HIPAA 구성
이 문서에서는 HIPAA를 준수하는 데 필요한 Notion 워크스페이스 구성 방법을 설명해 드립니다 🏥
자주 묻는 질문(FAQ)으로 이동HIPPA(Health Insurance Portability and Accountability Act, 건강 보험 이전과 책임에 관한 법률)는 1996년 제정된 미국 연방법으로, 이 법이 적용되는 의료 서비스 제공자, 의료 보험사, 의료 정보 교환기관(healthcare clearinghouse)과 업무 관련자에게 PHI(Protected Health Information, 보호 대상 건강 정보)의 보호와 기밀 처리를 요구하는 법률입니다.
이 문서에서는 HIPAA를 준수할 수 있는 Notion 워크스페이스 구성 방법을 설명해 드립니다.
참고: Notion 서비스에 저장되는 PHI(Personal Health Information, 개인 건강 정보) 보호는 Notion의 BAA(Business Associate Agreement, 비즈니스 제휴 계약)의 적용을 받습니다.Notion과 BAA를 체결하기 위해서는 엔터프라이즈 요금제를 구독해야 합니다.
Notion 캘린더 및 모든 Notion 캘린더 기능은 BAA의 적용을 받지 않으므로 보호 대상 건강 정보를 처리하는 방식으로 사용하거나 배포할 수 없습니다.
이 페이지의 언어와 BAA에 명시된 언어가 상충하는 경우 언제든지 BAA가 우선 적용됩니다.
Notion이 지원하는 구성 | |
|---|---|
액세스 제어 전자 형식으로 보호되는 건강 정보를 담고 있는 전자 정보 시스템에 대해 기술적 정책과 절차를 적용해야 합니다. 액세스 제어의 목적은 액세스 권한이 부여된 사용자 또는 소프트웨어 프로그램의 액세스만 허용하는 것입니다. | Notion의 SAML SSO(통합로그인)는 SAML 2.0 표준을 기반으로 구축되어 ID 공급자(IDP)와 워크스페이스를 연결하고 쉽고 안전한 로그인 환경을 제공합니다. Notion은 Azure, Google, Gusto, Okta, OneLogin, Rippling을 통한 SAML SSO 공식 구성을 지원합니다.Notion에서 SAML SSO 사용을 시작하려면 다음 단계를 완료해야 합니다.
• 추가 워크스페이스 연결: SSO를 구성하려는 워크스페이스가 두 개 이상 있는 경우 team@makenotion.com으로 문의하세요. 구성이 완료되고 나면 워크스페이스에 로그인하는 모든 멤버는 인증 도메인을 사용해야 하며 IDP를 통해 인증되어야 합니다. 엔터프라이즈 워크스페이스 소유자는 IDP/SAML SSO 오류가 발생할 경우 대체 로그인 방식으로 우회하여 접속할 수 있습니다. |
고유 사용자 식별 사용자 신원을 식별하고 트래킹하기 위한 고유 이름 또는 번호를 할당해야 합니다. | Notion에는 멤버와 그룹을 프로비저닝, 관리, 프로비저닝 해제하는 데 사용할 수 있는 SCIM API가 있습니다. 워크스페이스 소유자는 |
긴급 액세스 절차 긴급 상황 시 필요한 전자 형식의 보호 대상 정보를 얻는 절차를 수립하고 필요에 맞게 구현해야 합니다. | 콘텐츠 검색 기능은 엔터프라이즈 워크스페이스 소유자에게 워크스페이스 콘텐츠에 대한 가시성을 제공하여 워크스페이스 관리를 용이하게 하고 페이지 액세스 문제를 해결할 수 있도록 합니다. |
자동 로그아웃 일정 시간 동안 활동이 없으면 전자 세션을 종료하는 전자적 절차를 구현해야 합니다. | 세션 기간 직접 설정: 엔터프라이즈 요금제를 사용하는 관리 대상 사용자의 경우 Notion의 기본 세션 기간은 180일입니다. 하지만 워크스페이스 소유자는 1시간에서 180일까지 세션 기간을 직접 지정할 수 있습니다.관리 대상 사용자 강제 로그아웃: 개별 사용자 또는 모든 워크스페이스 사용자를 한 번에 강제로 로그아웃시킬 수 있습니다. |
감사 통제 정보 시스템을 통해 전자 형식의 보호 대상 건강 정보를 포함하거나 사용하는 활동을 기록하고 검사하는 하드웨어, 소프트웨어 또는 절차상의 메커니즘을 구현해야 합니다. | 엔터프라이즈 워크스페이스 소유자는 감사 로그를 사용하면 잠재적인 보안 이슈를 감지하고, 의심스러운 활동을 찾아내고, 사용 권한 관련 문제를 해결할 수 있습니다. 워크스페이스 감사 로그는 CSV 형식으로 내보내기할 수 있습니다. 또한, 엔터프라이즈 고객은 데이터 손실 방지(DLP) 파트너 API 통합을 활용하여 Notion에서 민감한 데이터를 검색, 분류, 보호할 수 있습니다. |
무결성 통제 전자 형식의 보호 대상 건강 정보가 부적절하게 변경 또는 파기되지 않도록 보호하는 정책과 절차를 구현해야 합니다. | 공개 페이지 공유 비활성화: 워크스페이스의 모든 페이지에 있는 공유 메뉴에서 웹에서 공유 옵션이 비활성화됩니다. |
사용자 또는 엔티티 인증 전자 형식의 보호 대상 건강 정보에 액세스하려는 사용자 또는 엔티티가 해당 정보를 요청한 당사자인지 확인하는 절차를 구현해야 합니다. | 프로필 변경 비활성화: 사칭을 예방하기 위해 관리 대상 사용자가 자신의 프로필 정보를 변경할 수 없도록 설정합니다. |
데이터 보존과 폐기 전자 형식의 PHI와 PHI가 저장된 하드웨어 또는 전자적 미디어의 최종 폐기에 관한 정책과 절차를 구현해야 합니다. | 휴지통을 한 번에 완전히 비우는 방법은 없습니다. 휴지통에서 페이지를 개별적으로 영구 삭제할 수는 있습니다. 휴지통에서 페이지를 삭제하고 난 후 30일이 지나면 Notion의 서버에서 삭제됩니다. Notion에서는 데이터베이스를 백업해 두기 때문에, 필요한 경우 지난 30일 내의 스냅샷을 언제든지 복원할 수 있습니다. |
전송 보안 전자적 커뮤니케이션 네트워크를 통해 전송되는 | 미사용 데이터 암호화: 고객 데이터는 AES-256을 사용하여 미사용 시 암호화됩니다. 고객 데이터는 Notion의 내부 네트워크, 클라우드 스토리지, 데이터베이스 테이블 및 백업 저장 시 암호화됩니다. |
참고: 엔터프라이즈 워크스페이스 소유자는 IDP/SAML SSO 오류가 발생할 경우 대체 로그인 방식으로 우회하여 접속할 수 있습니다.
자주 묻는 질문(FAQ)
HIPAA 규정 준수를 활성화하는 데 드는 비용은 얼마인가요?
HIPAA 규정 준수는 멤버가 100명 이상인 엔터프라이즈 요금제에 가입한 고객에게 무료로 지원됩니다.
고객은 Notion의 BAA(Business Associate Agreement, 비즈니스 제휴 계약)에 동의하고 HIPAA, BAA 및 HIPAA 프로덕트 구성 가이드를 준수하는 방식으로 Notion을 활용해야 합니다.
자세한 내용은 team@makenotion.com으로 문의하시기 바랍니다.
HIPAA 규정 준수를 활성화하는 데 따른 제한 사항은 무엇인가요?
Notion은 환자, 플랜 가입자, 가족 또는 고용주와 의사소통하는 데 사용할 수 없습니다.
사용자는 다음 필드 또는 기능에 PHI를 포함할 수 없습니다 .
워크스페이스 또는 조직 이름
팀스페이스 이름
파일 이름
계정/사용자 프로필
사용자 그룹 이름
지원 요청 및 지원 요청에 첨부된 파일에는 PHI가 포함되어서는 안 됩니다.
Notion AI 추가 기능 및 Notion AI 기능은 BAA에 서명한 워크스페이스에서 사용/배포할 수 없으며, 해당 기능은 BAA에서 Notion 약정의 적용을 받지 않습니다.
Cron 및 모든 Cron 기능은 BAA의 적용을 받지 않으므로 보호 대상 의료 정보를 수집하거나 처리하는 방식으로 사용/배포해서는 안 됩니다.
API 통합 기능을 계속 사용할 수 있나요?
예, 이전에 활성화한 앱은 계속 활성화된 상태로 유지됩니다. 관리자는 기존에 사용 중인 통합이 규정을 준수하는지 검토해야 합니다. 관리자는 허용 목록에 없는 새 통합의 추가를 비활성화하도록 선택할 수 있습니다.
