ビジネス向けHIPAAコンプライアンスガイド

個人の医療情報を取り扱う際、HIPAAコンプライアンスはビジネスおよびクライアントのプライバシーにとって必須です。

HIPAAコンプライアンスとは何ですか？ HIPAAコンプライアンスは、保護された健康情報を取り扱う個人および団体に求められる規制を定めた医療保険の相互運用性と説明責任に関する法律に従うことです。

HIPAAとは何ですか？

医療保険の相互運用性と説明責任に関する法律は、プライベートな健康情報を保護するための国家基準を策定するために1996年に議会で可決された法律です。この法律が制定される前は、患者情報を保護するための全国的な基準は存在しませんでした。HIPAAは、この種の情報が監視や規制の外に置かれるには重要すぎるという議会の懸念から生まれました。

1996年8月21日にビル・クリントン大統領によって法律として署名されたHIPAAは、医療提供者の行動に関する特定の要件と基準を設定しています。これには、いくつかの基本的な規制が含まれます：

• 医療提供者は、明示的な患者の許可がない限り、いかなる状況でも第三者に患者情報を開示してはなりません。
• 提供者はまた、治療やビジネス運営において患者情報が開示されないように適切なセキュリティ対策を実施しなければなりません。
• 従来の紙の記録は、2009年のHITECH法の追加により、100%デジタルの記録管理（および適切なセキュリティコントロール）に置き換えられなければなりません。

医療業界を統治するために、政府はいくつかの基本的な定義を設定しています：

• 保護された健康情報（PHI）: PHIはすべての規制の基盤であり、患者の治療またはその支払いに関連する識別可能な情報を表します。これには、医療情報、医師のメモ、薬局情報、住所や治療の一環として提供される支払い情報などの個人情報が含まれます。PHIは、医療提供者によって技術的および管理的なコントロールを通じて保護されなければなりません。患者の直接の許可なしに提供者によって開示されてはなりません。

• 対象団体: 対象団体は、HIPAAの下で統治および罰則の対象となる医療業界の規制された組織です。CEには、病院、保険会社、医師のオフィス、個人開業医が含まれます。

• ビジネスアソシエイト: CEのベンダーおよび第三者パートナーで、支払い処理、クラウドアプリケーション、ファイルストレージなどのサービスを提供するのがビジネスアソシエイトです。BAは患者と直接関わることはありませんが、PHIを取り扱うサービスを提供します。現代のHIPAA法の下では、BAもCEと同様にコンプライアンスに責任を負います。この責任は、CEとBAの間で必要とされる契約であるビジネスアソシエイト契約に明文化されています。

HIPAAコンプライアンス要件とは何ですか？

他のフレームワークと同様に、HIPAAにはCEとBAが満たさなければならない一連のコンプライアンス要件があります。これらの要件は、以下を含むいくつかの主要なルールに分けられます：

• プライバシールール: プライバシールールは、患者のプライバシーを保護するためのCEとBAの基本的な要件を定めた医療規制の基盤です。主に、これらの組織は非常に特定の状況を除いてPHIを開示することを禁じられています。
• セキュリティルール: セキュリティルールは、HIPAAの下でのCEとBAのセキュリティ要件を概説しています。このルールには、PHIを保護するために組織が使用しなければならない技術的、管理的、物理的なコントロールのガイドラインが含まれています。
• 侵害通知ルール: CEまたはBAのシステムが侵害され、PHIが開示された場合、これらの組織はそれについての通知方法と問題を軽減するためのステップについて、一般市民、患者、および政府に対して特定の義務を負います。
• オムニバスルール: 2013年にHIPAAに追加されたオムニバスルールは、現代の課題に対応するためにHIPAAの多くの言語を更新しました。特に、通知をより適切に処理するために侵害通知ルールを再構築しました。PHIを取り扱うBAに対する拡張された要件と義務を追加しました。

HIPAAセキュリティルールのセキュリティ要件とは何ですか？

セキュリティルールは、PHI保護の技術的、管理的、物理的な側面を統治します：

1. 技術的: 暗号化、ファイアウォール、マルウェア、ネットワーク構成、メール、アプリケーションセキュリティ、HIPAA準拠のファイル共有などのセキュリティコントロールと対策に関連します。
2. 管理的: リスク管理、トレーニングと継続教育、データガバナンスを含む、セキュリティの取り組みを維持し、さらに進めるためのポリシー、手順、プログラムに関連します。
3. 物理的: データセンターやオフィスのカメラやロック、ワークステーションやモバイルデバイスの保護など、場所やデバイスの保護に関連します。

これらのルールの中心には、設計図ではなくガイドラインがあります。たとえば、技術的なセキュリティ要件は、ソフトウェアやバージョンレベルで指定されていません。代わりに、ルールは、利用可能な最良の安全な技術に基づいて要件を指定しています。

管理的なセキュリティは、これらの要件の中で最も具体的でないことが多いです。組織は、管理的コントロールのセキュリティ管理プロセスを理解する必要があります：

1. リスク分析: CEとBAは、PHIに対する潜在的なリスクと脆弱性の正確かつ徹底的な評価を実施しなければなりません。
2. リスク管理: 組織は、リスク分析を使用して、PHIに対するリスクと脆弱性を管理、軽減、および削減するための管理ポリシーを策定しなければなりません。
3. 制裁ポリシー: 組織は、コンプライアンスを破った従業員に適用される制裁に関する特定のポリシーを持たなければなりません。
4. 情報システム活動レビュー: 組織は、リスク評価と最適化を通知するために、監査ログ、レポート、アクセスレポート、およびセキュリティインシデントレポートを定期的にレビューしなければなりません。リスク評価は、ITインフラストラクチャにおける潜在的なリスクの測定と、それらの評価に基づくポリシーの策定です。

これらのポリシーには、情報とその使用に応じて、患者からのデータを一定期間保持するポリシーの実施も含まれます。

さらに、物理的なコントロールは、現代のモバイル世界では見過ごされがちです。たとえば、2017年には、Concentra Health Servicesが約170万ドルを支払って、セキュリティが確保されていない盗難されたラップトップに関連する違反を解決しました。HIPAAの下では、従業員はデバイスを管理し、物理的なアクセスからそれらを保護し、PHIを含むすべてのデータセンターには物理的なロックと監視が必要です。最後に、PHIを含む物理メディアは、残存するPHIが引き出されないように適切に廃棄されなければなりません。

侵害通知ルールの下での要件とは何ですか？

コンプライアンスには、CEまたはBAがHIPAA侵害にどのように対応するかが含まれます。具体的には、これらの組織は、影響を受けた当事者に広範な通知を行う計画を持っていなければなりません。

侵害通知ルールの下でのコンプライアンス要件は、以下を含みます：

• 組織は、データ侵害の影響を受けた個人に通知しなければなりません。この通知は、ファーストクラスの郵便または（患者が許可した場合）メールで行わなければなりません。組織が10人以上の影響を受けた患者の情報を持っていない場合、少なくとも90日間、ウェブサイトに侵害通知を掲載し、フリーダイヤルの情報番号を含めなければなりません。
• 単一の管轄区域内で500人の患者に影響を与える侵害は、侵害の発見から60日以内にプレスリリースの形で著名なメディアに通知しなければなりません。
• すべての場合において、組織は保健福祉省（HHS）の長官室に通知しなければなりません。侵害が500人以上の患者に影響を与える場合、60日以内に通知しなければなりません。500人未満の場合、組織は年次で侵害通知を提供することができます。 
• ビジネスアソシエイトは、発見から60日以内にパートナーCEに通知しなければなりません。
• CEとBAの両方は、これらの要件を遵守したことを証明しなければなりません。

安全な技術でHIPAAコンプライアンスを維持する

HIPAAコンプライアンスは、米国で最も厳しいコンプライアンス規制の一つであり、対象団体またはビジネスアソシエイトとして医療業界で働く組織は、これらの要件を確実に満たさなければなりません。これらの規制はすべての技術と実践に適用されます。組織は、コンプライアンス技術を使用することが重要です。

メール、ファイル共有、マネージドファイル転送、アプリケーションプログラミングインターフェース（API）、ウェブフォームを介して送信される機密コンテンツに対して、Kiteworksは包括的なガバナンス、コンプライアンス、およびセキュリティを提供します。詳細を知るためにカスタムデモをスケジュールしてください。

 

リスク＆コンプライアンス用語集に戻る