目次

保護された医療情報(PHI)とは何ですか?

目次

保護されるべき医療情報(PHI)とは、患者の医療プライバシーを保護するために保護されなければならないあらゆる情報のことです。要件は、対象事業体(医療を提供する人々または組織)が、患者の過去、現在、または将来の身体的または精神的健康に関連する情報を保護することを義務付けています。患者のヘルスプランは、患者のPHIを確実かつ一貫して保護しなければなりません。

医療保険の相互運用性と会計に関する法律(HIPAA)およびそのプライバシー規則で定義されているように、PHIとは「電子媒体で送信され、電子媒体で管理され、またはその他の形態の媒体で送信される、個人を特定できる情報」です。

PHI規定の対象となる情報の形態は、過去20年間着実に拡大してきました。PHIを取得、保存、共有する技術が進歩し、患者の守秘義務に関する規制コンプライアンス環境が進化するにつれ、PHIの大規模化と範囲は継続的に拡大していくでしょう。

 

保護された医療情報(PHI)はなぜ重要なのでしょうか?

医療提供者は患者の医療データの機密性を保護しなければならないため、保護された医療情報は重要です。PHIの多くは極めて個人的なものであるため、プロバイダーは情報の安全性を常に確保するために多大な努力を払っています。

医療従事者、健康維持組織(HMO)、およびその患者の間には、深い暗黙の信頼があり、彼らは医療組織が自分の PHI を適切に保護すると考える権利があります。

この保護は、医師の診察室、病院、遠隔診療所、遠隔医療など、患者の経験を通じて、またケアが提供されるあらゆる場所で行われなければなりません。

HIPAAとPHI

PHI 漏洩が発生した場合、罰則を伴う規制コンプライアンス・ガイドラインが数多く存在します。PHIを対象とする最大の規制枠組みはHIPAAです。米国保健社会福祉省(HHS)によると、HIPAAプライバシー規則は「対象事業体が保有する個人健康情報に対する連邦政府の保護を規定し、その情報に関して患者に様々な権利を与える」ものです。

また、Privacy Ruleは、PHIが患者ケアおよび関連要件を提供するために適切に開示されるよう、権利と権限のバランスを保証します。

 

保護される健康情報の例

1.個人を特定できる情報 (PII)

個人を特定できる情報(PII)とは、人口統計データ、運転免許証、健康保険データなど、患者を個人で特定できるあらゆるデータを指します。

2.個人健康情報(PHI)

PHIはPIIのサブセットであり、HIPAAエンティティとの間で特に共有される情報を指します。これには、患者と医療提供者とのやり取り、請求記録、診断機器からのデジタルスキャン、検査結果などが含まれます。

PHI識別子の例

HHSは、18の特定のPHI識別子をリストアップしています:

  1. 患者名
  2. 地理的要素(住所、市町村、郵便番号)
  3. 個人の健康または身元に関する日付(生年月日、入院日、退院日、死亡日)
  4. 電話番号
  5. ファックス番号
  6. メールアドレス
  7. 社会保障番号
  8. カルテ番号
  9. 健康保険受給者番号
  10. 口座番号
  11. 証明書/ライセンス番号
  12. 車両の識別
  13. デバイスの属性またはシリアル番号
  14. ウェブサイトのURLなどのデジタル識別子
  15. IPアドレス
  16. 指、網膜、声紋などの生体認証要素
  17. 顔写真
  18. その他の識別番号またはコード

 

ePHIとは

電子PHI(ePHI)とは、単に電子/デジタル形式のPHIのことです。ePHIは、 HIPAAセキュリティ・ルールで特に言及されています。この規則の中に、電子医療データに関する小項目があります。

今日、これまで以上に多くの患者情報が電子形式で作成、保存、共有されています。医療提供者は、ヘルスケアのエコシステムにおいて、デジタル記録をエンドツーエンドで保護することに細心の注意を払う必要があります。

HIPAAセキュリティ規則には、すべてのePHIの機密性、完全性、可用性(CIAの3要素として知られている)を保護する要件が明記されています。これには、デジタル医療情報の安全性とセキュリティに対する予想される脅威の特定と防御が含まれます。また、セキュリティ・ルールの下で規定されたHIPAAガイドラインのコンプライアンスを確保するために設計されたシステム、手順、ポリシーを導入することもできます。

 

保護された医療情報の保護

HIPAAセキュリティ規則では、対象となる事業体がコンプライアンスを実証するために講じなければならない具体的な手順を定めており、これによりPHIおよびePHIの保護に関して患者と医療提供者の間の信頼が確保されます。そのステップは3つに分類されます:

  • 行政上の保護措置
  • 物理的セーフガード
  • 技術的セーフガード

1.行政上の保護措置

管理上の保護措置は、PHIに対する潜在的なリスクを特定・判断し、セキュリティリスクと脆弱性を軽減するための措置を講じることを目的としています。また、セキュリティ担当者が、対象事業体のセキュリティ要件と手順を策定し、実装することも義務付けられています。

プロバイダーはまた、自社のセキュリティ・ポリシーがHIPAAセキュリティ・ルールの要件をどれだけ満たしているかを定期的に評価する必要があります。

2.物理的セーフガード

物理的な保護措置は、許可されたアクセスを可能にする一方で、施設に対する無許可の物理的アクセスを制限するといった問題をカバーします。また、対象事業者は、PIIおよびPHIを含む電子保存データおよび電子媒体の適切な取り扱いを網羅する方針および手順をデプロイする必要があります。

3.技術的セーフガード

技術的な保護措置は、適切に権限を与えられた者のみがデジタル記録やその他の電子情報にアクセスできるように設計されています。これは、ヘルスケアおよび医療記録の取得、保存、管理に必要なハードウェア、ソフトウェア、サービスだけでなく、アクセスを管理するセキュリティ資格情報や認証手順も含まれます。

また、デジタルネットワークを介したPHIやePHIへの不適切なアクセスから保護するために設計された暗号化やその他の技術も含まれます。

 

PHI侵害とは?

近年、医療業界では患者の個人情報を狙ったサイバー攻撃が急増しています。悪意のある業者は、ランサムウェアや恐喝のような手口を使って、プロバイダーから法外な支払いを要求します。

Unit 42の インシデント・レスポンス・レポート2022によると、医療組織は身代金1件あたり平均141万ドルを支払っています。また、IBMの「 Cost of a data breach 2022」 レポートによると、データ侵害のコストは最大で1,010万ドルに上ります。

何がPHI侵害としてカウントされますか?

HHSは、PHI漏えいを「保護された医療情報のセキュリティまたはプライバシーを侵害する、プライバシー規則の下で許されない使用または開示」と広く定義しています。現実の世界では、PHIの漏洩につながる様々な行為が含まれます。

例えば、メディケア詐欺やその他の保険詐欺を行うハッカーは、PHIを入手するために様々なテクニックを駆使します。ランサムウェア、個人情報の盗難、ソーシャルエンジニアリング、認証情報の盗難、フィッシング、マルウェアはすべて、暗号化されていない、または保護が不十分な個人デバイスを危険にさらすために使用されます。

HIPAAでは、PHI侵害には4つの重要な要素があります:

  1. 識別子の種類と再識別の可能性を含む、関係するPHIの性質と範囲。
  2. 保護されるべき健康情報を使用した、または開示が行われた無許可の人物。
  3. 保護されるべき健康情報が実際に取得されたか、または閲覧されたかどうか。
  4. 保護された健康情報に対するリスクがどの程度軽減されているか。

ほとんどの場合、悪意のある行為ではなく、意図しない行為によるPHI漏洩は、HIPAA違反とは見なされません。対象事業者は、PHIの開示がHIPAAまたはその他のプライバシーガイドラインに違反するかどうか、弁護士やコンプライアンスチームに確認することを強くお勧めします。

 

進化する風景:新技術とPHIセキュリティ

ヘルスケア産業は、プロビジョニングの方法、時間、場所、理由など、さまざまな面で劇的な変化を遂げつつあります。リモートケアの台頭、スマート医療デバイス(モノのインターネット)の増加、複雑化し相互接続されたIT環境などのトレンドが相まって、急速に変化する状況が生まれています。

PHIの安全を守るために、医療組織とそのパートナー/ビジネス・アソシエイトは、全社的なサイバーセキュリティ運用を設計、構築、信頼、監視する経験豊富なサイバーセキュリティ・パートナーを必要としています。

サイバーセキュリティ・パートナーの候補を評価する際、最高情報セキュリティ責任者とその同僚は、いくつかの重要な能力を要求する必要があります:

Palo Alto Networks が、世界中の病院や医療システムから選ばれるサイバーセキュリティ リーダーである理由をご覧ください。 www.paloaltonetworks.com/healthcare。

 

保護された医療情報(PHI)に関するFAQ

医療組織に対するサイバー攻撃は、フィッシング攻撃、データ損失、ソーシャルエンジニアリング、物理的な窃盗など、さまざまな形で行われます。これらの攻撃は、悪用されれば、病院の医療の質を大混乱に陥れ、身代金や違約金として数百万ドルを支払うことになります。

PHI 漏えいは、保護されていない IoT デバイスや電子メールベースのフィッシング攻撃など、複数のエンドポイントから発生する可能性があります。そして、こうした脅威は急速に進化しています。特に、 機械学習や 人工知能を利用した新たな攻撃が出現しています。

堅牢なサイバーセキュリティソリューションは、ネットワークセキュリティ、クラウドセキュリティ、エンドポイントセキュリティなど、あらゆる面で患者データを保護します。組織は、不要な侵入やデータ損失から保護する次世代ファイアウォールと、攻撃発生時の インシデントレスポンスを自動化 する機能を備える必要があります。また、クラウドのワークロードが増加している組織では、ID管理やアクセス制御などのツールによって、内部ネットワークに接続しながら、従業員とそのデバイスの安全を確保することができます。

病院やその他の医療システムのITおよびSOCチームは、手作業で処理しなければならない膨大な数のアラートによって過負荷になることがよくあります。セキュリティの自動化が アナリストと連携し、最小限の人的介入で脅威を自動的に予防、検知、対応することで、アナリストは他のタスクに集中する時間を増やすことができます。
関連コンテンツ
ヘルスケア・サイバーセキュリティとは?
脅威の状況は変化しており、医療は特に脆弱です。ここでは、医療におけるサイバーセキュリティについて知っておくべきことをすべて紹介します。
ヘルスケアのサイバーセキュリティ2024年に注目すべき3つのトレンド
リモートケアからコネクテッドデバイスまで、サイバーセキュリティのトレンドが医療のデジタル革新を形成しています
2024年における医療サイバーセキュリティの3つの優先事項
医療機関のCISOには、2024年にサイバーセキュリティを変革し、サイバーレジリエンスを実現するチャンスがあります。これがその方法です。
医療における安全なデジタル革新
医療業界は進化しており、サイバー攻撃も進化しています。患者データを保護し、脅威を先取りします。

最新ニュース、イベント情報、脅威アラートを配信