HIPAAセキュリティ：セキュリティ規則遵守のための7つのステップ

HIPAAのセキュリティとプライバシーに関する規則とは？

HIPAAセキュリティおよびプライバシー規則は、1996年に米国で制定された連邦法であるHealth Insurance Portability and Accountability Act (HIPAA)の重要な構成要素です。これらの規則は、特定の健康情報、特に個人を特定できる健康情報のプライバシーとセキュリティを保護するための基準を定めています。

プライバシー・ルールは、個人健康情報（保護されるべき健康情報（PHI）としても知られる）のプライバシーを保護するものである。この規則は、電子的、書面、口頭を問わず、あらゆる形態のPHIに適用されます。この規則は、医療提供者、医療計画、およびHIPAAの対象となるその他の団体に対し、PHIのプライバシーを保護するためのセーフガードを実施することを要求し、患者の承認なしにそのような情報を使用および開示することに制限と条件を定めています。

Security Ruleは、Privacy Ruleのサブセットであり、特にElectronic Protected Health Information（ePHI）に関するものです。これは、対象事業体によって作成、受領、使用、または維持される個人の電子的な個人健康情報を保護するための国家基準を定めるものです。セキュリティ規則は、ePHIの機密性、完全性、およびセキュリティを確保することを事業体に義務付けています。

HIPAAセキュリティ規則の対象となるのは？

HIPAAセキュリティー・ルールは、法律が「対象事業体」と定義するものに適用されます。これらには、特定の取引に関連して健康情報を電子的に送信する病院、診療所、介護施設、 薬局、医師などの医療提供者が含まれます。健康保険会社、HMO、企業の医療計画、メディケアやメディケイドのような医療費を支払う政府プログラムも対象事業体です。さらに、請求サービス、地域医療管理情報システム、再価格設定会社などの医療クリアリン グハウスも、これらの規制の対象です。

これらの対象事業体のビジネスアソシエート（BA）もまた、HIPAAセキュリティ規則を遵守する必要があります。これらのビジネス・アソシエートは、PHIの使用または開示に関与する機能または活動を、対象事業体に代わって実行する、あるいは対象事業体にサービスを提供する第三者サービス・プロバイダーです。これには、請負業者、コンサルタント、ベンダー、下請業者が含まれます。この規則では、対象事業体が業務提携者と契約またはその他の取り決めを行い、PHIの適切な使用と開示のみを行い、PHIを保護することを義務付けています。

HIPAAセキュリティ規則の3つの基準とは？

HIPAAセキュリティ規則では、コンプライアンスに必要なセキュリティ保護措置として、管理的、物理的、技術的の3種類を定めています。これらの各基準には、ePHIの機密性、完全性、および可用性を確保するために、対象事業体および事業関連者が遵守しなければならない具体的な実施仕様が定められています。

行政上の保護措置

管理上の保護措置とは、ePHIを保護するためのセキュリティ措置の選択、開発、実施、および維持を管理し、情報の保護に関連する対象事業体の従業員の行動を管理するための管理上の行動、方針、および手順です。

これには、リスク分析と管理、従業員の訓練、セキュリティ担当者の設置、アクセス管理、従業員のセキュリティ、セキュリティ方針と手順の評価などが含まれます。目標は、正式なセキュリティ管理プロセスの構築、専任の個人へのセキュリティ責任の付与、従業員のセキュリティ意識向上とトレーニングの実施、緊急時対応計画の策定などです。

物理的セーフガード

物理的保護措置とは、対象事業体の電子情報システム、関連する建物、および機器を、自然災害や環境災害、不正侵入から保護するための物理的措置、方針、および手順を指します。

これには、施設のアクセス管理、ワークステーションの使用とセキュリ ティ、デバイスとメディアの管理が含まれます。対象事業体及び事業関連者は、電子情報システム及びそれらが収容される施設への物理的なア クセスを制限する一方で、許可されたアクセスを確保するための方針を実施すべきです。これには、ワークステーション及び電子メディアの適切な使用及びアクセスに関する手順、並びに電子メディアの移転、除去、廃棄及び再使用に関する方針が含まれます。

技術的セーフガード

技術的保障措置とは、ePHIを保護し、ePHIへのアクセスを制御するための技術、及びその使用に関する方針と手続です。特に暗号化と復号化、アクセス制御、監査制御、完全性制御に重点を置き、ePHIを保護するための技術的要件とポリシーを提供します。

アクセス管理は、許可された個人のみがePHIにアクセスできることを保証します。監査統制は、情報システムにおけるアクセスおよびその他の活動を記録し検査するハード ウェア、ソフトウェア、および手続き上の仕組みです。完全性管理は、ePHIが不正な方法で改ざんまたは破壊されないことを保証し、送信セキュリティ対策は、電子ネットワークを介して送信されるePHIへの不正アクセスから保護します。

HIPAAプライバシーおよびセキュリティ規則遵守のための7つの重要なステップ

HIPAAのプライバシーとセキュリティに関する規則に完全に準拠することは複雑であり、この記事で完全に取り上げることはできません。しかし、以下では、組織のHIPAAコンプライアンスへの取り組みにおいて通常必要とされる7つの重要なステップについて検討する。

1.リスク分析の実施

リスク分析には、組織内のePHIの機密性、完全性、および可用性に対するリスクを特定し、評 価することが含まれます。リスク分析は、ePHIを作成、受領、維持、または送信するすべてのシステム、アプリケーション、およびプロセスを対象とする包括的なものでなければなりません。

リスク分析では、旧式のソフトウェア、暗号化の欠如、不十分なアクセス制御、従業員教育の欠如など、潜在的な脆弱性を特定する必要があります。また、ePHIの量、ePHIの種類、ePHIが漏洩した場合の個人への潜在的な被害などの要因を考慮し、これらの脆弱性がもたらす潜在的な影響を評価する必要があります。

リスクを特定し、評価したら、次のステップは、その可能性と潜在的な影響に基づいて優先順位をつけ、リスク管理計画を策定することです。この計画には、リスクを許容可能なレベルまで低減するために実施する対策と、その実施スケジュールを概説する必要があります。

2.割り当てられたセキュリティ責任

HIPAAセキュリティ規則の要件の一つは、規則が要求する方針および手順の策定と実施に責任を持つセキュリティ担当者の任命です。この個人は、しばしばHIPAAセキュリティ・オフィサーと呼ばれ、HIPAAセキュリティ・コンプライアンスを維持する上で重要な役割を果たす。

HIPAAセキュリティ・オフィサーは、HIPAAセキュリティ規則を十分に理解し、リスク分析を行い、セキュリティ方針と手順を策定・実施し、セキュリティ認識とトレーニング・プログラムを監督する能力を有するべきです。また、セキュリティ・インシデントや違反の管理、HIPAA監査や調査に対する組織の準備を確実にする責任を負うべきです。

3.ワークステーションとデバイスのセキュリティ

ePHIを保存または処理するワークステーションおよびデバイスは、HIPAAセキュリティコンプライアンスに重大なリスクをもたらします。したがって、これらのワークステーションやデバイスの使用を管理するポリシーと手順を導入し、それらが適切に保護されていることを確認することが極めて重要です。

ワークステーションは安全な場所に設置し、スクリーンセーバーまたは自動ログオフ機能を使用し て不正アクセスを防止すべきです。ノートパソコンやモバイル機器など、ePHIを保存する機器は、暗号化され、パスワードで保護されるべきです。また、使用しないときは安全な場所に保管し、不要になったら安全に消去または破棄すべきです。

4.ePHIへのアクセスを制限する仕組みの導入

ePHIへのアクセスは厳格に管理されるべきであり、そのアクセスは、役割または機能 に基づいて許可された個人またはソフトウェア・プログラムのみに許可されます。これには、アクセス制御、認証、暗号化などの技術的対策、およびアクセ スポリシーや手順などの管理的対策の実施が含まれます。

アクセス管理は、権限を付与された個人のみが ePHI にアクセスできること、およびその個人 が職務を遂行するために最低限必要な情報のみにアクセスできることを保証すべきです。ePHI にアクセスしようとする者の身元を確認するために認証メカニズムが使用されるべきであ り、ePHI の伝送中および保管中の保護のために暗号化が使用されるべきです。

アクセス・ポリシーおよび手順は、アクセス権の付与、変更、および取り消しのプロセスを概説し、ユー ザー、監督者、およびHIPAAセキュリティ・オフィサーの役割と責任を定義すべきです。また、アクセス・ポリシーおよび手順に違反した場合に取るべき措置も定めなければなりません。

5.サイバーセキュリティ事象に対する社内コミュニケーション計画の策定

効果的な社内コミュニケーションは、サイバーセキュリティ事象、特に ePHI が関係する事象を管理するために不可欠です。内部コミュニケーション計画を策定することで、セキュリティインシデントが発生した場合に、関係者全員に情報が伝達され、それぞれの役割が分かるようにします。この計画では、潜在的または実際の侵害に関する情報を組織内でどのように伝達するかについて、伝達経路、情報の流れ、各チームメンバーの役割と責任などを明記します。

計画は、ePHIの侵害が疑われる、または確認された場合の報告手順を詳述すべきです。これには、そのようなインシデントを誰に報告すべきか、発見後どの程度迅速に報告すべきか、最初の報告に含めるべき具体的な情報を特定することが含まれます。

コミュニケーション計画には、インシデント管理プロセスにおける継続的なコミュニケー ションのプロセスについても概説し、HIPAA セキュリティオフィサーや IT スタッフを含む主要な利害関係者に、進展状況や対応策について常に情報が提供されるようにします。さらに、この計画には、デブリーフィングとインシデント発生後の分析に関する規定を盛り込み、組織が各インシデントからセキュリティ態勢を学び、改善できるようにします。

6.侵害通知プロトコルの確立

ePHIを保護するための最善の努力にもかかわらず、侵害は起こり得ますし、実際に起こります。したがって、情報漏えい通知プロトコルを整備することが極めて重要です。このプロトコルには、情報漏えいの特定と封じ込め、情報漏えいに関連するリスクの評価、影響を受ける個人および保健福祉省（HHS）への通知など、情報漏えいが発生した場合に取るべき措置の概要が記載されている必要があります。

情報漏えい通知手順には、追加的なセキュリティ対策の実施、方針や手順の改訂、従業員への追加的な研修の提供など、将来の情報漏えいを防止するために講じるべき措置の概要も記されていなければなりません。

7.監査時にコンプライアンスを証明するために、広範な記録を保管する。

HIPAAセキュリティ・コンプライアンスの重要な側面の一つは、監査や調査の際にコンプライアンスを証明できることです。これには、すべてのセキュリティ方針と手順、リスク評価、および研修資料の記録を保管し、HHSの要求に応じてそれらを利用できるようにすることが含まれます。

これらの記録は、要求される保護措置の実施の証拠となるべきものであり、組織が包括的なリスク分析を実施し、リスク管理計画を実施し、HIPAAセキュリティ・オフィサーを任命し、全従業員に研修を実施したことを示すものでなければなりません。

ExabeamによるHIPAAコンプライアンス

HIPAA のコンプライアンス違反は、OCR による多額の罰金やその他の結果を招く可能性があります。パッチ管理、アクセス制御、および監視が適切なソリューション・スタックで完全に実装されていない場合、組織はランサムウェアや患者ケアに影響を与える可能性のあるその他の攻撃ベクトルに対して脆弱な状態になります。

Exabeam Fusion Enterprise Edition Incident Responderテレメトリーは、ログとコンテキスト、セキュリティ・インテリジェンス・フィード、AI分析を組み合わせて、潜在的な攻撃を示す異常な行動を特定します。ダッシュボードは、HIPAA コンプライアンスの報告を容易にします。NISTのようなフレームワークを使用している場合でも、MITRE ATT&CK ^{ⓇExabeamは}、コンプライアンスとガバナンス要求のニーズを追跡するための明確な経路を提供します。

Outcomes Navigatorは、検出範囲と改善点の継続的な可視化と洞察を提供し、ログの解析における改善の提案を行うだけでなく、どのソースと検出がATT&CKフレームワークのどの部分に対して最も効果的であるかを示し、ネットワーク侵入、永続性、および横方向の移動を最も示すユースケースを示します。