4 HIPAA要件とコンプライアンスのベストプラクティス

HIPAAとは何か？

医療保険の 相互運用性と説明責任に関する法律（Health Insurance Portability and Accountability Act：HIPAA）は、1996年に米国で制定された連邦法である。その主な目的は、保護された医療情報（PHI）が患者の同意や知識なしに開示されないように保護することである。HIPAAは、個人の医療情報のプライバシーとセキュリティを維持するためのガイドラインを定め、関係するすべての団体が個人の健康情報を慎重に取り扱うことを保証している。

HIPAAは、医療提供者、保険会社、および健康情報を扱うその他の団体が従わなければならない様々な規則や規制を包含している。この法律は、電子医療取引の標準化を義務付け、医療情報を保護するためのセーフガードを要求し、患者の守秘義務とデータの安全性を確保している。医療機関にとってHIPAAを遵守することは、法的な影響を回避し、医療データの取り扱いにおける信頼性を維持するために極めて重要である。

どのような組織がHIPAAコンプライアンスを遵守する必要があるのか？

PHIの提供者および作成者

医療サービスを提供したり、事業活動の一環としてPHIを作成したりする組織は、HIPAAコンプライアンスを遵守する必要がある。これには、病院、診療所、医院、その他の医療施設が含まれる。これらのプロバイダーは、機密性の高い患者データを定期的に取り扱うため、適切なセーフガードの導入、HIPAAポリシーに関するスタッフのトレーニング、定期的な監査の実施により、PHIのプライバシーとセキュリティを確保しなければならない。HIPAAを遵守しないと、多額の法的処罰を受けたり、組織の評判が低下したりする可能性がある。

保険と金融

PHIを扱う保険・金融分野の事業者も、HIPAA規制を遵守する必要がある。これには、医療保険会社、メディケアおよびメディケイド・プログラム、その他医療関連の請求や支払いを処理する組織が含まれる。これらの事業体は、強固なセキュリティ対策を確立し、従業員にHIPAA要件に関する研修を受けさせ、電子医療取引に関連するリスクを管理することにより、PHIの完全性と機密性を保護しなければならない。

PHIを送信するサプライチェーン・プロバイダ

PHIを伝送するヘルスケアのサプライチェーンに関わる組織は、HIPAAを遵守しなければならない。これには、課金会社、クラウドストレージサービス、その他対象事業体に代わってPHIを取り扱うベンダーなどの第三者サービスプロバイダーが含まれる。これらのプロバイダーは、PHIを保護するために適切なセキュリティ対策を実施し、対象事業体と業務提携契約（BAA）を締結し、その下請け業者もHIPAA要件を遵守するようにしなければならない。これらの関係を効果的に管理することは、サプライチェーン全体を通じて医療情報のプライバシーとセキュリティを維持するために不可欠である。

HIPAAの主要要件を理解する

1.HIPAAプライバシー規則

2003年に制定されたHIPAAプライバシー規則は、個人の医療記録やその他の個人健康情報（PHI）を保護するための連邦基準を定めたものである。HIPAAは、医療提供者、医療計画、医療仲介機関などの対象事業体、およびそれらの事業体に代わってPHIを取り扱う事業関連者に適用される。プライバシー・ルールは、個人の健康情報が適切に保護されることを保証すると同時に、質の高いヘルスケアを提供・促進し、公衆の健康と福祉を守るために必要な健康情報の流通を可能にすることを目的としている。

個人情報保護規則の主な構成要素には、PHIを保護するための方針と手順を策定し、実施すること が含まれる。これらの方針は、PHIの使用と開示を、意図された目的を達成するために必要な最小限度に制限しなければならない。例えば、医療提供者は、患者の医療記録のうち、その特定の職務に必要な部分のみにアクセスすべきである。

プライバシー・ルール」はまた、患者の医療情報に関する重要な権利を認めている。患者には、自分の医療記録へのアクセスを要求し、コピーを入手する権利がある。また、不正確な情報や不完全な情報を確認した場合には、記録の訂正を要求することができる。さらに、患者は、対象事業者が行った特定のPHIの開示について説明を受ける権利を有する。

2.HIPAAセキュリティ規則

2005年から施行されているHIPAAセキュリティ規則は、特に電子的な保護されるべき医療情報（ePHI）の保護を扱っている。これは、ePHIの機密性、完全性、および可用性を確保するために、管理的、物理的、および技術的な一連のセーフガードを実施することを対象事業体に要求するものである：

• 行政上の保護措置これには、ePHI を保護するためのセキュリティ対策の選択、開発、実施、および維持を管理するように設計された方針および手順を実施することが含まれる。これには、潜在的な脆弱性を特定するための定期的なリスク評価の実施、およびこれらのリスクに対処するためのセキュリティ管理プロセスの実施が含まれる。また、事業者は、セキュリティ方針および手順の策定と監督に責任を負うセキュリティオフィサーを指名しなければならない。
• 物理的な保護措置とは、不正アクセスや自然災害などの脅威から電子システム、機器、およびそれらが保持するデータを保護するための措置である。これには、ePHIが保管されている施設への物理的なアクセスを管理すること、ワークステーションを不正アクセスから確実に保護すること、ePHIの適切な廃棄に関するポリシーを実施することなどが含まれる。
• 技術的保護措置とは、ePHIを保護し、ePHIへのアクセスを制御するために使用される技術及び関連する方針及び手続をいう。これには、固有のユーザーID、緊急アクセス手順、自動ログオフ、暗号化などのアクセス制御の導入が含まれる。技術的保障措置には、ePHIを含むシステムにおける活動を記録し検査するための監査統制の使用も含まれる。

3.HIPAA侵害通知規則

2009年に制定されたHIPAA侵害通知規則は、保護されていないPHIの侵害の後に通知を提供することを、保護対象団体およびその業務提携先に義務付けている。違反とは、PHIのセキュリティまたはプライバシーを侵害する、許されないPHIの使用または開示と定義される。この規則は、影響を受ける個人が侵害について速やかに知らされ、潜在的な危害から身を守るための手段を講じることができるようにすることを目的としている。

情報漏えい通知規則（Breach Notification Rule）の下では、対象事業者は、不合理な遅延なく、情報漏えいの発覚後60日以内に、影響を受ける個人に通知しなければならない。この通知には、情報漏えいの説明、関係する情報の種類、個人が自らを守るために取るべき措置、情報漏えいを調査し被害を軽減するために事業体が行っていること、さらに問い合わせるための連絡先が含まれていなければならない。

情報漏えいが500人以上の個人に影響する場合、対象事業体は保健福祉省（HHS）および影響地域を管轄する著名な報道機関にも通知しなければならない。500人未満に影響する違反の場合、事業体は違反のログを維持し、HHSに年次報告書を提出することが求められる。

4.HIPAAオムニバス規則

2013年に施行されたHIPAAオムニバス・ルールは、HIPAA規制に変更を導入し、既存の要件を強化・明確化しました。以下は、オムニバス・ルールによって導入された重要な変更点の一部である：

• 対象事業体の事業関連者に対する直接責任の拡大。ビジネス・アソシエートおよびその下請け業者は、特定のHIPAA要求事項の遵守に直接責任を負うようになり、PHIの保護に責任を負うようになった。
• マーケティングおよび資金調達目的でのPHIの使用および開示に対するより強い制限。対象事業者は、個人の許可なくPHIを販売することが禁止され、マーケティングに情報を使用する前に患者の許可を得なければならない。
• 個人の医療情報へのアクセス権の強化。患者は自分の医療記録の電子コピーを請求できるようになり、医療保険者は30日以内にこれに応じなければならない。また、患者は、医療機関に対し、医療費の全額を自己負担する場合には、医療機関への医療情報の開示を制限するよう指示することができる。
• PHIが漏洩した可能性を客観的に評価することを要求するHIPAA漏洩通知規則の改訂。つまり、PHIの不正使用や不正開示は、リスクアセスメントによりPHIが漏洩した可能性が低いことが証明されない限り、漏洩と推定される。

HIPAAコンプライアンス要件の遵守方法

自己監査

自己監査の実施は、組織がHIPAAに準拠していることを確認するために不可欠である。この監査では、組織の方針、手順、慣行を見直し、コンプライアンス違反の分野を特定する。定期的な自己監査により、組織は、違反や侵害に至る前に、潜在的な問題に対処することができる。

自己監査において、組織はPHIがどのように保存され、どのようにアクセスされ、どのように伝送されるかといった様々な側面を調べるべきである。脆弱性を特定し、是正措置を実施することは、HIPAAの要求事項への準拠を維持するのに役立つ。自己監査はまた、コンプライアンスを維持するための組織の努力の記録としても機能し、規制当局による調査や監査が行われた場合に極めて重要となる。

修復計画

自己監査を通じてコンプライアンス違反の領域を特定した後、組織は是正計画を策定し、実施しなければならない。これらの計画には、ギャップに対処し、HIPAA コンプライアンスを強化するための具体的な手順を概説する必要があります。効果的な是正計画には、タイムラインの設定、責任の分担、PHIに対する潜在的リスクに基づく是正措置の優先順位付けが含まれる。

是正努力には、方針および手順の更新、セキュリティ対策の強化、スタッフへの追加トレーニングの提供などが含まれる。定期的なモニタリングと再評価により、改善努力が効果的であること、および組織がHIPAA要件を継続的に遵守していることを確認する。

方針と手続き

HIPAAを遵守するためには、方針と手順を作成し、実施することが極めて重要である。これらの文書は、組織がどのようにPHIを取り扱うかについての枠組みを提供し、全スタッフがその責任を認識することを保証するものである。ポリシーは、アクセス・コントロール、データ暗号化、インシデント対応など、さまざまな側面を扱う必要がある。

変化する規制や新たな脅威に対応するためには、ポリシーと手順を定期的に見直し、更新することが不可欠である。組織はまた、職員がこれらの方針について研修を受け、コンプライアンス文化を醸成するようにしなければならない。方針と手順を確立し維持することで、組織はPHIを効果的に保護し、HIPAA規制を遵守することができる。

ビジネス・アソシエイト・マネジメント

ビジネス・アソシエイトの管理は、HIPAA遵守の重要な要素である。対象事業体は、事業者に代わってPHIを取り扱う事業関連者に、HIPAA規則を遵守させなければならない。これには、PHI保護における業務提携者の責任を概説した業務提携契約（BAA）の締結が含まれる。

BAAを定期的に見直し、更新することは、規制の変更や提供するサービスの範囲に対応するために不可欠である。また、組織は、業務提携先が適切な保護措置を講じていることを確認するために、デューデリジェンスを実施すべきである。ビジネス・アソシエートを効果的に管理することで、適用対象事業体は、コンプライアンスを維持し、情報チェーン全体を通じてPHIを保護することができる。

インシデント管理

効果的なインシデント管理は、PHI が関係する潜在的な侵害またはセキュリティインシデントに対応 するために不可欠である。組織は、セキュリ ティ侵害が発生した場合に取るべき措置を概説した明確なインシデント対応計画を持たなければな らない。これには、侵害の特定と封じ込め、その影響の緩和、HIPAA Breach Notification Ruleの要求に従って影響を受ける個人と規制当局への通知などが含まれる。

インシデント対応計画を定期的にテストし、更新することで、組織が様々なタイプのセキュリティインシデントに対応できるようにする。インシデント発生時のスタッフの役割と責任に関するトレーニングも不可欠である。効果的なインシデント管理は、情報漏えいの影響を最小限に抑え、組織がHIPAAの報告要件を確実に遵守するのに役立ちます。

記録と文書の管理

詳細な記録と文書を維持することは、HIPAA遵守の重要な側面である。組織は、PHIを保護するために取られたすべての方針、手順、行動を文書化しなければならない。これには、自己監査、研修会、違反通知の記録も含まれる。適切な文書化は、組織のコンプライアンスへのコミットメントを示し、監査や調査の際の証拠となる。

また、正確な文書化は、組織がコンプライアンスへの取り組みを追跡し、改善点を特定するのにも役立つ。徹底した記録を残すことで、事業体はHIPAA要件を満たしていることを確認し、規制機関からの問い合わせに対応する準備ができる。効果的な記録管理は、長期的なコンプライアンスとリスク管理に不可欠である。

ExabeamによるHIPAAコンプライアンス

HIPAA のコンプライアンス違反は、OCR による多額の罰金やその他の結果を招く可能性があります。パッチ管理、アクセス制御、および監視が適切なソリューション・スタックで完全に実装されていない場合、組織はランサムウェアや患者ケアに影響を与える可能性のあるその他の攻撃ベクトルに対して脆弱な状態になります。

Exabeam Fusion Enterprise Edition Incident Responderテレメトリーは、ログとコンテキスト、セキュリティ・インテリジェンス・フィード、AI分析を組み合わせて、潜在的な攻撃を示す異常な行動を特定します。あらかじめ構築されたダッシュボードにより、HIPAA コンプライアンスのレポートが容易になります。NISTやMITRE ATT&CK ^Ⓡのようなフレームワークを使用しているかどうかにかかわらず、Exabeamはコンプライアンスとガバナンスのニーズを追跡するための明確なパスを提供します。

Outcomes Navigatorは、検出範囲と改善点の継続的な可視化と洞察を提供し、ログの解析における改善の提案を行うだけでなく、どのソースと検出がATT&CKフレームワークのどの部分に対して最も効果的であるかを示し、ネットワーク侵入、永続性、および横方向の移動を最も示すユースケースを示します。