환자 정보 유출에 의한 처벌은 벌금형부터 자격 취소까지 다양하다. HIPPA(Health Insurance Portability and Accountability Act, 건강보험 정보의 이전 및 그 책임에 관한 법)에 의하면, 환자의 개인정보는 T/P/O, 즉 Treatment(치료), Payment(수납), Health care operations(의료 서비스 제공자의 운영) 목적으로만 사용 가능한데, 이는 직접적인 치료, 간접적인 치료(혈액 샘플 분석 등), 타 진료기관과의 의견교환, 타 진료기관에 환자를 소개할 경우(치료), 서비스 제공자가 보험으로부터 비용을 환급받기 위해 개인정보를 사용하는 경우, 비용 청구, 비용 보조 결정(수납), 환자의 치료와 치료 관련 수납 관련 감사, 서비스 품질 평가 및 훈련의 내부적 활용, 사업 계획, 환자 불만에 대한 대응(의료서비스 제공자의 운영)을 위해서만 사용할 수 있다. 또한, PHI(Protected Health Information, 보호대상 개인 정보)의 사용과 공개는 필요 최소한의 범위에서 이뤄지지만, 치료 목적으로 PHI를 사용할 시에는 이러한 제한이 가해지지 않는다. 따라서 치료가 아닌 다른 목적으로는 각각의 PHI사용에 대해서 이 정보의 사용이 꼭 필요한지 검토하여야 한다.
셋째, PHI는 개인 정보 중 가장 민감한 정보이므로, 반드시 필요하지 않은 PHI는 처음부터 환자로부터 취득하거나 회사 시스템으로부터 접근하지 말아야 한다. 또한, PHI를 사용할 때에는 반드시 어디서 사용하려고 하는지, 그 내용에 대해 엿들을 사람은 없는지, 그 내용을 볼 사람이 없는 지를 주의해야 한다. 따라서 PHI에 대해 접근 권한이 없거나 알 필요가 없는 다른 직원이 보거나 들을 수 있는 곳에서 그 내용을 의논해서는 안된다.
의료기관들은 PHI를 보안 서버에 저장하고, 업무용 랩탑, USB, 휴대용 HDD등에 저장하지 말아야 하며, 화면 잠금 기능 없이 자리를 떠서는 안된다. 불필요한 PHI 자료의 인쇄 또는 복사를 자제하고, Fax 전송시는 표지를 사용하며, 이메일로 PHI를 전송할 때는 암호화하는 것이 좋다. PHI가 더 이상 필요없을 경우에는 이를 파기하고, 문서는 잘게 갈아서 버리고, 전자정보의 경우 단순 포맷하지 말고, 이동통신기를 사용하지 않는 것이 좋다. 왜냐하면 텍스팅은 암호화가 안되며, 착오로 다른 사람에게 발송 가능하고, 회사가 어떠한 내용이 나가는지 알 수 없으며, 무선기 시스템에 텍스트들이 저장되는 경우가 있기 때문이다. 따라서 메시지 전송 관련 방침을 제정하고(누구에게 보낼 수 있는지, 주제는 어떤 것으로 제한하는지, 보낸 텍스트는 어떻게 처리하는지 등), 이를 정기적으로 삭제해야 한다. 이상적인 것은 이동통신사가 아닌 제 3자 메시지 솔루션용으로 보안을 하는 것이며, 외부에 전송하는 이메일은 암호화를 사용하고, “covered entities are permitted to send inpiduals unencrypted emails if they have advised the inpidual of the risk, and the inpidual still pfers the unencrypted email”을 포함한disclaimer를 사용하며, 환자들에게 이메일을 통한 정보 전송은 보안 측면에서 위험이 있다는 것을 알리고 이에 대해 동의를 받아야 한다. PHI가 포함된 이메일은 암호화된 형태로 최소 6년간 보관하고, 이메일 제목에 환자 이름, 회사 기록 번호 등을 쓰지 않는 것이 좋으며, 회사 이메일을 개인 이메일로 전송하지 말고, 회사 장비는 분실시 내용을 통째로 삭제할 수 있도록 원격 삭제 기능을 설치해야 한다.
HIPAA를 고의적, 반복적으로 위반했을 경우에는 최대 연간 150만불까지의 벌금이 있으며, HIPAA를 위반하여 PHI를 볼 자격이 없는 자와 정보 공유시 최대 5만불의 벌금 및 1년 이하의 징역, 합법적인 사용목적 외에 이를 상업적으로 이용하거나, 이를 이용하여 금전적 이득을 취하거나 고의로 제3자에게 손해를 끼칠 경우 최대 25만불의 벌금 및 10년 이하의 징역을 받게 된다. HIPAA 위반 조사 및 제재는 Office for Civil Rights(OCR) 혹은 Department of Justice(DOJ)가 담당하며 환자들의 고발, 혹은 이들 기관의 자체적인 인지로 사건 조사가 시작된다. 회사는 Privacy Officer(개인정보 관리자)를 지정하여 개인정보 보호를 위한 회사 정책을 제정하고 이행하며 정기적으로 개정해야 한다. 개인정보 관리자는 개인정보 보호 위반 신고가 있을 경우 이에 대한 회사 대표로서 대응하고, HIPAA 교육을 담당한다.
