HIPAAセキュリティ規則とは？

HIPAAセキュリティ規則の概要

セキュリティ・ルールは、患者のPHIおよび個人を特定できる情報（PII）を保護するための基準を定めたものです。また、PIIを保護するための規制コンプライアンスの枠組みや、情報漏えいが発生した場合の影響を受ける個人への通知に関するルールも策定しています。

目的と範囲

HHSによると、Security Ruleは、対象事業体が患者の医療データや個人情報を保護するために必要なセーフガードを確立することを保証するためのものです。これは、対象事業体と非対象事業体の間でPHIが急激に増加していることに対応するものです。

セキュリティー・ルールの適用範囲は非常に広く、医療保険制度、医療情報管理機関、および医療情報を送信するすべての医療提供者を対象としています。

4 主な目的

1.電子PHI（ePHI）の機密性の確保。

より多くの患者データがデジタル形式で利用可能になるにつれ、ePHIの保護は絶対要件となっています。

2.合理的に予測される脅威を特定し、その脅威から保護します。

すべてのサイバー脅威を事前に特定できるわけではありませんが、カバーされる事業体には、すでに発生している脅威から患者の情報を保護する責任があります。

3.許されない使用または開示からの保護。

これはプロバイダーにとって重要なことで、テクノロジー・ツール、人材、プロセスを網羅しているからです。

4.対象事業体の従業員によるコンプライアンスの確保。

対象事業体のすべてのメンバーは、患者データのプライバシーとセキュリティを確保するために適切な保護措置を講じる必要があります。つまり、対象事業者は、セキュリティ規則の要件について従業員を教育し、コンプライアンスを確保するために従業員を訓練する必要があります。

HIPAAセキュリティ規則要件

セキュリティ・ルールでは、電子的に保護された医療情報（PHI）の機密性、完全性、およびセキュリティを確保するために、適切な管理的、物理的、および技術的な保護措置が要件となっています。

1.行政上の保護措置

管理上の保護措置は、PHIに対する潜在的なリスクを特定・判断し、セキュリティリスクと脆弱性を軽減するための措置を講じることを目的としています。また、セキュリティ担当者が、対象事業体のセキュリティ要件と手順を策定し、実装することも義務付けられています。また、プロバイダーは、HIPAAセキュリティ・ルールに基づくガイドラインを満たすために、自社のセキュリティ・ガイドラインがどの程度効果的であるかを定期的に評価する必要があります。

2.物理的セーフガード

物理的な保護措置は、許可されたアクセスを可能にする一方で、施設に対する無許可の物理的アクセスを制限するといった問題をカバーします。また、対象事業者は、PIIおよびPHIを含む電子保存データおよび電子媒体の適切な取り扱いを網羅する方針および手順をデプロイする必要があります。

3.技術的セーフガード

技術的なセーフガードは、適切な権限を与えられた者だけがデジタル記録やその他の電子情報にアクセスできるようにするための適切な技術的ポリシーを導入するためのものです。これは、ヘルスケアおよび医療記録の取得、保存、管理に必要なハードウェア、ソフトウェア、サービスだけでなく、アクセスを管理するセキュリティ資格情報や認証手順も含まれます。

また、デジタルネットワークを介したPHIやePHIへの不適切なアクセスから保護するために設計された暗号化やその他の技術も含まれます。

HIPAA侵害通知規則

HHSは、データ漏洩を、PHIのセキュリティまたはプライバシーを侵害する、プライバシー規則の下で許されない使用または開示と定義しています。情報漏えいの防止は、さまざまな理由から、医療提供組織にとって疑う余地のない優先事項です。しかし、万が一情報漏えいが発生した場合、HIPAA漏えい通知規則では、HIPAAの対象となる事業体およびその事業関連者は、保護されていないPHIの漏えい後に通知を行うことが義務付けられています。

保護されていないPHIの侵害が発生した場合、対象事業者は、影響を受ける個人に侵害について通知しなければなりません。この通知は、通常、物理的な郵便を送るか、または患者が電子媒体による対象団体からの通信を受け取ることを選択した場合、電子メールを通じて行われます。

また、対象事業者は、HHS長官に情報漏えいを警告しなければならず、場合によっては、報道機関に通知しなければならないこともあります。さらに、第三者の事業関連会社も、事業関連会社で、または事業関連会社によって違反が発生した場合、同様に影響を受ける個人に警告を発しなければなりません。

HIPAAコンプライアンスと執行

HHS市民権局は、ほとんどのHIPAA対象事業体のHIPAAコンプライアンスと執行を監督しています。法執行機関とみなされるため、公民権局が行う活動のほとんどは非公開であり、通常は公表されません。

コンプライアンス関連規定は、HIPAA施行規則の一部であり、調査、違反に対する民事罰の可能性、および公聴会の手続きについて規定しています。

HIPAAコンプライアンスのベストプラクティス

対象事業体は、常にHIPAAを完全に遵守するために、賢明なビジネス、技術、および運用慣行を採用する必要があります。これらの手順には、リスク評価、異常と思われるシステム活動の監視、明確な役割と責任の策定、ePHIデータ漏洩時のテスト手順などが含まれます。

もちろん、適切なテクノロジーツール、アプリケーション、サービスを導入することは、適切なHIPAAコンプライアンスフレームワークを構築するための鍵となります。

HHSはまた、HIPAAコンプライアンスのベストプラクティスを理解するための貴重なツールも提供しています。市民権局は、HIPAAの対象事業体および事業関連者向けに、「認知されたセキュリティ慣行」に関するビデオプレゼンテーションを作成しました。トピックは以下の通り：

• 認知されたセキュリティ慣行に関する2021年HITECH修正条項
• 規制対象事業者は、どのようにして認知されたセキュリティ慣行が実施されていることを証明することができますか。
• OCRはどのように、認知されたセキュリティ慣行の証拠を要求しているのか
• 認知されたセキュリティ慣行に関する情報源
• 認知されたセキュリティ慣行に関する質問に対するOCRの回答

医師、医療スタッフ、IT部門、サイバーセキュリティ部門、および業務に従事するすべての従業員を対象とした内部研修は、組織全体がePHIとPIIを保護するために適切な措置を講じることを保証するための定期的なレジメンの一部であるべきです。

HIPAAセキュリティ規則の潜在的傾向

HIPAAは制定以来、医療業界の変化やデジタル技術の利用拡大を反映し、定期的に更新や拡張が行われるダイナミックな法律です。対象事業体の意思決定者が理解し、説明しなければならない重要な分野には、以下のようなものがあります：

1.サイバーセキュリティ対策の強化

脅威の状況は常に進化しているため、医療機関は、急速に出現する脅威から組織を防御するための予算、プロセス、専門知識、ツールを導入する必要があります。

2.新技術

次世代ファイアウォール、ランサムウェア対策ツール、脅威インテリジェンスサービス、クラウドセキュリティ、アイデンティティ管理、マネージド検知と対応、エンドポイントセキュリティ、 モノのインターネット（IoMT）セキュリティは 、より広範なサイバーセキュリティ技術のフレームワークの不可欠な要素です。

3.データプライバシーと同意の強化

医療組織は、EUの一般データ保護規則（GDPR）や米国で現在施行されている同様の規則など、より強力なデータプライバシーおよび同意に関する規制に準拠することがますます求められています。

4.第三者ベンダー管理

ビジネス・アソシエート（対象事業体に代わってPHIを使用または開示する業務を行う個人または事業体）もまた、Security Ruleを遵守しなければなりません。プロバイダは、業務提携者やその他の第三者がどのようにPHIやPIIとやりとりしているか、また、そのデータの取り扱いと保護に関する適切なガイドラインに従っているかを、定期的かつ日常的に監視しなければなりません。

5.コラボレーションと情報共有の強化。

一般的なHIPAA規制、特にセキュリティ規則が常に変化しているように、コンプライアンスと患者データの機密性を確保するために必要な手順も変化しています。

専門的な医療提供の利用が劇的に増加していることは、患者情報がより頻繁に、より幅広いシステムで共有されていることを意味します。このため、情報漏えいや規制上の問題が発生する可能性が高まり、特に医療提供プロセスが相互に接続されている組織では、患者データを保護するために協力する方法を模索する必要性が高まっています。

病院、急性期医療施設、緊急医療、医院、外来医療、遠隔医療など、ケアの継続性は多様であるため、医療提供者間の連携を強化するこの傾向は、特に重要な使命となります。

Palo Alto Networks が、世界中の病院や医療システムに選ばれているサイバーセキュリティ リーダーである理由をご覧ください。https://www.paloaltonetworks.com/industry/healthcare。

HIPAAセキュリティ規則FAQ