HIPAAに準拠する必要があるのは誰で、その理由は?
HIPAA では、その要件に準拠する必要がある 2 種類の組織が定義されています。
- 対象事業体: HIPAAは、「対象事業体」をPHIにアクセスできる医療機関とその従業員と定義しています。 これには、医師、看護師、保険会社が含まれます。
- ビジネスアソシエイト: HIPAAでは、「ビジネスアソシエイト」とは、PHIへのアクセスを伴う対象事業体にサービスを提供する組織です。 たとえば、医療提供者の請求を処理する組織は、HIPAAの下でPHIとして保護されている患者の名前、住所などにアクセスできます。
HIPAAでは、対象となる事業体とビジネスアソシエイトの両方がHIPAAに準拠する必要があります。 対象となる事業体は、保健社会福祉省(HHS)公民権局(OCR)によって直接規制されています。 HIPAA要件は、対象事業体との契約を通じてビジネスアソシエイトに適用されます。
ただし、この規制は、法律の対象となる事業体またはビジネスアソシエイトの定義に適合する組織にのみ適用されます。 健康情報にアクセスできるが、対象となる事業体から情報を受け取っていない他の組織は、HIPAA 規制の対象にはなりません。 たとえば、医療機関ではなく、ユーザーから直接健康情報を収集する健康・フィットネスアプリのデベロッパーは、その指令を遵守する必要はありません。
ただし、これらの組織はそうすることで利益を得ることができます。 HIPAAは、PHIを保護するためのベストプラクティスを説明しており、これらのベストプラクティスに準拠することで、組織がサイバー脅威にさらされ、潜在的なデータ侵害の可能性と影響を減らすことができます。 さらに、侵害やセキュリティインシデントが発生した場合、規制を遵守することで、企業がデューデリジェンスを実施し、顧客のデータを保護するために十分な努力をしたことを示すことができます。
HIPAAルールとは?
HIPAAは、プライバシールールとセキュリティルールの2つの主要なルールに分かれています。 これらのルールに加えて、組織がPHIの違反を報告する方法を説明する違反通知ルールと、HIPAA要件を拡張してビジネスアソシエイトも含むようにしたオムニバスルールがあります。
プライバシールール。 個人を特定できる健康情報のプライバシーに関する基準 (プライバシー規則) は、医療機関が委託された特定の種類の健康情報をどのように保護すべきかを義務付けています。 プライバシー規則は、PHIにアクセスして開示できるケースを定義しています。 また、対象となる事業体がPHIを保護するために実施すべき保護措置を定義し、PHIに関する特定の権利を患者に与えます。
セキュリティ・ルール。 電子的に保護された医療情報の保護に関するセキュリティ基準 (セキュリティ規則) は、電子的に保存または転送される保護医療情報 (PHI) に対して企業が実施する必要がある IT セキュリティ制御について説明しています。 これは、プライバシー規則に概説されているデータ保護要件を満たすために組織が実施しなければならない具体的なITセキュリティ管理、プロセス、および手順を提供します。
HIPAAで保護されているデータ
HIPAAは、患者が対象となる事業体とそのビジネスアソシエイトに提供するPHIを保護するように設計されています。 HHS では、以下を含む 18 種類の PHI 識別子が定義されています。
- 名前
- 住所
- 主な日程
- 社会保障番号
- 電話番号
- アドレス
- FAX番号
- 健康保険の受取人番号
- カルテ番号
- 証明書/ライセンス番号
- 口座番号
- 車両識別番号、シリアル番号、またはナンバープレート番号
- デバイス識別子またはシリアル番号
- IPアドレス
- Web URL
- 顔写真
- 指紋や声紋などの生体認証識別子
- その他の一意の識別番号、特性、またはコード
一般的なHIPAA違反
HIPAAコンプライアンスは、対象となる事業体に義務付けられており、これらの組織はコンプライアンス違反に対して罰せられる可能性があります。 HIPAA では、違反の 4 つの階層を定義しています。
- ティア1: 対象事業体は違反に気づいておらず、対象事業体がHIPAAを遵守するために誠実な努力をした場合、違反は現実的に防止できなかったでしょう。 罰金は100ドルから50,000ドルの範囲です。
- ティア2: 対象となる事業体は違反を認識していましたが、HIPAAを遵守するための誠実な努力により、違反を防ぐことはできませんでした。 罰金は1,000ドルから50,000ドルの範囲です。
- ティア3: この違反は、対象となる事業体が修正を試みたHIPAA規則の「故意の怠慢」が原因で発生しました。 罰金は10,000ドルから50,000ドルの範囲です。
- ティア4: 違反は、対象事業体が是正を試みなかった「故意の怠慢」が原因で発生しました。 罰金は50,000ドルからです。
ほとんどのHIPAA違反には、意図的かどうかにかかわらず、PHIの違反が含まれます。 一般的なHIPAA違反には、次のようなものがあります。
- デバイスの紛失または盗難
- ランサムウェアとその他のマルウェア
- 侵害されたユーザー資格情報
- 電子メールやソーシャルメディアなどによる偶発的なデータ共有
- 物理的なオフィスへの侵入
- 電子カルテ(EHR)の侵害
HIPAA コンプライアンス チェックリスト
HIPAAコンプライアンスの達成は、複数のステップからなるプロセスです。 実行する主な手順には、次のようなものがあります。
- コンプライアンス義務を決定します。 前述したように、HIPAAは対象となる事業体と、その事業体を通じてその事業提携者に適用されます。 HIPAAでは、対象となる事業体は、医療提供者、医療保険、医療情報センターとして定義されています。 彼らのビジネスアソシエイトは、PHIを共有する組織です。
- HIPAAルールについて学習します。 HIPAA プライバシーおよびセキュリティ規則は、HIPAA に基づく対象事業体またはビジネス アソシエイトの責任を定義しています。 必要な制御、ポリシー、およびプロセスを理解することは、コンプライアンスの達成と維持に不可欠です。
- コンプライアンスの範囲を特定します。 HHSは、PHIとして認定され、HIPAAで保護する必要がある18種類のデータを定義しています。 これらの種類のデータが組織のIT環境内のどこに保存、処理、送信されているかを特定することは、どのシステムと人員がHIPAAの義務の対象となるかを判断するために不可欠です。
- Perform a Gap Assessment: 組織によっては、必要な HIPAA コントロールの一部が実施されていても、他のコントロールが不足している可能性があります。 HIPAA要件に対するギャップ評価は、企業がコンプライアンス要件を満たさない場所を特定するために必要です。
- 不足しているコントロールをデプロイします。 ギャップ評価では、組織が現在準拠していない場所を特定できます。 これらのギャップを特定した後、穴を埋めるための戦略を策定して実装します。
- 必要なドキュメントを作成します。 HIPAAは、対象となる事業体が特定の文書化されたポリシーとプロセスを持つことを要求しています。 不足しているプロセスや文書化されていないプロセスがある場合は、必要なドキュメントを生成します。
- コンプライアンス監査の準備: コンプライアンス監査に合格するには、組織のセキュリティ管理、プロセス、および手順が規制の要件を満たしていることを監査人に示す能力が必要です。 監査を実施するための計画を作成し、監査の前に必要なデータとレポートを収集します。
チェック・ポイントがお手伝いできること
HIPAAの主な目的は、対象となる事業体とそのビジネスアソシエイトに委託されたPHIを保護することです。 HIPAA プライバシーおよびセキュリティ規則では、組織が PHI へのアクセスを制御および監視し、不正アクセスから保護することを義務付けています。
チェック・ポイントは、さまざまなソリューションを提供しています。 医療従事者 およびその他の組織がHIPAAおよびその他の規制へのコンプライアンスを達成します。 チェック・ポイント CloudGuardは、 コンプライアンスの監視、クラウドベースの環境向けのデータ収集、およびレポート生成。 CloudGuard によるクラウド コンプライアンスの実現の詳細については、 無料デモに申し込む.
Feedback