HIPAA(Health Insurance Portability and Accountability Act)は「医療保険の携行性と責任に関する法律」と訳され、「保護対象保険情報(PHI:Protected health information)」を扱う企業に物理的、デジタル上で、および手続き上でのセキュリティー対策を講じ、それに従うことを規定しています。
医療分野で治療、支払いやその他業務に関わるあらゆる立場の者は、HIIPAAコンプライアンスルールの対象者に該当します。患者情報にアクセスできる者、治療・支払い・その他の運用業務に携わる下請けや委託関係にある事業・組織といった「ビジネスアソシエート」もHIIPAAコンプライアンスを満たすことを要します[1]。
無料トライアル
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
HIPAA コンプライアンスの定義
HIPAA法は、米国において保護された健康情報の合法的な使用と開示の概要を示す一連の連邦規制基準です。HIPAAの遵守は、米国保健福祉省(HHS)によって規制され、公民権局(OCR)によって施行されています。
HIPAA コンプライアンスは、医療機関が、保護された健康情報のプライバシー、セキュリティ、および完全性を保護するために、その業務の中で実施しなければならない現代の行動規範です[2]。
HIPAA コンプライアンスの背景
1996年ビル・クリントン政権下の米国連邦議会により「医療保険の携行性と責任に関する法律」が承認されました。
HIPAA制定の目的は:
- 医療情報の流れの近代化
- 医療・健康保険業界が保持する個人識別情報(PII:personally identifiable information)を詐欺・窃盗からどのように保護すべきかを規定する
- データのポータビリティや既存症状のある個人への健康保険の適用範囲の提示[3]
HIPAAによって、機密性の高い患者の健康情報が、本人への通知や同意なしに開示されないように保護する国家基準に権限が与えられました。米国保健福祉省(HHS)では、この権限を実施すべく「HIPAAプライバシールール」を発行しました[4]。
HIPAAプライバシールールには、患者の同意なしにデータを企業などの第三者と共有できる12の例外があります。
例を挙げると:
- 家庭内暴力などの暴行被害者
- 司法・行政手続き
- 眼球や組織または臓器提供
- 労働者災害保障[5]
プライバシールールにはもう一つ、重要な要素として「セキュリティルール」が存在します。これは対象の事業が電子形式での作成、送受信、保持するあらゆる個人の健康情報を対象としています。
セキュリティ規則の主な要素は以下:
- 電子的に保護されたすべての健康情報の機密性、完全性および可用性の確保
- 予測されるセキュリティー上の脅威の検出と情報の保護
- 許容範囲外の使用法や公表に対する保護
- 従業員のコンプライアンス遵守
保護対象保健情報(PHI)は、HIPAAの対象となる患者や顧客を識別する際に用いる人口統計情報です。例えば住所、氏名、電話番号、社会保険番号、財務情報、顔写真がPHIに該当します[6]。
HIPAA コンプライアンスの分析
医療事業やPHIを扱う事業はコンピューター化された業務に移行しつつあります。そして医師のコンピューターによる処方(CPOE)システム、電子健康記録(EHR)、放射線科、薬局や研究所のシステムといったところでも運用されています。医療制度では請求書へのアクセスだけでなく、ケアマネジメントやセルフサービスのアプリケーション上でも同様のサービスを提供しています。
電子化された手法のすべてが、効率化とモビリティーを向上させる反面、医療データのセキュリティリスクは大幅に上がります[7] 。それゆえにHIPAAコンプライアンスの重要性が高まっています。
米国保健福祉省HHS は、物理的および技術的なセキュリティの確保手段に詳しく言及し、保護の対象データを保有する事業体の安全対策として従うべき内容は以下:
- 施設の限定的アクセスと権限のある者のみがアクセスできるような制限
- ワークステーションや電子メディアの使用とアクセスに関するポリシーの規定
- デジタル化された個人情報やメディアの移動、削除、破棄、再利用の制限
上記同様にHIPAAでは、有資格者のみがデジタル化された個人情報(ePHI)にアクセスできるような制限を行う必要があります。
アクセスの規制に含まれるものは:
- 固定ユーザーIDを用いる
- 緊急時のアクセス手順
- 自動サインアウト
- 暗号化・復号化
- ソフトウェア・ハードウェア上のログ・監査記録を残す
HIPAAコンプライアンスにおける技術的な規制には、完全性の管理やデジタル化された個人情報(ePHI)が変更または破壊されていないことを確認できる手順を設ける必要性が含まれています。災害復旧時とオフサイトのバックアップは、電子メディアのエラーや障害を迅速に修正し、患者の健康情報を正確かつ無傷で復旧するためには重要な要素です。
技術面での最終的な保護手段の一つは、HIPAAに準拠したホストが、ePHIへの 不正アクセスから保護を確保するネットワーク上または伝送のセキュリティです。この安全措置は電子メール、インターネット、またはプライベートクラウドなどのプライベートネットワークを含むデータの伝送のすべてに対処します。
医療データ保護の最善策は、データ自体は失われないと認識することです。データの紛失・漏洩は、誤操作のような不注意による流出、または外部からの攻撃といった人為的なものから起こります。
そのため効果的なコンプライアンスとは、人を中心に構成されています。構造化されたデータからされていないデータ、電子メール、文書、スキャンされたものといった、あらゆる形式の患者データを不用意に、または意図的に漏洩してしまう行動に焦点を当てます。そうすることで医療従事者が、患者のケアを最大限に行ないつつ、安全にデータを共有することができます。
患者は自身の情報を医療機関に託しているため、保護された健康情報を管理するのが医療機関の義務でもあります[5]。
効果的なコンプライアンスの7つの要素
米国保健福祉省の監察総監室(Office of Inspector Genera:OIG)は、組織がコンプライアンス ソリューションを吟味したり、独自のコンプライアンス・プログラムを作成したりする際の指針となるよう、「効果的なコンプライアンス・プログラムの7つの要素」を作成しました。これらは、コンプライアンスの根幹とも言える必要最低限の要件です。効果的なコンプライアンス・プログラムとは、HIPAA のプライバシーおよびセキュリティ基準の全範囲に対応することに加えて、7 つの中核要素のそれぞれに対応する能力を備えている必要があるのです。
効果的なコンプライアンスプログラムを構成する要素は以下の 7 つ:
- 書面化された方針、手順、および行動基準を実施
- コンプライアンス・オフィサーの指名とコンプライアンス委員会の設置
- 効果的な研修と教育の実施
- 良好なコミュニケーション経路の構築
- 内部監視・監査の実施
- ガイドラインによる徹底した基準の遵守
- 発見された違反行為に迅速に対応し、是正措置をとる
規約違反に対して、公民権局(OCR)が実施するHIPAA調査の過程で、連邦HIPAA監査人は、組織のコンプライアンス・プログラムを「7つの要素」と比較し、その有効性を判断します[8]。
[1] Digital Guardian. “A Definition of HIPAA Compliance”
[2] Compliancy Group. “What is HIPAA Compliance?”
[3] The HIPAA Guide. “HIPAA for Dummies”
[4] Centers for Disease Control and Prevention
[5] Ibid.
[6] Compliancy Group. “What is Protected Health Information?”
[7] Digital Compliance. “The need for HIPAA compliance”
[8] Compliancy Group. “What are the Seven Elements of an Effective Compliance Program?”