HIPAA違反：種類、例、歴史上最大の違反行為

HIPAA違反とは何か？

HIPAA（Health Insurance Portability and Accountability Act：米国医療保険の 相互運用性と説明責任に関する法律）は、個人の重要な健康情報を保護す るために1996年に制定された。HIPAA違反は、保護された医療情報（PHI）を許可なく使用または開示し、PHIのセキュリティまたはプライバシーを侵害した場合に起こります。医療提供者として、これらの規制を常に遵守することは私たちの責任です。推奨記事：AIサイバーセキュリティ：サイバー脅威からAIシステムを守る。

HIPAA違反は様々な形で起こりうるが、必ずしも故意の怠慢や意図的な不正行為の結果とは限らない。医療従事者が患者の病状について友人と話し合ったという単純なものから、巧妙なサイバー攻撃によるシステム全体のデータ漏洩という複雑なものまで、様々なものがある。どのように発生したかにかかわらず、それぞれの違反がエスカレートするかによって、多額の罰金や懲役刑の可能性を含む厳しい罰則が課される可能性がある。

HIPAA違反の種類

HIPAA違反の4つのレベル

HIPAA違反は、その罪の重さによって4つのレベルに分けられる：

• 第一段階は、企業が違反に気づかず、現実的に回避できなかった場合である。
• 第2レベル企業が認識すべきであったが、合理的な注意を払っても回避できなかった違反を含む。
• 3つ目のレベルは、企業が故意に怠ったが、適時に是正した違反である。
• 第4の最高レベルこれには、企業が故意に怠り、適時に是正しなかった違反も含まれる。

これらの各レベルはそれぞれ異なる罰金額に対応しており、違反1件につき100ドルから150万ドルまでの幅がある。罰則の重さは、多くの場合、関与した過失のレベルと影響を受けた患者または患者に加えられた損害に依存する。

民事と刑事の違い

場合によっては、HIPAA違反が刑事責任を問われることもある。これは通常、違反が特に悪質で、責任者が故意に有害な意図を持って行動した場合に発生します。HIPAA違反の刑事罰は、罰金および禁固刑の対象となり、罰金額は5万ドル、禁固刑1年から25万ドル、禁固刑10年までとなる。

HIPAAに対する民事上の違反は、はるかに一般的である。例えば、医療提供者が誤ってPHIを開示したり、PHIを適切に保護しなかったりした場合などである。このような違反は通常、悪意は伴わないが、それでも多額の罰金が科される可能性がある。

侵害通知

PHI（保護されるべき健康情報）の侵害が発生した場合、HIPAAは、影響を受ける個人、保健福祉省（HHS）、および特定の場合にはメディアに通知するための特定の手順を義務付けています。違反とは、保護された医療情報のセキュリティまたはプライバシーを侵害する、プライバシー規則に基づく許されない使用または開示と定義される。

通知にはいくつかの種類がある：

• 個人への通知：対象事業者は、影響を受ける個人に対し、不合理な遅延なく、またいかなる場合にも情報漏えいの発覚後60日以内に通知しなければならない。この通知には、何が起こったか、関係するPHIの種類、個人が自らを守るために取るべき措置、調査および被害軽減のために事業体が行っていること、さらに問い合わせるための連絡先が記載されていなければならない。
• HHSへの通知：500人未満に影響する情報漏えいについては、対象事業体はログを保持し、毎年HHSに提出しなければならない。500人以上の個人に影響を及ぼす違反については、事業体は、個人への通知と同時に、できればHHSのウェブサイトを通じて、HHSに通知しなければならない。
• メディアへの通知：情報漏えいが州または管轄区域の住民500人以上に影響を及ぼす場合、対象事業者は、その州または管轄区域を管轄する著名なメディアにも通知を提供しなければならない。この要件は、影響を受けた可能性があるにもかかわらず違反に気づいていない個人が保護措置を講じることができるように、違反に関する情報をより広く伝えることを意図している。

避けるべきHIPAA違反の例

保護された医療情報（PHI）の許されない開示

PHI（保護されるべき健康情報）とは、健康状態、医療の提供、または医療費の支払いに関する情報で、特定の個人に関連付けることができるものをいう。最も一般的なHIPAA違反の一つは、PHIの許されない開示である。これは通常、医療提供者またはその関係者が、患者の許可なく、または医療に関連しない目的でPHIを開示する場合に起こる。

このような許されない開示は、意図的に起こることもあれば、意図せずに起こることもある。例えば、医療従事者が公共の場で患者の状態について話したり、スタッフがPHIを含む文書を紛失したりした場合に起こりうる。PHIを含むEメールを間違った受信者に送るというような単純な行為でさえ、違反につながる可能性がある。

PHIへの不正アクセス

もう一つのよくあるHIPAA違反は、PHIへの不正アクセスである。この違反は、医療従事者が、そのような行為が法律違反であることを認識しているにもかかわらず、不必要に、あるいは個人的な理由で患者情報にアクセスした場合によく起こります。

不正アクセスの例としては、病院の職員が興味本位で有名人の医療記録を閲覧したり、医療関係者が本人の同意なしに家族の健康記録をチェックしたりすることが考えられる。このような場合、個人情報の盗難、差別、その他の危害につながる可能性があるため、患者にとって潜在的な危害は重大である。

PHIを保護するツールとプロセスの欠如

HIPAAは、医療提供者に対し、PHIを保護するための適切なセーフガードの実施を義務づけている。これには、安全な通信経路の使用、電子PHIの暗号化、PHIの適切な廃棄などが含まれる。これらのツールやプロセスの欠如は、HIPAA違反につながる可能性がある。

このような違反の一般的な例として、PHIを伝送する安全でないネットワークやアプリケーションの使用がある。医療提供者や保険者は、取引の両端においてPHIを保護するための暗号化ツールを使用せず、不正アクセスに対して脆弱なままにしておくこともある。物理的な面では、PHIを含む文書を捨てる前にシュレッダーにかけないなど、PHIの不適切な廃棄も違反につながる可能性がある。これは、医療機関以外の企業にも、医療提供者や保険者にも起こりうる。

HIPAAに準拠した業務提携契約の不締結

医療提供者は、PHIに関わる業務を代行する業務提携先と協働することが多い。HIPAAは、医療提供者がこれらの事業体とHIPAAに準拠した業務提携契約（Business Associate Agreement：BAA）を締結することを義務付けています。BAAは、業務提携者がHIPAAにおける責任を理解し、その要件に従うことに同意することを保証するものです。

適切なBAAを締結していないと、HIPAA違反になる可能性がある。この違反は、医療提供者が業務提携者とのBAAへの署名を怠ったり、BAAがHIPAA要件に完全に準拠していない場合によく起こります。

患者の健康情報へのアクセスを提供しない

HIPAAは、患者に自分の健康情報にアクセスする権利を与えている。一般的なHIPAA違反は、医療提供者がこのアクセス権を患者に提供しない場合に発生する。これは、HIPAAの要件に関する知識不足によるものであったり、患者が他で治療を受けることを思いとどまらせるために意図的にアクセスを拒否するものであったりする。

雇用主への不適切な開示

HIPAAはまた、雇用主に対するPHIの不適切な開示からも保護する。医療提供者は、患者の明確な承認なしに、PHIを雇用者と共有することはできない。医療提供者が、労災補償やその他の仕事関連の給付とは無関係な理由で、PHIを雇用者に開示した場合、違反が起こる可能性がある。

最大のHIPAA違反と罰金

HIPAA違反のリスクと包括的なコンプライアンス対策の必要性を説明するために、近年で最も大きなHIPAA違反をいくつか紹介する。

アンセム

米国最大級の医療保険会社であるアンセムは、2015年に大規模なデータ漏洩に見舞われた。この情報漏えいにより、約7900万人が影響を受け、氏名、社会保障番号、その他の個人情報が流出した。この結果、アンセムは複数のHIPAA違反で市民権局（OCR）から過去最高の1600万ドルの罰金を科された。

メモリアル・ヘルスケア・システム（MHS）

2012年、MHSは115,143人分のPHIに不正アクセスするデータ漏洩を起こした。この情報漏えいは、元従業員が雇用終了後もPHIへのアクセスを保持したために発生した。アクセス管理の不備と定期的な記録の見直しの怠慢により、550万ドルの罰金が課された。

NYプレスビテリアン病院およびコロンビア大学メディカルセンター

2010年、個人用サーバーの停止により6,800人分の電子的な保護対象医療情報（ePHI）が不注意で開示されたため、2つの事業体は合計480万ドルの罰金を科された。OCRは、どちらの事業体もサーバーをリスクとして特定することができる正確かつ徹底的なリスク分析を行っていなかったと判断した。

アドボケート・ヘルスケア（AHC）

AHCは2016年、555万ドルの支払いで複数のHIPAA違反の可能性を解決した。これらの違反には、リスク分析の欠如、方針および手続きの不履行、業務提携契約の不履行が含まれる。

シグネット・ヘルス

シグネット・ヘルス社は2010年、41人の患者の医療記録へのアクセスを拒否し、その後OCRの苦情に関する調査に協力しなかったとして430万ドルの罰金を科せられた。

ExabeamによるHIPAAコンプライアンス

HIPAA のコンプライアンス違反は、OCR による多額の罰金やその他の結果を招く可能性があります。パッチ管理、アクセス制御、および監視が適切なソリューション・スタックで完全に実装されていない場合、組織はランサムウェアや患者ケアに影響を与える可能性のあるその他の攻撃ベクトルに対して脆弱な状態になります。

Exabeam Fusion Enterprise Edition Incident Responderテレメトリーは、ログとコンテキスト、セキュリティ・インテリジェンス・フィード、AI分析を組み合わせて、潜在的な攻撃を示す異常な行動を特定します。あらかじめ構築されたダッシュボードにより、HIPAA コンプライアンスのレポートが容易になります。NISTやMITRE ATT&CK ^Ⓡのようなフレームワークを使用しているかどうかにかかわらず、Exabeamはコンプライアンスとガバナンスのニーズを追跡するための明確なパスを提供します。

Outcomes Navigatorは、検出範囲と改善点の継続的な可視化と洞察を提供し、ログの解析における改善の提案を行うだけでなく、どのソースと検出がATT&CKフレームワークのどの部分に対して最も効果的であるかを示し、ネットワーク侵入、永続性、および横方向の移動を最も示すユースケースを示します。