GDPRとHIPAA：類似点、相違点、コンプライアンス達成のヒント

GDPRとは何か？

一般データ保護規則（GDPR）は、EU域内の個人データとプライバシーを保護するために欧州連合（EU）が定めた規制の枠組みである。2018年5月25日に施行され、企業の所在地にかかわらず、EU市民のデータを扱うすべての企業に適用される。GDPRは、個人データに対する個人のコントロールを可能にし、EU内のデータ保護法を統一することを目的としている。

GDPRは、個人データ処理の合法的根拠、明示的な同意の取得、アクセス、修正、消去といったデータ主体の権利の確保など、厳格なデータ保護対策を義務付けている。違反した場合、全世界の年間売上高の4％または2,000万ユーロのいずれか高いほうを上限とする多額の罰金が科せられる可能性がある。同規制はまた、コンプライアンスへの取り組みを監督するため、特定の組織に対してデータ保護責任者（DPO）の任命も義務付けている。

HIPAAとは何か？

Health Insurance Portability and Accountability Act (HIPAA)は、患者の同意や知識なしに機密性の高い患者の健康情報が開示されないように保護するための米国連邦法である。1996年に制定されたHIPAAは、保護された医療情報（PHI）の機密性、完全性、およびセキュリティを確保するための様々な条項の概要を示している。HIPAAは、医療提供者、医療計画、および医療情報センター（総称して対象事業体と呼ばれる）、およびそれらの事業関連者に適用される。

HIPAAには、プライバシー規則とセキュリティ規則の2つの主要な規則がある。Privacy Ruleは、あらゆる形態のPHIの保護に関する基準を定めるものであり、Security Ruleは、特に電子PHIに焦点を当てたものである。また、HIPAAには、データ漏洩が発生した場合に従うべき手続きについて詳述したBreach Notification Ruleも組み込まれている。違反した場合、過失の程度にもよるが、1回の違反につき100ドルから50,000ドルという多額の罰則が科せられる。

GDPRとHIPAAの類似点

1.アクセス管理機密データ

GDPRとHIPAAはいずれも、機密データを保護するために厳格なアクセス制御を規定している。これらの規制は、許可された担当者のみが個人データやPHIにアクセスできるようにするための対策を実施することを組織に義務付けている。これには通常、強固なユーザー認証プロセス、役割ベースのアクセス制御、およびアクセスパターンを監視してログに記録するための定期的な監査が含まれる。アクセスを確実に管理することは、データ漏洩や不正な情報開示に関連するリスクを軽減するのに役立ちます。

アクセス管理だけでなく、両規制は、機密情報へのアクセスが正当な必要性によって正当化されることを要求している。組織は、個人データまたはPHIへのアクセスが知る必要性に基づいて許可され、データプライバシーとセキュリティの原則が確実に守られることを証明しなければならない。

2.PHIへの不正な変更を検知する方法

機密データへの不正な変更を検出することは、GDPRとHIPAAの両方で中核となる要件である。組織は、個人データまたはPHIに対するあらゆる変更を追跡するために、監査統制および監視メカニズムを採用しなければならない。これらの対策は、疑わしい活動や潜在的なセキュリティ侵害を迅速に特定するのに役立ち、組織は迅速な是正措置を講じ、データの完全性を維持することができる。

検出方法としては、個人データやPHIへのアクセスや変更をすべてログに記録することが不可欠である。これらのログを分析することで、不正な変更を示すパターンを明らかにすることができ、規制基準へのコンプライアンスを確保することができる。

3.静止時および転送時のPHI暗号化の要求

暗号化は、GDPRとHIPAAの両方において、機密データを保護するための基本的な要件です。具体的には、これらの規制は、PHIと個人データを静止時と転送時の両方で暗号化することを義務付けています。静止時のデータの暗号化には、適切な復号化キーがなければデータを読めなくする暗号化アルゴリズムを使用して、データベースなどの保存データを保護することが含まれます。これにより、物理的な媒体が危険にさらされても、データは保護されたままとなります。

転送中のデータの暗号化は、ネットワーク上をデータが移動する際の安全確保に重点を置いている。これには、TLS（トランスポート・レイヤー・セキュリティ）などのプロトコルを使用して、伝送中の傍受からデータを保護することが含まれる。

4.任命されたDPOの必要性

GDPRとHIPAAはいずれも、データ保護コンプライアンスに責任を持つ個人を指定することの重要性を強調している。GDPRの下では、特定の組織はデータ保護責任者（DPO）を任命する必要があり、この責任者はコンプライアンスへの取り組みを監督し、データ保護戦略を管理し、データ保護当局との窓口となります。DPOの役割には、内部コンプライアンスの監視、データ保護影響評価に関する助言、データ処理に携わるスタッフのトレーニングなどが含まれます。

HIPAAは、DPOを明確に義務付けてはいないが、対象事業体に対してHIPAAセキュリティ・オフィサーを指名することを義務付けている。これらのオフィサーは、プライバシーおよびセキュリティ・ポリシーの策定と実施、リスク評価の実施、およびHIPAAの規定の遵守の確保に責任を負う。指定されたデータ保護の役割に対する並行要件は、データプライバシーとセキュリティの維持における説明責任と監督の重要性を強調している。

GDPRとHIPAA：主な違い

1.対象事業者

GDPRは、規模や業種に関係なく、EU市民の個人データを処理するあらゆる組織に適用されます。この広範な適用性により、個人データを扱うすべての事業体が同じ厳格なデータ保護基準を遵守することが保証される。

HIPAAは、その範囲においてより具体的である。HIPAAは、主に、医療提供者、医療計画、医療クリアリングハウスのような医療分野の対象事業体に適用される。さらに、HIPAAは、対象事業体に代わってPHIを取り扱う事業関連者にも適用される。

2.管轄

GDPRは、EU域内の組織およびEU域外でEU市民の個人データを処理する組織に適用されます。この域外適用範囲は、所在地に関係なくEU市民のデータを扱うすべての企業がGDPRに準拠する必要があることを意味する。一方、HIPAAは米国固有の規制であり、米国内で活動する対象事業体およびその事業関連者にのみ適用される。

管轄権の違いは、多国籍企業にとって現実的な意味を持つ。米国で事業を展開し、欧州連合（EU）の事業体と取引を行う企業は、両規制を同時に遵守する必要があるかもしれない。

3.保護されるデータの種類

GDPRとHIPAAは異なる種類のデータを保護します。GDPRはあらゆる個人データに適用され、これには氏名、住所、電話番号、オンライン識別子など、特定可能な個人に関連する情報が含まれます。この規則は、個人データの定義が広いことから、様々な分野の組織に影響を与えます。

HIPAAは保護された医療情報（PHI）に重点を置いており、医療提供者、保険会社、クリアリングハウスが使用する医療記録や健康関連情報に関係する。この違いは、GDPRの適用範囲を個人を特定できるほぼすべてのデータに広げ、ヘルスケア以外の分野にも影響を与える。HIPAAは健康情報に焦点を絞っているため、より対象が絞られているが、それでも医療業界の事業体にとっては重要である。

4.規制当局

GDPRとHIPAAの施行を監督する規制当局も異なる。GDPRは、各EU加盟国内のデータ保護当局（DPA）によって施行されます。これらの当局は、調査、監査、およびコンプライアンス違反に対する罰金を課す権限を持っています。EU市民のデータを扱う組織は、異なる加盟国にまたがる複数のDPAからの調査の可能性をナビゲートする必要があり、コンプライアンスの複雑さを増しています。

HIPAAの施行は、米国保健社会福祉省（HHS）傘下の市民権局（OCR）によって管理されている。OCRは、監査、苦情調査、HIPAA違反に対する罰則の執行を行っている。

5.処理の法的根拠

GDPRの下では、組織は、同意、契約の履行、法的義務、重要な利益、公的任務、または正当な利益など、個人データを処理するための有効な法的根拠を持たなければなりません。この枠組みでは、組織は各処理活動の法的根拠を慎重に評価し、文書化する必要があります。

HIPAAは、PHIを治療、支払い、医療業務（TPO）のためにのみ、患者の承認を必要とせずに使用または開示できると規定している。それ以外の使用または開示には、通常、明示的な患者の同意が必要である。

6.ペナルティ

コンプライアンス違反に対する罰則はGDPRとHIPAAで異なる。GDPRの罰金罰金の最高額は、全世界の年間売上高の4％または2,000万ユーロのいずれか高いほうに達する。これらの罰金は、厳格なデータ保護に対するEUのコミットメントを強調するものであり、コンプライアンス違反に対する抑止力として機能する。

HIPAAの罰則は、過失の度合いに応じて段階的に定められており、1回の違反につき100ドルから5万ドルの罰金が科される。年間罰金の最高額は150万ドルに達することもある。GDPRとHIPAAの両基準の遵守に努める組織にとって、コンプライアンス違反がもたらす潜在的な金銭的影響を理解することは極めて重要である。

7.違反の通知

GDPRの下では、組織はデータ侵害に気づいてから72時間以内に関連するデータ保護当局に通知しなければならない。また、情報漏えいが個人の権利と自由に対する高いリスクにつながる可能性がある場合は、影響を受ける個人にも通知しなければなりません。

HIPAAの情報漏えい通知規則（Breach Notification Rule）は、対象事業体に対し、不合理な遅延なく、情報漏えいが発覚してから遅くとも60日以内に、影響を受ける個人に通知することを義務付けている。さらに、500人以上に影響する情報漏えいは、保健福祉省（HHS）とメディアに報告しなければならない。

両規制を確実に遵守するためのヒント

データ保護責任者（DPO）の任命

データ保護責任者（DPO）の任命は、GDPRとHIPAA（HIPAA規制では、この役割はHIPAAセキュリティ責任者と呼ばれる）の両方のコンプライアンスを確保するための重要なステップです。DPOは、組織のデータ保護戦略と実装を監督する責任があります。この役割は、コンプライアンスを管理し、監査を実施し、組織と規制当局との間の連絡役として機能するために不可欠です。

DPOは、データ保護法および慣行を理解していなければならない。DPOはコンプライアンスを定期的に監視し、スタッフにトレーニングを提供し、データ保護ポリシーが最新であることを確認する必要がある。知識豊富なDPOを任命することで、組織はデータ保護責任をより適切に管理し、コンプライアンス違反のリスクを軽減することができます。

リスク評価の実施

定期的なリスク評価の実施は、GDPRおよびHIPAAのコンプライアンスを維持するための基本です。これらの評価は、個人データやPHIに対する潜在的な脆弱性や脅威を特定するのに役立ちます。リスクを理解することで、組織は機密情報を保護するための適切なセーフガードを導入することができます。

リスクアセスメントは、データの収集、保管、送信、処理など、データ取扱いの全側面を対象 とすべきである。組織は、調査結果を文書化し、特定されたリスクに対処するための措置を講じなければならない。これらの評価を定期的に更新することにより、組織のデータ保護対策が進化する脅威に対して効果的であり続けることが保証される。

データ分類マッピング

データの分類とマッピングは、GDPRとHIPAAを確実に遵守するために不可欠なプラクティスである。組織は、データをその機密性に基づいて分類し、保存、処理、送信の場所と方法をマッピングする必要があります。このプロセスは、どのデータが規制要件の対象となるかを特定し、適切な保護措置が実施されていることを確認するのに役立ちます。

データの分類とマッピングを通じて、組織はデータを管理し、機密情報を確実に保護することができる。この実践は、データ対象者のアクセス要求への対応や影響評価の実施など、その他のコンプライアンス活動もサポートします。

暗号化とセキュリティ対策

GDPRとHIPAAの下で機密データを保護するためには、暗号化とその他のセキュリティ対策を導入することが極めて重要です。暗号化により、権限のない個人はデータを読めなくなり、侵害や盗難からデータを保護できます。組織は、規制要件を満たすために、静止時および転送中のデータに強力な暗号化標準を使用する必要があります。

組織は、暗号化に加えて、ファイアウォール、侵入検知システム、安全なアクセス制御など、その他のセキュリティ対策を導入すべきである。システムを定期的に更新し、パッチを適用することで、脆弱性から保護することができる。暗号化とセキュリティ対策を優先することで、組織は機密データを保護し、コンプライアンスを維持することができる。

従業員のトレーニングと意識向上

従業員のトレーニングと意識向上は、コンプライアンス戦略の成功に不可欠な要素です。トレーニングにより、従業員はGDPRとHIPAAの下での責任を理解し、個人データとPHIを適切に取り扱うことができるようになります。定期的なトレーニングセッションは、ベストプラクティスを強化し、最新の規制要件について従業員に情報を提供するのに役立ちます。

組織は、データ保護の原則、セキュリティ慣行、およびインシデント対応プロトコルをカバーする包括的なトレーニングプログラムを策定すべきである。組織内でデータ保護の文化を奨励することは、リスクを軽減し、コンプライアンスへの取り組み全体を強化するのに役立ちます。

エクサビームによるGDPR対応

エクサビームは、企業がGDPRの技術的要件と運用要件の両方を満たすことを支援します：

• 外部脅威の削減: Exabeamは既存のセキュリティ・ソリューションと連携し、機械学習と行動分析を使って、敵がデータを見つけアクセスしようとしていることを示す可能性のある異常な行動を特定します。Exabeamの脅威タイムラインは、異常と相関ルールのイベントを組み合わせ、ユーザーやデバイスごとにイベントをグループ化します。
• 内部脅威の削減: Exabeamは、IDおよびアクセス管理ソリューションと連携し、割り当てられた権限の偶発的または悪意ある乱用に起因するセキュリティ・インシデントを防止します。特定のユーザーにとって標準から外れたアクティビティにフラグを立てることで、Exabeamはデータ盗難につながる可能性のあるインシデントを検知するのに役立ちます。ユースケースにマッピングされた理想的なログソースと、MITRE ATT&CK ^{Ⓡフレームワークは}、どのセキュリティツールを組み合わせれば、イベントの最も明確な全体像を示すことができるかを示しています。

可視化とダッシュボード: Exabeamは、GDPRの義務化とデータプライバシー担当者のニーズをサポートするために、コンプライアンスに基づいた明確なGDPRダッシュボードを提供し、簡単にダウンロード、エクスポート、または電子メールで定期的に送信します。