ザ 医療保険の相互運用性とアクセシビリティに関する法律 (HIPAA)は、米国内の患者の医療情報を保護するために設計された規制です。 保護医療情報 (PHI) にアクセスできる特定の組織は、HIPAA 規制に概説されているセキュリティ制御、プロセス、および手順を実装する必要があります。
HIPAA では、その要件に準拠する必要がある 2 種類の組織が定義されています。
HIPAAでは、対象となる事業体とビジネスアソシエイトの両方がHIPAAに準拠する必要があります。 対象となる事業体は、保健社会福祉省(HHS)公民権局(OCR)によって直接規制されています。 HIPAA要件は、対象事業体との契約を通じてビジネスアソシエイトに適用されます。
ただし、この規制は、法律の対象となる事業体またはビジネスアソシエイトの定義に適合する組織にのみ適用されます。 健康情報にアクセスできるが、対象となる事業体から情報を受け取っていない他の組織は、HIPAA 規制の対象にはなりません。 たとえば、医療機関ではなく、ユーザーから直接健康情報を収集する健康・フィットネスアプリのデベロッパーは、その指令を遵守する必要はありません。
ただし、これらの組織はそうすることで利益を得ることができます。 HIPAAは、PHIを保護するためのベストプラクティスを説明しており、これらのベストプラクティスに準拠することで、組織がサイバー脅威にさらされ、潜在的なデータ侵害の可能性と影響を減らすことができます。 さらに、侵害やセキュリティインシデントが発生した場合、規制を遵守することで、企業がデューデリジェンスを実施し、顧客のデータを保護するために十分な努力をしたことを示すことができます。
HIPAAは、プライバシールールとセキュリティルールの2つの主要なルールに分かれています。 これらのルールに加えて、組織がPHIの違反を報告する方法を説明する違反通知ルールと、HIPAA要件を拡張してビジネスアソシエイトも含むようにしたオムニバスルールがあります。
プライバシールール。 個人を特定できる健康情報のプライバシーに関する基準 (プライバシー規則) は、医療機関が委託された特定の種類の健康情報をどのように保護すべきかを義務付けています。 プライバシー規則は、PHIにアクセスして開示できるケースを定義しています。 また、対象となる事業体がPHIを保護するために実施すべき保護措置を定義し、PHIに関する特定の権利を患者に与えます。
セキュリティ・ルール。 電子的に保護された医療情報の保護に関するセキュリティ基準 (セキュリティ規則) は、電子的に保存または転送される保護医療情報 (PHI) に対して企業が実施する必要がある IT セキュリティ制御について説明しています。 これは、プライバシー規則に概説されているデータ保護要件を満たすために組織が実施しなければならない具体的なITセキュリティ管理、プロセス、および手順を提供します。
HIPAAは、患者が対象となる事業体とそのビジネスアソシエイトに提供するPHIを保護するように設計されています。 HHS では、以下を含む 18 種類の PHI 識別子が定義されています。
HIPAAコンプライアンスは、対象となる事業体に義務付けられており、これらの組織はコンプライアンス違反に対して罰せられる可能性があります。 HIPAA では、違反の 4 つの階層を定義しています。
ほとんどのHIPAA違反には、意図的かどうかにかかわらず、PHIの違反が含まれます。 一般的なHIPAA違反には、次のようなものがあります。
HIPAAコンプライアンスの達成は、複数のステップからなるプロセスです。 実行する主な手順には、次のようなものがあります。
HIPAAの主な目的は、対象となる事業体とそのビジネスアソシエイトに委託されたPHIを保護することです。 HIPAA プライバシーおよびセキュリティ規則では、組織が PHI へのアクセスを制御および監視し、不正アクセスから保護することを義務付けています。
チェック・ポイントは、さまざまなソリューションを提供しています。 医療従事者 およびその他の組織がHIPAAおよびその他の規制へのコンプライアンスを達成します。 チェック・ポイント CloudGuardは、 コンプライアンスの監視、クラウドベースの環境向けのデータ収集、およびレポート生成。 CloudGuard によるクラウド コンプライアンスの実現の詳細については、 無料デモに申し込む.