HIPAAコンプライアンス基準とは？

デジタルまたはアナログ形式で保護された医療情報を扱う組織は、医療保険の相互運用性と説明責任に関する法律（HIPAA）を遵守しなければなりません。HIPAAの罰金により、ある企業は次のような損害を被った。500万ドル2021年

HIPAAコンプライアンス基準の厳格な遵守は、データ損失を防止し、法的および金銭的な影響を回避するのに役立ちます。組織は、HIPAAで保護されたデータを保護しセキュアにするために、データ損失やデータ漏洩を防止するセキュリティ・ツールやソリューションを必要としています。

HIPAAに拘束される組織にとって、コンプライアンスはかなり困難な作業である。この記事では、HIPAAコンプライアンス基準の基本的な側面をカバーし、コンプライアンスを効果的に達成するための指針を示すことを目的とする。

HIPAAコンプライアンスとは？

について医療保険の相互運用性と説明責任に関する法律は、個人を特定できる医療情報のプライバシーとセキュリティを保護するための規則を定め、機密性の高い患者データの保護に関する全米の基準を確立するものである。

保護されるべき医療情報（PHI）を取り扱う企業は、HIPAAコンプライアンス基準に従わなければならない。これらの基準は、PHIを扱う2つのタイプの事業体、対象事業体と事業関連者を区別している：

• 対象事業体-治療、支払および医療業務を提供するあらゆる事業体。
• 業務提携者-患者情報にアクセスし、第三者としてPHIを扱い、治療、支払、または業務 のサポートを提供する者。これには、請求会社、第三者コンサルタント、ITプロバイダー、弁護士、会計士などの下請業者が含まれる。

医療業界のデジタル化は、患者の機密情報を扱う上で新たな課題を生み出している。今日の医療システムでは、コンピュータによる医師オーダー入力（CPOE）システム、電子カルテ（EHR）、薬局、検査システムなど、ほとんどの業務がコンピュータ化されている。したがって、医療データが直面するセキュリティ・リスクを考慮し、この個人情報を安全に取り扱うためには、PHIを保護するシステムが不可欠である。

推奨リソース：AIサイバーセキュリティ：サイバー脅威からAIシステムを守る。

HIPAA違反とは何か？

PHIの完全性を損なうような組織のコンプライアンス・プログラムの違反は、すべてHIPAA違反とみなされる。

よくあるHIPAA違反

すべてのデータ漏洩がHIPAA違反ではないが、すべてのHIPAA違反はセキュリティ侵害を伴う。HIPAA違反は、HIPAAコンプライアンス・プログラムが効果的でない、不完全である、または時代遅れである、あるいは組織のHIPAAコンプライアンス・ポリシーに直接違反することによって生じる。

例えば、医療記録にアクセスできる暗号化されていない会社のノートパソコンを従業員が盗んだり紛失したりした場合、データ漏洩とみなされます。ノートパソコンの所有者（会社）が、会社のノートパソコンが社外に持ち出されないようにするポリシーを持っていなかったり、暗号化を義務付けていなかったりすれば、HIPAA違反となる。

よくあるHIPAAの間違い

データ侵害に直面した組織は、HIPAA侵害通知規則と呼ばれるプロトコルに従う必要がある。このプロトコルは、データ侵害の範囲によって異なる。HIPAA Breach Notification Ruleは、2種類の情報漏洩について言及している：

• 軽微な違反- データ漏洩は、その影響が管轄区域ごとに500人までであれば、軽微なものとみなされる。軽微な情報漏えいの影響を受けた組織は、年に1回、暦年末の60日前に報告する必要がある。さらに、データ漏洩の発覚から60日が経過する前に、影響を受ける個人に通知する必要がある。
• 意味のある情報漏えい-HSSは、データ漏えいが1つの地域で500人以上の個人に影響を与える場合、意味のある情報漏えいと見なします。このような情報漏えいは、情報漏えいが発覚してから60日以内に報告する必要があります。影響を受ける組織は、データ漏洩が発見されたらすぐに個人に通知しなければならない。HSSは2009年以降、意味のある情報漏えいを情報漏えい通知ポータルで公表している。

HIPAA規則

HIPAA基準には4つの主要な規則があり、プライバシー規則とセキュリティ規則が包括的なものである。

• HIPAAプライバシー規則-「個人を特定できる健康情報のプライバシーの基準」とも呼ばれ、医療記録など特定の健康情報の保護基準を定め、医療計画、医療情報センター、医療提供者に適用される。また、医療記録の訂正要求やコピーの取得など、患者の健康情報に対する権利を定めている。この規則は、対象事業体のみに適用される。この規則で概説されているその他の基準には、使用・開示フォームやプライバシー慣行通知の内容が含まれる。組織は、これらの規制基準を方針と手続きに文書化し、これらの方針と手続きについて毎年全スタッフに研修を行い、出席を文書化しなければならない。
• HIPAAセキュリティ規則-PHIの維持、伝送、取り扱いに関するセキュリティ基準を定める。これは、対象事業体および業務提携者に適用される。この規則は、コンプライアンスを維持するために必要な物理的、管理的、技術的措置を含む、情報の完全性と安全性の基準を決定する。個人情報保護規則と同様に、組織はこれらの規則を自らのHIPAA方針および手順に文書化し、毎年スタッフに研修を行わなければならない。
• HIPAA違反通知規則-この規則は、保護されるべき医療情報に関わるセキュリティ違反が発生した場合に、対象事業体および事業関連者が従わなければならない基準を定めている。組織は、データ侵害またはHIPAA違反の重大性に応じて異なる期限を定めて、すべての侵害を報告しなければならない。
• HIPAAオムニバス規則-HIPAA規則の補遺であり、業務提携先に基準を適用する。このルールによると、ビジネス・アソシエイトはHIPAAに準拠していなければならない。この規則は、PHIまたはePHIを移転する前に、対象となる事業体と事業関連者との間、または2つの事業関連者との間で締結される契約である事業関連契約（BAA）に関する規則の概要を示している。

効果的なHIPAAコンプライアンス・プログラムの7つの要素

HIPAAの立ち上げを担当した保健福祉省（HHS）は、「効果的なコンプライアンス・プログラムの7つの要素」を制定しました。このプログラムは、HHSのコンプライアンス・トレーニング・ガイドに含まれており、コンプライアンスへの取り組みを方向づけるための7つの指針を概説している：

1. 文書化された方針、手順、行動基準を持つ
2. コンプライアンス・オフィサーおよびコンプライアンス委員会の設置
3. 全従業員を対象とした、出席義務のある効果的な研修・教育の実施
4. 効果的なコミュニケーションラインの構築
5. 内部モニタリングと監査の実施
6. プロトコルと公表された懲戒ガイドラインによる基準の実施
7. 発見された違反に対して迅速な是正措置を講じること

これらの原則は、HIPAA規制を遵守するために組織が作成するすべてのプロトコール、方針、手順の基礎となるべきである。さらに、監査人は調査を行う際にこれらのガイドラインを使用する。

結論

HIPAAコンプライアンスは、利用者のデータを保護し、プライバシーとセキュリティを保証する。これらの目標を達成するために、組織はセキュリティ文化を醸成すべきである。トレーニング・ワークショップを実施し、セキュリティ意識の向上を実践することで、スタッフがベスト・プラクティスを統合できるようになります。

組織は、SIEMソリューションのようなセキュリティ・ツールでネットワーク環境を保護すべきである。ファイアウォールやエンドポイントセキュリティなどのソフトウェアは、攻撃者から境界を守るのに役立つ。さらに、内部からの脅威を防ぐためには、データへのアクセスの監視と制御が不可欠である。データ漏洩が増加する中、HIPAAを遵守することは、単に規制要件の問題ではなく、組織とユーザーを保護することである。