한국 SaMD·AI 의료기기 기업이 미국 병원과 맺는 HIPAA Business Associate Agreement: 보호범위, 하도급 연쇄, 브리치 통지까지
미국 병원에 SaMD나 AI 의료기기를 납품하는 한국 기업이 HIPAA Business Associate Agreement를 언제 맺어야 하는지, BAA 필수 조항과 하도급업체 연쇄, 브리치 발생 시 60일 통지 의무를 정리했다.
미국 병원이 BAA 서명을 요구하면, 그것은 계약 이전의 문제다
한국 SaMD(Software as a Medical Device) 또는 AI 의료기기 기업이 미국 병원에 제품을 납품하다 보면, 구매 계약서보다 먼저 도착하는 문서가 있다. **HIPAA Business Associate Agreement(BAA)**다. 미국 병원(covered entity)은 PHI(Protected Health Information)에 접근하는 모든 외부 vendor와 BAA를 체결해야 하며, 이것은 선택이 아니라 법적 의무다(45 CFR §164.314(a)).
문제는 한국 기업 대부분이 BAA를 "미국 병원의 양식에 서명만 하면 되는 행정 절차"로 생각한다는 것이다. BAA에 서명하는 순간, 한국 기업은 HIPAA Privacy Rule, Security Rule, Breach Notification Rule의 직접적 준수 의무를 지게 된다. 위반 시 HHS OCR(Office for Civil Rights)이 한국 기업을 직접 처벌할 수 있다.
이 글에서는 한국 SaMD·AI 의료기기 기업이 BAA를 언제, 왜, 어떻게 맺어야 하는지, 그리고 서명 전 반드시 협상해야 할 조항을 정리한다.
언제 Business Associate가 되는가
의료기기 제조사가 HIPAA상 business associate가 되는 것은 기기 자체가 PHI를 다루는지에 따라 결정된다. HHS와 FDA의 규정 해석에 따르면 다음 시나리오에서 해당된다:
| 시나리오 | Business Associate 해당 여부 |
|---|---|
| 기기가 환자 식별 정보를 포함한 데이터를 생성하여 병원에 전송 | 해당 |
| 병원이 기기에 PHI를 입력하고, 제조사가 원격 서비스·유지보수 과정에서 PHI에 접근 | 해당 |
| AI 모델이 클라우드에서 환자 데이터를 처리하고 결과를 병원에 반환 | 해당 |
| 기기가 탈식별화(de-identified)된 데이터만 처리 | 미해당 (단, 탈식별화 기준 충족 필요) |
| 기기가 병원 네트워크에 연결되지만 PHI를 생성·수신·저장·전송하지 않음 | 미해당 |
| 병원이 독자적으로 기기를 운영하고 제조사는 기기 판매만 담당 | 미해당 |
핵심 기준은 **"create, receive, maintain, transmit"**의 네 동사다. 이 중 하나라도 해당하면 business associate다. 단순히 기기를 팔고 끝나는 거래라면 BAA가 필요 없지만, 클라우드 서비스, 원격 모니터링, 데이터 분석, 소프트웨어 업데이트 등의 사후 서비스가 포함되면 대부분 해당된다.
SaMD와 AI 의료기기에서 특히 중요한 판단 포인트
한국 SaMD 기업이 가장 많이 묻는 질문은 "우리 AI 모델이 클라우드에서 연산하는데, 이게 PHI인가"다. 정답은 데이터에 환자 식별 가능 정보가 포함되어 있는지에 달려 있다:
- 병원이 환자 ID, 생년월일, 진단 코드가 포함된 데이터를 API로 보내면 → PHI → BAA 필요
- 병원이 환자 식별 정보를 모두 제거한 이미지/수치만 보내면 → 탈식별화 데이터 → BAA 불필요 (단, 탈식별화 기준(HIPAA Safe Harbor 또는 Expert Determination)을 문서화해야 함)
- SaMD가 병원 EHR에서 직접 데이터를 pull하는 경우 → PHI에 접근 → BAA 필요
BAA에 반드시 포함되어야 할 조항
HIPAA 규정(45 CFR §164.504(e))은 BAA에 반드시 포함되어야 할 최소 요건을 규정하고 있다. HHS는 샘플 BAA 조항을 공개했다. 한국 기업이 서명 전 확인해야 할 핵심 조항은 다음과 같다:
1. PHI 사용·공개의 허용 범위
BAA는 business associate가 PHI를 어떤 목적으로, 어디까지 사용할 수 있는지 명시해야 한다. 한국 SaMD 기업의 경우 다음을 협상해야 한다:
- 서비스 수행 목적: 기기 운영, 소프트웨어 업데이트, 기술 지원을 위해 필요한 최소한의 PHI만 허용
- AI 모델 개선 목적: 병원 데이터를 AI 학습에 활용하려면 별도 동의 또는 탈식별화 필요. BAA에 "AI 모델 개선을 위한 PHI 사용"을 명시하지 않으면, 서비스 목적 외 사용이 금지된다
- data aggregation: 여러 병원의 데이터를 결합하여 분석하는 것은 BAA에서 별도로 허용된 경우에만 가능
2. 보호 장구(Safeguards) 의무
Business associate는 PHI의 기밀성·무결성·가용성을 보호하기 위해 적절한 행정적·물리적·기술적 보호 장구를 구현해야 한다:
| 보호 장구 유형 | SaMD 기업이 구현해야 할 예시 |
|---|---|
| 행정적 보호 | HIPAA 보안 담당자 지정, 직원 교육, 위험 분석(risk analysis), 계약 종료 시 절차 |
| 물리적 보호 | 서버실 접근 통제, 기기 물리적 보안 |
| 기술적 보호 | 전송 중·저장 중 암호화, 접근 제어(audit trail), 세션 관리 |
특히 **위험 분석(Risk Analysis)**은 HIPAA Security Rule의 핵심 요건이다. 45 CFR §164.308(a)(1)은 모든 business associate가 PHI 처리 시스템에 대한 위험 분석을 수행하고, 발견된 위험에 대한 관리 계획을 문서화할 것을 요구한다. 이는 FDA 사이버보안 가이던스의 위협 모델링과 유사하지만, 목적과 범위가 다르다. FDA는 환자 안전에 초점을 맞추고, HIPAA는 PHI 보호에 초점을 맞춘다.
3. 브리치 통지(Breach Notification)
Business associate는 PHI의 무단 사용·공개를 발견한 후 합당한 지체 없이, 늦어도 60일 이내에 covered entity(병원)에 통지해야 한다(45 CFR §164.410). 통지 내용은 다음을 포함해야 한다:
- 브리치 사실의 식별
- 관여된 PHI의 유형
- 권장되는 보호 조치
- 영향받은 개인의 식별 정보(가능한 경우)
한국 기업이 특히 주의해야 할 점은 60일 기한이 발견일로부터라는 것이다. 한국 본사의 엔지니어가 월요일에 브리치를 발견했는데 금요일까지 미국 병원에 통지하지 않으면, 잔여 기간이 줄어든다. 내부 보고 체계가 느리면 60일을 놓치기 쉽다.
4. 하도급업체(Subcontractor) 연쇄
Business associate가 다른 vendor에 PHI 처리를 위탁하는 경우, 하위 vendor와도 동등한 수준의 BAA를 체결해야 한다. 이것은 "flow-down" 의무라고 부른다:
미국 병원 (Covered Entity)
↓ BAA
한국 SaMD 기업 (Business Associate)
↓ BAA (flow-down)
클라우드 인프라 제공사 (Subcontractor BA)
↓ BAA (flow-down)
데이터 레이블링 업체 (Subcontractor BA)
한국 SaMD 기업이 AWS, GCP, Azure 등의 클라우드를 사용하는 경우, 해당 클라우드 제공사의 **HIPAA-compliant 서비스(BAA 제공 서비스)**를 사용해야 한다. AWS의 경우 AWS Business Associate Addendum이 별도로 체결되어야 하며, 모든 AWS 서비스가 HIPAA-compliant인 것은 아니다(S3, RDS 등 특정 서비스만 해당).
한국 내 데이터 레이블링 업체나 AI 학습 데이터 가공 업체에 PHI가 유출되는 구조라면, 이 업체와도 BAA를 체결해야 한다. 한국 업체가 HIPAA를 모르는 경우가 많은데, 이때 한국 기업이 직접 교육하고 감사 체계를 구축해야 한다.
5. 계약 종료 시 PHI 반환·파기
BAA에는 계약 종료 시 PHI의 반환 또는 파기 절차가 포함되어야 한다. 한국 기업의 클라우드에 환자 데이터가 남아 있는 상태로 계약이 끝나면 HIPAA 위반이다. 실무적으로는:
- 반환: 암호화된 매체로 병원에 전송
- 파기: 파기 인증서(Certificate of Destruction) 발급
- 예외: 법적 보관 의무가 있는 경우, 보관 기간과 보호 조건을 명시
협상 시 한국 기업이 챙겨야 할 방어 조항
병원이 제시하는 BAA 양식은 대부분 병원에 유리하게 작성되어 있다. 한국 기업이 서명 전 반드시 협상해야 할 조항:
| 조항 | 병원 양식의 일반적 내용 | 한국 기업이 요청할 것 |
|---|---|---|
| 브리치 통지 기한 | "발견 후 24시간 이내" | "합당한 지체 없이, 30영업일 이내" (HIPAA 최대 60일 내 충족) |
| 책임 한도 | "BA가 모든 손해 배상" | "BA의 과실에 기인한 직접 손해에 한정, 간접 손해 제외" |
| 감사 권한 | "언제든 임의 감사" | "사전 통지 후 연 1회, 합당한 영업시간 내" |
| 하도급업체 승인 | "모든 subcontractor 사전 승인" | "PHI 접근 subcontractor만 통지, 사전 승인은 불필요" |
| 보험 요건 | "$5M cyber liability" | "실제 PHI 접근 범위에 비례하는 합리적 한도" |
| 준거법 | "미국 [주]법" | 한국 기업도 수용 가능하지만, 관할 법원을 합의 관할로 한정 |
BAA 보존·공개의무 추가 요건
BAA 보존 기간
HIPAA 규정상 BAA는 작성일 또는 최종 효력 발생일로부터 6년간 보존해야 한다(45 CFR §164.530(j)). 이는 계약이 종료된 이후에도 적용된다. 한국 기업이 BAA를 종료하고 나서도 6년간 문서를 보관해야 하며, HHS OCR 조사 시 제출할 수 있어야 한다. 보안 조치 문서, 위험 분산 결과, 직원 교육 기록도 동일한 6년 보존 기간이 적용된다.
공개 기록(accounting of disclosures)
Business associate는 covered entity의 요청 시 PHI 공개 기록(accounting of disclosures) 을 제공해야 한다(45 CFR §164.528). 이는 PHI를 누구에게, 언제, 어떤 목적으로 공개했는지의 기록이다. 한국 SaMD 기업이 디버깅·기술 지원 목적으로 병원의 PHI에 접근한 이력도 공개 기록에 포함될 수 있다. BAA에 이 의무를 명시하고, 내부 시스템에서 PHI 접근 로그를 자동 수집하는 구조를 갖춰야 한다.
직원 교육 요건
Business associate는 PHI에 접근하는 모든 직원에게 HIPAA 교육을 제공해야 한다. 한국 본사의 개발자, QA 엔지니어, 기술 지원 담당자가 미국 병원의 PHI에 접근할 수 있다면, 이들 모두가 교육 대상이다. 교육은 채용 시 1회가 아니라 정기적으로 실시해야 하며, 교육 내용과 참석 기록을 문서화하여 보관해야 한다.
HIPAA 위반 시 벌금
HIPAA 위반에 대한 벌금은 위반 수준에 따라 차등 적용된다:
| 위반 수준 | 건당 벌금 | 연간 상한 |
|---|---|---|
| Unknown (알지 못함) | $100–$50,000 | $25,000–$1,500,000 |
| Reasonable Cause (합당한 사유) | $1,000–$50,000 | $100,000–$1,500,000 |
| Willful Neglect – Corrected (고의–시정) | $10,000–$50,000 | $250,000–$1,500,000 |
| Willful Neglect – Not Corrected (고의–미시정) | $50,000 | $1,500,000 |
출처: HHS OCR HIPAA Enforcement(45 CFR §160.408)
2023년 TMP(Technology Management Partners) 사건에서 한 healthcare IT vendor이 BAA를 체결하지 않은 채 PHI에 접근한 사실이 적발되어 $100,000의 벌금이 부과되었다. BAA 자체의 부재가 처벌 대상이 된 것이다.
FDA 규제와 HIPAA의 교차점
한국 SaMD 기업은 FDA 규제(510(k), De Novo, QMSR)와 HIPAA를 동시에 충족해야 하는데, 두 체계의 요구사항이 겹치기도 하고 다르기도 하다:
| 구분 | FDA (QMSR/524B) | HIPAA |
|---|---|---|
| 목적 | 환자 안전, 기기 효능·안전성 | PHI 보호, 환자 프라이버시 |
| 위험 분석 | ISO 14971 기반 사이버보안 위협 모델링 | HIPAA Security Rule 기반 위험 분석 |
| SBOM | 필수(Section 524B) | 해당 없음 |
| 암호화 | 권장 | 필수(전송 중·저장 중) |
| 브리치 보고 | FDA MDR(21 CFR Part 803) | HHS OCR + covered entity 통지 |
| 감사 | FDA QSIT | Covered entity 감사 + HHS OCR 조사 |
실무적으로는 FDA 감사 대비 문서와 HIPAA 준비 문서를 통합 관리하는 것이 효율적이다. 위험 분석은 한 번에 수행하되, ISO 14971 관점(환자 안전)과 HIPAA 관점(PHI 보호)을 모두 다루는 통합 문서를 작성하는 것이 좋다.
BAA 체결 전 체크리스트
- 자사 제품/서비스가 PHI를 create, receive, maintain, transmit 하는지 판단
- PHI 접근이 필요한 모든 하위 vendor(subcontractor) 목록 작성
- 각 하위 vendor와 BAA 체결 또는 HIPAA-compliant 서비스 계약 확인
- 위험 분석(Risk Analysis) 문서화 — PHI 처리 시스템 전체 대상
- 브리치 대응 절차(Breach Response Plan) 수립 — 60일 통지 타임라인 포함
- PHI 암호화 상태 확인 — 전송 중(TLS 1.2+), 저장 중(AES-256)
- BAA 초안 검토 — 미국 healthcare 컴플라이언스 변호사 리뷰
- 계약 종료 시 PHI 반환/파기 절차 사전 합의
- HIPAA Security Rule 준수를 위한 내부 교육 계획 수립
- SOC 2 Type II 또는 HITRUST 인증 획득 여부 검토 (병원이 요구할 수 있음)
참고 자료
- HHS Sample BAA Provisions: hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions
- HIPAA Business Associate Agreement (2026 Update): hipaajournal.com/hipaa-business-associate-agreement
- HIPAA Security Rule: 45 CFR Part 164, Subpart C
- HIPAA Breach Notification Rule: 45 CFR Part 164, Subpart D
- FDA Cybersecurity Guidance (February 2026): fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices
- MD+DI, "Are Your Medical Devices HIPAA Compliant?": mddionline.com/software/are-your-medical-devices-hipaa-compliant-
- HIPAA Journal, "Do Foreign Vendors Have to Sign a BAA": paubox.com/blog/do-foreign-vendors-have-to-sign-a-business-associate-agreement
