델은 사용자 기기에서 실행되며, 보통 로컬에서 서빙되는 양자화된 오픈웨이트 LLM이므로 프롬프트와 생성은 엔드포인트를 떠나지 않습니다. 임상의가 더 강력한 추론 모델을 필요로 할 때, 워크스페이스는 조직의 자체 API 키를 사용하여 해당 프로바이더의 BAA 하에서 명시적인 요청별 또는 워크스페이스별 옵트인으로 클라우드 프로바이더로 폴백할 수 있습니다.
이것이 osFoundry의 패턴입니다. 로컬 llama.cpp 런타임이 일급 디폴트이고, 어떤 클라우드 호출도 적용 대상 기관이 독립적으로 계약한 벤더에 대한 BYOK입니다. 임상의와 모델 사이에 공유 멀티테넌트 추론 풀이 존재하지 않습니다.
컴플라이언스 이점은 구체적입니다. 로컬에서 처리할 수 있는 워크로드는 클라우드 공개 이벤트를 생성하지 않습니다. 클라우드 용량이 필요한 워크로드는 추적되고 귀속 가능하며, 적용 대상 기관이 이미 검증한 BAA의 적용을 받습니다.
감사, RBAC, DLP, 최소 필요 원칙의 실무
기술적 안전장치는 대부분의 AI 파일럿이 첫 내부 감사에서 실패하는 지점입니다. 네 가지 통제가 무거운 역할을 합니다.
감사 로그는 누가 프롬프트했는지, 어떤 모델이 답했는지, 어떤 데이터 소스가 첨부되었는지, 무엇이 반환되었는지를 변조 증거가 있는 저장소와 기록 보존 정책에 맞는 보존 기간으로 캡처해야 합니다. RBAC는 모델 접근, 데이터셋 접근, 도구 접근을 직무 역할에 바인딩하여, 프런트 데스크 계정이 종양학 코퍼스를 질의할 수 없고 청구 역할이 임상 노트 생성기를 트리거할 수 없게 해야 합니다.
DLP는 프롬프트 경계에 속합니다. 모든 클라우드 호출 전에 식별자에 대한 패턴 및 분류기 기반 리덕션은 학습만으로가 아니라 프로그램적으로 최소 필요 기준을 강제합니다. 워크스페이스별 데이터 거주성은 한 진료의 데이터가 다른 진료의 데이터와 혼재되지 않게 합니다.
이 중 어느 것도 AI 특화 발명품은 아니지만, 함께 모이면 개인정보 보호 책임자가 모델이 차트에 접근하는 것을 승인할 수 있게 합니다.
세 가지 워크플로: 인테이크 노트, 사전 승인, 운영 Q&A
인테이크와 진료 노트는 가장 가치 있는 로컬 워크로드입니다. 임상의가 구술하고, 로컬 모델이 구조화된 노트를 작성하며, 임상의가 서명하고 EHR이 기존 인터페이스로 게시된 기록을 받을 때까지 아무것도 기기를 떠나지 않습니다. 현대 노트북에서 지연은 허용 가능하며 PHI 노출 표면은 기기뿐입니다.
사전 승인은 검색의 이득을 봅니다. 모델은 환자 차트와 지불 기관이 공개한 의료 정책 문서로부터 인용을 포함한 초안 서신을 조립합니다. 작성에 더 강력한 클라우드 모델이 호출되는 경우, 차트 발췌는 프롬프트 경계에서 비식별화되고 응답 반환 후 기기에서 재식별화됩니다.
HR 정책, 청구 코드, SOP 전반에 걸친 운영 Q&A는 PHI를 거의 필요로 하지 않으며, PHI 차단 DLP가 갖춰진 상태에서 완전히 로컬 또는 클라우드 모델로 실행될 수 있습니다. 이런 식으로 워크로드를 분할하면 가장 높은 리스크 트래픽은 기기에, 가장 낮은 리스크 트래픽은 클라우드에 둘 수 있습니다.
BAA와 벤더 리스크: 어떤 AI 벤더에게든 물어야 할 것
서명 전 짧은 목록을 살펴보십시오. 벤더가 형제 제품이 아니라 실제로 사용할 정확한 제품 표면을 다루는 BAA를 체결할까요? 어떤 특정 엔드포인트, 모델, 콘솔이 범위에 있고, 어떤 것이 서면으로 제외됩니까? 프롬프트, 완성, 임베딩, 파인튜닝 아티팩트에 대한 데이터 보존 디폴트는 무엇이며 0으로 설정할 수 있습니까?
서브프로세서 목록과 변경 시 통지 메커니즘을 요청하십시오. 전송 및 저장 시 암호화, 키 관리 자세, 고객 관리 키 가용 여부를 확인하십시오. 자체 60일 환자 통지 의무를 여유 있게 충족할 수 있는 침해 통지 일정을 요구하십시오.
가장 최근의 SOC 2 Type II와 모든 HITRUST 인증, 침투 테스트 주기, 사고 대응 런북을 요청하십시오. 마지막으로 벤더가 귀하 테넌트의 데이터로 공유 모델을 학습시키지 않을 것임을 서면으로 확인하십시오.
30일 파일럿 롤아웃
1주차는 범위 설정입니다. 개인정보 보호 책임자, 임상 스폰서, IT가 2-3개 워크플로를 선정하고, 데이터 흐름도를 작성하며, 위험 분석을 갱신합니다. 어떤 단계가 로컬 전용일 수 있고 어떤 단계가 클라우드를 필요로 하는지 식별하고, 모든 클라우드 표면에 대한 BAA 적용을 확인합니다.
2주차는 프로비저닝입니다. 직책에 매핑된 RBAC 역할로 워크스페이스를 세우고, SIEM에 대한 감사 로깅을 활성화하며, 프롬프트 경계에서 DLP 리덕션 규칙을 구성하고, 파일럿 기기에 로컬 모델을 로드합니다. 롤백 계획을 문서화합니다.
3주차는 임상의 5-10명과의 감독 하 파일럿입니다. 절약된 시간, 사람 검토 골드 셋 대비 오류율, 모든 DLP 트리거를 추적합니다. 주중에 개인정보 보호 책임자와 중간 리뷰를 가집니다.
4주차는 진행/중단 결정입니다. 정책과 교육 자료를 갱신하고, 해당되는 경우 환자 대상 AI 사용 공개를 마무리하며, 다음 코호트의 확장 기준을 결정합니다.
Frequently asked questions
- 기기에서 모델을 돌리면 BAA 필요성이 완전히 사라지나요?
- 로컬 추론 자체에 대해서는 그렇습니다. PHI가 제3자에게 공개되지 않기 때문입니다. 소프트웨어 벤더의 역할은 여전히 고려해야 합니다. 로컬 런타임, 워크스페이스 셸, 또는 관리 평면이 텔레메트리, 로그, 지원 세션을 통해 PHI를 수신할 수 있다면, 벤더는 비즈니스 어소시에이트로 행동하며 BAA가 적절합니다. 안전한 패턴은 벤더가 기본적으로 기기로부터 PHI를 수신하지 않는다는 것을 서면으로 확인하고, 콘텐츠를 운반할 수 있는 모든 선택적 텔레메트리를 비활성화하는 것입니다. 클라우드 폴백은 항상 클라우드 모델 프로바이더와의 BAA를 요구합니다.
- ChatGPT, Copilot, Gemini를 HIPAA 워크플로에서 사용할 수 있나요?
- 가능하지만, 벤더가 BAA 하에 적용하기로 동의한 특정 엔터프라이즈 구성과 그 계약에 명시적으로 명명된 표면에 한해서만 가능합니다. OpenAI는 API와 특정 ChatGPT Enterprise 또는 Edu 테넌트를 다룹니다. Microsoft는 Azure OpenAI Service와 자격 있는 Copilot 테넌트를 다룹니다. Google은 NotebookLM과 Gemini in Chrome을 제외한 자격 있는 Workspace 티어의 Gemini를 다룹니다. 무료 및 표준 컨슈머 티어는 적용되지 않습니다. 더 어려운 문제는 인력 행동입니다. 네트워크 또는 브라우저 계층에서 컨슈머 표면을 차단하는 것이 계약만큼 중요합니다.
- AI 감사 로그는 전통적인 EHR 접근과 어떻게 다른가요?
- 전통적인 EHR 감사 로그는 사용자, 시간, 행동별 기록 접근을 캡처합니다. AI 감사 로그는 프롬프트, 모델과 버전, 검색된 컨텍스트, 응답, 사용자, 워크스페이스, 모델이 호출한 모든 도구를 캡처해야 합니다. BYOK 폴백이 사용될 때의 클라우드 라우팅 결정도 캡처해야 합니다. EHR 로그와 함께 동일한 보존 정책 하에 보관하고, 변조 증거 저장소에 저장하며, 보안 팀이 이미 모니터링하는 동일한 SIEM에 공급하여 AI 활동이 별도 사일로가 아니라 일반 사고 대응의 일부가 되도록 하십시오.
- 2026년 새 Security Rule 변경 사항은 어떤가요?
- 최근 HHS 규정 제정은 이전에 'addressable'이었던 여러 안전장치를 'required'로 이동시키며, 암호화, 다중 인증, ePHI를 처리하는 AI 시스템을 포함하는 자산 인벤토리, 더 엄격한 사고 보고 일정을 강화합니다. 모든 AI 어시스턴트를 위험 분석을 위한 범위 내 자산으로 다루고, 데이터 흐름을 문서화하며, 사고 대응 런북이 짧아진 통지 윈도우를 충족할 수 있는지 확인하십시오. 정확한 발효일과 귀 조직에 적용되는 전환 기대치에 대해 개인정보 보호 책임자와 조율하십시오. 집행 자세와 모든 연장은 발표 후 변경될 수 있습니다.
Sources