9ステップのHIPAAコンプライアンス・チェックリスト

HIPAAとは何か？

HIPAAとは、Health Insurance Portability and Accountability Actの略で、1996年に制定された米国の重要な法律である。もともとは、失業や転職の期間中も健康保険の加入を継続できるようにするための法律でした。しかし、この法律は、保護された医療情報（PHI）のプライバシーとセキュリティのための強固な枠組みを提供するように発展した。

HIPAAは、電子医療取引およびプロバイダー、医療計画、雇用者のための国家識別子のための国家標準の作成と実装を義務付けています。HIPAAは、その中核において、個人の健康情報が適切に保護されることを保証すると同時に、質の高い医療を提供し、公衆の健康と福祉を守るために必要なデータの流れを可能にするものである。

その規制は、個人の健康情報（「保護されるべき健康情報」またはPHIとして知られる）の使用と開示を包含する広範囲なものであり、医療提供者、医療計画、および健康情報を処理するその他の事業体にとって重要である。さらに、医療記録の閲覧やコピーの取得、訂正を要求する権利など、患者の健康情報に関する重要な権利を規定している。

同法の規定は、個人のプライバシー保護と医療提供に必要な情報提供のバランスをとることを目的としている。コンプライアンスは保健福祉省が監督し、市民権局が実施する。

HIPAAを遵守する必要があるのは誰か？

HIPAAコンプライアンスは、病院や大規模な医療システムだけのものではありません。保護されるべき医療情報（PHI）を扱う組織はすべて、HIPAAを遵守しなければなりません。これには、小規模の個人診療所、医療保険会社、さらにはこれらの事業体にサービスを提供する第三者ベンダーも含まれます。

HIPAAで定義される対象事業体には、あらゆる医療情報を電子的に送信する医療計画、医療仲介機関、医療提供者が含まれる。これらの団体は、HIPAAを遵守する第一の責任を負う。つまり、PHIを保護するための措置を講じ、プライバシー慣行を個人に通知し、法律で認められた場合にのみPHIを開示しなければならない。

業務提携者」もHIPAAを遵守する必要がある。これは、PHIを取り扱う、適用対象事業体とともに働くあらゆる組織または個人を指す。ビジネス・アソシエイトは、請求会社からクラウド・ストレージ・プロバイダーまで多岐にわたる。対象事業体と同様に、事業関連者もPHIを保護するためのセーフガードを設けなければならず、この情報の漏洩に対して責任を負う。

HITECH修正条項は何に適用されるのか？

2009年HITECH法（Health Information Technology for Economic and Clinical Health）は、米国再生・再投資法（American Recovery and Reinvestment Act）の一部として制定された。HITECH法改正により、HIPAAで保護されるプライバシーとセキュリティの範囲が拡大されました。また、HIPAAのプライバシーおよびセキュリティ規則に違反した医療機関の罰則も引き上げられた。

HITECH法はまた、医療情報技術の採用と有意義な利用を促進している。HITECH法は、電子カルテと医療ITの普及に大きな弾みをつけた。この改正はHIPAAと同じすべての事業体に適用され、違反した場合の法的・金銭的罰則の可能性が高まった。

HITECH法の規定は広範に及び、対象事業体には遵守のための契約、手順、研修、コミュニケーションの改訂が要求された。HITECH法における最も重要な変更の1つは、HIPAAコンプライアンス要件がビジネス・アソシエートにも完全に拡大されたことである。

9ステップのHIPAAコンプライアンス・チェックリスト

HIPAAコンプライアンスへの第一歩を踏み出すための簡単なチェックリストです。このチェックリストはすべてを網羅しているわけではありませんが、準備すべき最も重要な事項を網羅しています。

1.HIPAAの3つのルールを理解する

HIPAAコンプライアンスの中核をなすのは、HIPAAの3つの規則である：プライバシー規則」、「セキュリティ規則」、「侵害通知規則」である：

• プライバシー・ルールは、特定の健康情報の保護に関する国家基準を定めるものである。また、そのような情報がどのように使用され、開示されるかを規制し、患者の健康情報に対する一定の権利を認めている。これらの規制をどのように適用するかを理解することは、組織が確実にコンプライアンスを遵守するための鍵となる。
• セキュリティ・ルールは、電子形式で保有または転送される医療情報を保護するための基準を定めている。これは、電子的に保護された医療情報の機密性、完全性、および可用性を保証するために、エンティティが使用すべき一連の管理的、物理的、および技術的なセーフガードを規定するものである。
• 侵害通知規則は、HIPAAの対象となる事業体およびその業務提携者に対し、保護されていない保護されるべき医療情報の侵害が発生した場合に通知を行うことを義務付けている。この通知は、不合理な遅延なく、違反の発見後60日以内に行われなければならない。

2.あなたの組織に適用されるルールを見つける

HIPAAによって直接規制されるのは、ヘルスプラン、ヘルスケアクリアリングハウス、および特定のヘルスケアプロバイダーを含む対象事業体である。これらの組織は、特定の免除が適用されない限り、HIPAA規則のすべてに従わなければならない。

一方、業務提携者は、HIPAA規則の特定の条項のみを遵守する必要がある。これには、保護される医療情報へのアクセス、または保護される医療情報の使用もしくは開示に関与する機能もしくは活動を、保護される事業体に代わって行う、または特定のサービスを提供する事業体が含まれる。

3.リスク分析の実施

HIPAAコンプライアンス・チェックリストを作成する最後のステップは、リスク分析を行うことです。これは、電子的に保護された医療情報の機密性、完全性、および可用性に対する潜在的な脅威や脆弱性を特定するプロセスです。

リスク分析には、e-PHIに対する潜在的なリスクの可能性と影響の評価、それらのリスクに対処するための適切なセキュリティ対策の実施、選択されたセキュリティ対策の文書化、および必要な場合にはそれらの対策の採用の根拠が含まれるべきである。

4.施設へのアクセスと管理対策

このステップでは、許可された人員のみが保護された医療情報（PHI）にアクセスできるようにする。これには、キーカードによるアクセス、患者記録の安全な保管場所、監視システ ムなどの物理的なセキュリティ対策が含まれる。また、安全なネットワーク、暗号化されたデータ保存、堅牢なファイアウォールなどのデジタル・セキュリティ対策も含まれる。

効果的な訪問者管理システムは、施設の入退室管理に不可欠な要素である。来訪者は、施設内では常に出入りを記録し、付き添われるべきである。この措置により、無許可の個人がPHIに出くわす機会がないことがさらに保証される。

5.電子的保護医療情報（EPHI）の技術的保護措置とアクセス・コントロール

HIPAAセキュリティー・ルールは、EPHIを保護するために技術的セーフガードを導入することを対象事業体に義務付けている。これらの保護措置は、許可された個人のみが電子的な保護された医療情報にアクセスできるようにしなければならない。

アクセス管理措置には、一意のユーザー識別（ユーザー識別および追跡のための一意の名前および／または番号の割り当て）、緊急アクセス手順、自動ログオフ、暗号化および復号化が含まれなければならない。

6.包括的な暗号化の導入

暗号化は、HIPAAコンプライアンスに不可欠なもう一つの側面である。HIPAAセキュリティ規則では、暗号化を対処可能な実装仕様とみなしている。これは、エンティティがその仕様が合理的かつ適切でないと判断した場合、その理由を文書化し、同等の代替手段を導入しなければならないことを意味する。

対象事業体および業務関係者は、EPHIの送信、特にインターネット経由での送信に暗号化技術を使用すべきである。技術の進歩に伴い、暗号化はEPHIを保護するための標準的な慣行となりつつある。

7.コンプライアンス違反に対する制裁方針の確立

制裁方針は、HIPAA規制を遵守しない従業員に対する結果を概説するものです。これは、潜在的な違反を抑止し、プライバシーとセキュリティに対する組織のコミットメントを示すために極めて重要です。以下は、制裁方針を作成し、実施するための重要なステップです：

• 何が違反を構成するか定義する：患者情報への不正アクセス、患者記録の安全確保の怠慢、適切な承認なしにPHIを共有することなど、様々な違反が考えられる。曖昧さを避けるため、違反の定義を具体的かつ明確にすることが重要である。
• 違反の結果の概要：書面による警告、停職、解雇などの懲戒処分が含まれる。制裁の厳しさは、違反の厳しさに対応したものでなければならない。
• 全スタッフに方針を伝える：コンプライアンス違反がもたらす可能性のある結果を認識させ、方針が一貫して施行されることを明確にする。

8.インシデント対応チームの設置

HIPAAインシデント対応チームは、PHI侵害の可能性に対応し、インシデントを調査し、是正措置を実施する責任を負う。以下の手順は、HIPAAの要件を満たすインシデント対応チームの設立に役立ちます：

• チームを構成する要員の特定：これには通常、IT部門、経営陣、法務担当者、人事担当者が含まれる。これらの人材は、潜在的な情報漏洩を効果的に管理するために必要な知識と専門知識を有している必要がある。
• 役割と責任の明確化：これには、初期調査の実施、影響を受ける個人への通知、法執行機関との連携、是正措置の実施などの業務が含まれる。
• インシデント対応計画の策定：この計画では、インシデント対応チームがどのようにセキュリティインシデントを特定し、インシデントの初期封じ込めを実施し、インシデントを根絶し、通常業務を復旧させ、インシデントの事後調査を実施してプロセスを改善するかを明確に定義する。
• 潜在的な情報漏えいに備えて、定期的な訓練を実施する。このような訓練は、対応計画におけるギャップを特定し、侵害が発生した場合のチームメンバーの役割を明確にするのに役立ちます。

9.HIPAAポリシーと手順に関する定期的な研修の実施

HIPAAスタッフ・トレーニングは、HIPAAの基本、PHIの特定方法、PHI保護の重要性、および、 コンプライアンス違反の結果などのトピックを扱うべきである。また、PHIを安全に保管、伝送、廃棄する方法など、PHIに関連する具体的な手順も取り 扱うべきである。

すべての研修セッションの記録を残すことが重要です。これには、トレーニングの日付、カバーされた内容、出席者が含まれます。この文書は、監査が行われた場合に、HIPAAコンプライアンスに対する組織のコミットメントを証明するものとなります。

最後に、研修は1回限りであってはならない。スタッフがHIPAA要件に関する知識を維持できるよう、定期的な再教育コースを予定すべきである。これはまた、HIPAA規制や社内ポリシーの変更についてスタッフを更新する機会にもなる。

その他の主な検討事項

組織をHIPAA要件に適合させるための、その他の重要な考慮事項をいくつか紹介する。

• 緊急時のアクセス手順：対象事業体および業務関係者は、緊急時においても EPHI のセキュリ ティを保護するために重要な業務プロセスを継続できるような方針および手順を有するべ きである。
• 自動ログオフおよびその他のアクセス制御手段：自動ログオフとは、あらかじめ決められた時間操作がない場合に電子セッションを終了させる技術的な制御であり、ほとんどすべての技術システムに実装可能な機能である。これは、情報システムにPHIが含まれている場合に特に重要である。
• エンティティおよびクレデンシャルの一意の識別子：HIPAA規則では、すべてのカバーされるエンティティおよび業務関連会社は、一意の識別子を持たなければならない。これにより、対象事業体または事業関連者は、標準的なトランザクショ ンにおいて識別される。対象事業体または業務関係者は、その識別子として雇用者識別番号（EIN）を使用することができる。
• 根本原因分析(RCA)と事後レビュー:事後レビューとプロセス改善は、過去の違反から学ぶことによって将来の違反を防止するための積極的なアプローチである。RCAは、情報漏えいを引き起こした要因を特定し、今後このような事態が発生しないよう対策を講じるプロセスである。

ExabeamによるHIPAAコンプライアンス

HIPAA のコンプライアンス違反は、OCR による多額の罰金やその他の結果を招く可能性があります。パッチ管理、アクセス制御、および監視が適切なソリューション・スタックで完全に実装されていない場合、組織はランサムウェアや患者ケアに影響を与える可能性のあるその他の攻撃ベクトルに対して脆弱な状態になります。

AI-Driven Exabeam Fusion Enterprise Edition Incident Responderテレメトリーは、ログとコンテキスト、セキュリティ・インテリジェンス・フィード、AI分析を組み合わせて、潜在的な攻撃を示す異常な動作を特定します。あらかじめ構築されたダッシュボードは、HIPAAコンプライアンスレポートを容易にします。NISTのようなフレームワークを使用している場合でも、MITRE ATT&CK ^{ⓇExabeamは}、コンプライアンスとガバナンス要求のニーズを追跡するための明確な経路を提供します。

Exabeam PlatformのOutcomes Navigator機能は、検知範囲と改善点を継続的に可視化し、ログ解析の改善案を提供するだけでなく、ATT&CKフレームワークのどの部分に対してどのソースと検知が最も効果的であるかを示し、ネットワーク侵入、永続性、横方向への移動を示すユースケースを表示します。