Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > HIPAAコンプライアンス > HIPAA暗号化: 要件、ベストプラクティス & ソフトウェア
Blog Banner - HIPAA Encryption Requirements, Best Practices & Software

HIPAA暗号化: 要件、ベストプラクティス & ソフトウェア

by Vince Lau updated 1月 23, 2025 HIPAAコンプライアンス
Reading Time: < 1 minutes

HIPAAが暗号化を要求するかどうか疑問に思っていますか?暗号化が必要な場合、どのタイプが最適か、そしてコンプライアンスを維持するためのソフトウェアについて説明します。

HIPAAは暗号化を要求しますか?はい、HIPAAは患者の保護対象保健情報(PHI)および電子PHI(ePHI)が保存されている場合、つまりデータがディスクやUSBドライブなどに保存されている場合に暗号化を要求します。ただし、非常に特定の例外があります。

患者の健康情報の暗号化と現代の脅威の状況

2019年11月、ロチェスター大学医療センター(URMC)から暗号化されていないノートパソコンとフラッシュドライブが盗まれました。その結果、URMCはHIPAAのセキュリティ要件に違反する可能性があるとして、民権局(OCR)に300万ドルを支払いました。

PHIの損失は十分に問題ですが、OCRの調査は、組織全体でのセキュリティ実装の崩壊を示し、十分なリスク分析を行わなかったこと(その後、リスクと脆弱性を軽減すること)や、9年前に問題として指摘されていた適切なデバイス暗号化の欠如を示しました。

電子データ転送とモバイルデバイスの世界では、セキュリティが崩壊し、HIPAAの非準拠につながる方法が数多くあります。これらすべての方法は、強力なHIPAA準拠の実装の必要性を指し示しています。

患者プライバシーのためのデータ暗号化はどのように機能するのか?

患者プライバシーのためのデータ暗号化は、個人識別情報および保護対象保健情報(PII/PHI)を含むテキストや画像を、適切な許可やアクセス権を持つ者以外には読めないようにスクランブルすることで機能します。これを実現するために、データは暗号化アルゴリズムを使用してキー(認可された当事者のみが知っている)を用いて変換されます。暗号化されたデータは、安全に保存、送信、および認可された個人によってアクセスされることができます。データ暗号化はまた、データの整合性を提供し、許可なく変更が加えられたか、何かが削除されたかを検出することができます。これにより、データ侵害を防ぎ、患者のプライバシーを確保することができます。

電子患者健康情報に対するHIPAA暗号化要件とは?

HIPAAは、患者とその情報を保護するための3つの基本的なルールを確立しています:

  1. プライバシールールは、保護対象保健情報と文書化を概説します。
  2. 侵害通知ルールは、セキュリティ侵害後にHIPAA侵害を当局および患者に報告する方法を定義します。
  3. セキュリティルールは、ePHIの保存と送信のためのセキュリティ基準を確立します。

これらの要件には、ePHIの機密性とセキュリティを維持し、そのセキュリティに対する脅威から保護し、その情報に対する将来の脅威を予測する責任が含まれています。

これらの一般的な要件は、管理、リスク管理、および技術的実装に関連するより具体的な要件を通知しますが、特定のプロトコル、技術、または標準を指定していません。ただし、医療機関は、ePHIを保護するために合理的なセキュリティ対策を実施するか、そうしない理由を正当化する必要があると指定しています。ここでの考え方は、技術が拡大し、脅威が進化するにつれて、HIPAAセキュリティ技術(セキュリティソフトウェアを含む)も進化しなければならないということです。

したがって、短い答えは、セキュリティルールは使用する暗号化プロトコルを明示していないということです。最初は混乱するかもしれませんが、法律には、ePHIを保護する方法として使用されるセキュリティ標準の必要な強度と信頼性を指定するためのいくつかの要件が組み込まれています。これらは、米国国立標準技術研究所(NIST)の推奨に基づいています。

HIPAAによれば、暗号化ソフトウェアは、その情報の状態に関連する最小要件を満たす必要があります。情報が保存中であるか、転送中であるかにかかわらずです。

暗号化—必要なアドレス可能要件

暗号化は、ePHIを保護するための基準を定めたHIPAAセキュリティルールの重要な側面です。暗号化は「アドレス可能」な要件として分類されていますが、今日のデジタル医療環境におけるデータ侵害やサイバー攻撃のリスクが増加しているため、一般的には不可欠と考えられています。

HIPAAセキュリティルールにおける暗号化のアドレス可能な性質を理解する

HIPAAセキュリティルールの下で、暗号化は再び「アドレス可能」な要件と見なされます。この用語は最初は暗号化がオプションであることを示唆するかもしれませんが、それは完全に正確ではありません。「アドレス可能」とは無視可能という意味ではありません。代わりに、対象となる組織は、暗号化の実施が特定のコンテキスト内で合理的かつ適切であるかどうかを評価する必要があります。対象となる組織がePHIを暗号化しないことを選択した場合、その決定の根拠を文書化し、ePHIを保護するための同等の代替手段を実施する必要があります。

暗号化または同等の措置を実施しないことの結果

暗号化または同等の効果的な代替手段を実施しないことは、データ侵害による財政的罰則、評判の損害、患者への潜在的な危害を含む深刻な結果を招く可能性があります。さらに、違反が発生し、OCRが暗号化が侵害を防ぐか軽減することができたと判断した場合、対象となる組織はこのHIPAA要件に適切に対処しなかったことに対して責任を負う可能性があります。

最終的に、HIPAAは暗号化を「アドレス可能」な要件として分類していますが、実際には今日の医療環境では必要な措置です。強力な暗号化戦略を実施することで、医療機関はePHIのセキュリティを大幅に向上させ、HIPAAのコンプライアンスを確保し、患者の信頼を築くことができます。

データ保存時のHIPAA暗号化要件

HIPAAは、PHIの整合性と機密性を保護するための重要なセキュリティ対策を定めています。これらの対策の中で、特にデジタルデバイスに保存されているデータの暗号化は重要な要素です。HIPAAの暗号化要件は、NIST特別出版物800-111から多くを引き出しており、ストレージ暗号化技術のガイドラインを提供しています。

医療環境におけるデータ保存時

「データ保存時」とは、サーバー、ハードドライブ、ソリッドステートドライブ、またはスマートフォンやタブレットのようなモバイルデバイスなどのデジタルデバイスに静的な状態で保存されているコンテンツを指します。このデータは、特にデバイスの盗難、紛失、または不適切な廃棄の場合に、無許可のアクセスに対して特に脆弱です。PHIの機密性を考慮すると、医療環境でのデータ保存時(および転送時)のセキュリティを確保することは、侵害を防ぎ、患者の信頼を維持するために極めて重要です。

NIST特別出版物800-111:ストレージ暗号化技術の包括的ガイド

NIST特別出版物800-111、タイトル「エンドユーザーデバイスのためのストレージ暗号化技術ガイド」は、データ保存時のHIPAA暗号化要件の基盤です。このガイドは、さまざまなデバイスに保存されたデータのセキュリティを確保するためのさまざまな暗号化技術の包括的な概要を提供しています。

安全なデータストレージのための高度な暗号化技術の実施

NISTガイドは、データ保存時を保護するために高度な暗号化技術を使用することを推奨しています。これらの技術には、暗号アルゴリズムや技術が含まれ、適切な復号キーなしではデータを読み取れないようにします。フルディスク暗号化(FDE)は、ユーザーファイルやシステムファイルを含むストレージデバイス上のすべてのデータを暗号化する技術の一つです。同様に、仮想ディスク暗号化は、マシン上に暗号化されたコンテナまたは「仮想ディスク」を作成し、追加のセキュリティ層を提供します。

医療におけるモバイルデバイスのための強力な暗号化戦略の必要性

サーバーやコンピュータに加えて、NISTガイドはモバイルデバイス上のデータの暗号化の重要性を強調しています。持ち運びが容易であり、盗難や紛失のリスクがあるため、モバイルデバイスは重大なセキュリティ課題を引き起こす可能性があります。これらのデバイスに対して強力な暗号化方法を実施することは、保存されたPHIへの無許可のアクセスを防ぐために不可欠です。たとえデバイスが不正な手に渡ったとしても。

データ転送時のHIPAA暗号化要件

データが「転送中」である場合、それは送信者と宛先の間で積極的に移動しています。これには、メールやその他のソフトウェアを介して2つの医療提供者間でPHIを共有すること、クラウドストレージへの送信、または中央サーバーとモバイルデバイス間の送信が含まれます。

転送中、HIPAAはNIST特別出版物800-52「トランスポート層セキュリティ(TLS)実装の選択と使用のためのガイドライン」と800-77「IPsec VPNのガイド」を引用しています。これらの出版物は、データを保護するための適切な手順を概説しています。

ePHIを保護するためのHIPAA暗号化プロトコルとその役割

ネットワーク内のすべてのコンピュータとデバイスでデータ保存時の強力な暗号化を維持し、転送中の情報の強力な保護とともに、ePHIをプライベートに保ち、合理的かつ適切なエンドツーエンドのセキュリティ対策を使用していることを保健福祉省に示すのに役立ちます。

HIPAAコンプライアンスをサポートするいくつかの準拠措置があります。例えば、高度暗号化標準(AES-256)です。AES暗号化は、米国国立標準技術研究所によって確立された対称的な方法です。強力なセキュリティステップと複雑な256ビットの復号キーを通じて、この標準は総当たり攻撃で破ることがほぼ不可能であり、米国政府によって機密データの取り扱いに承認されています。

トランスポート層セキュリティ(TLS)は、HTTPS、メール、インスタントメッセージングを介した安全なデータ転送をサポートする別のプロトコルです。このプロトコルは、AES-256に加えて追加のセキュリティ対策を使用してデータ転送を保護します。

OpenPGP(Pretty Good Privacy)S/MIMEはどちらも準拠していますが、複雑な公開鍵管理を必要とし、多くの組織にとっては煩雑で時間がかかることがあります。AES-256とTLS 1.2にはそのような問題はなく、Kiteworksは他のセキュリティ対策よりもそれらを利用しています。

これらの技術は、組織が公開セキュリティキーを管理する必要があるため、メッセージの送信を難しくする可能性があります。また、必ずしも安全でないメール環境でメールメッセージが侵害されることを防ぐわけではありません。

一般的に、安全なシステムには、データ保存時のAES-256暗号化とデータ転送時のTLSが含まれているべきです。メールに公開鍵暗号化を要求することを避けるために、Kiteworksは安全なデータサーバーを利用し、ユーザーにリンクを送信します。したがって、暗号化されたデータを直接メールで送信するのではなく、Kiteworksはユーザー認証を備えた安全なサイトへのリンクを送信し、受信者がその情報を安全に閲覧できるようにします。

HIPAA暗号化の防御における最大の亀裂はどこにあり、暗号化がそのデータをどのように保護できるか?

HIPAAコンプライアンスを確保するための最初のステップとして、高度な暗号化を導入してください。しかし、いくつかの要因がその保護を弱め、非準拠の問題を引き起こし、患者データを露出させる可能性があります:

安全でないメールシステムとサーバー:

従業員は、メールやメールの添付ファイルを通じてPHIを送信することが避けられません。例えば、患者を専門医に紹介する際には、その医師のクリニックにPHIが満載の記録を送信する必要があります。

今日の主要な安全なメール製品は、すべての従業員のプライベートメールと添付ファイルに対してHIPAAコンプライアンスを確保できます。通常のメールと同じくらいシンプルで、ユーザーがキーを管理する必要がなく、巨大な診断ファイルも処理できるものを選択してください。患者、同僚、保険会社が特別なソフトウェアなしで安全に受信し、返信できることを確認してください。

紛失および盗難されたデバイス:

より多くの医療スタッフがノートパソコン、タブレット、携帯電話を使用して作業を行っており、それらのデバイスを通じて定期的にePHIを取り扱っています。暗号化されていないハードドライブを持つ盗まれたノートパソコンは、組織にとって大きなセキュリティリスクであり、非準拠のポイントです。同様に、安全でないアプリを使用するモバイルデバイスは、デバイス自体が暗号化されていても、組織を非準拠にさらす可能性があります。Kiteworksのようなプロバイダーは、HIPAA暗号化基準を満たす安全なモバイルアプリを提供しています。

スタッフとトレーニング:

弱いパスワード、悪いメール習慣、会社のデバイスにダウンロードされたマルウェア、または悪いブラウジング習慣は、組織が使用するセキュリティに関係なく、攻撃者がPHIを取得するための扉を開く可能性があります。HIPAA暗号化はこれらの攻撃の一部を防ぐことができますが、キーと重要なePHIデータへのアクセスを持つ紛失または盗難されたデバイスに対しては保護できません。

暗号化キーと証明書のローテーション:

世界最高のセキュリティでも、正しいキーを持つ人を止めることはできません。キーと証明書の定期的なローテーションは、侵害されたキーによるセキュリティ侵害に対してインフラストラクチャをより強靭にすることができます。

第三者パートナー:

組織が下請け業者、ベンダー、または他の関連者と協力している場合、HIPAAコンプライアンスの欠如に対して組織が責任を負う可能性があります。ベンダーとビジネスアソシエイト契約を結んでいる場合、侵害が発生した際の責任はそこにあります。Kiteworksは、医療業界のパートナーとHIPAAコンプライアンスを維持し、組織と患者の両方を保護するために、常にBAAを締結しています。

弱い暗号化:

古いコンピュータ、サーバー、デバイスには適切な保護がインストールされていない可能性があります。これらのデバイスにデータが生産用途またはバックアップとして保存されている場合、そのデータと組織を非準拠にさらしています。

KiteworksでePHIのHIPAA暗号化要件を満たす

医療機関は、ePHIを保護するために適切な技術的セキュリティ基準を持っている必要があります。サーバー上のデータと送信中のデータを暗号化することは、HIPAAコンプライアンスの必要な部分であり、その必要性は、彼らが協力する第三者のクラウドおよびITベンダーにも及びます。

Kiteworksは、医療分野のパートナーにエンタープライズグレードのマネージドファイル転送とセキュリティサービスを提供しています。KiteworksはすべてのHIPAA要件に従っており、ファイル転送、メール、クラウドストレージを介してシステムを通じて保存または転送されるデータを含みます。これには、モバイルアプリ、安全なマネージドファイル転送、コンテンツファイアウォールソフトウェアなどのいくつかのHIPAA準拠のサービスと技術が含まれます。

つまり、私たちとBAAを締結する際には、患者データが安全であり、組織が準拠していることを信頼できます。

KiteworksがどのようにしてHIPAAコンプライアンスを維持するのに役立つかを知るために、Kiteworksのカスタムデモを今すぐスケジュールしてください。

Tags: セキュリティブルバードのサイバーセキュリティ |

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks