Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > HIPAAコンプライアンス > PHIをメールで送信し、HIPAAコンプライアンスを維持する方法

PHIをメールで送信し、HIPAAコンプライアンスを維持する方法

by Bob Ertl updated 1月 26, 2025 HIPAAコンプライアンス
Reading Time: < 1 minutes

PHIを扱うことは難しいですが、特にメールで送信する場合はさらに複雑です。メールでの機密コンテンツの侵害が日常的に発生している中、ハッキングされないメールを送信し、HIPAAやその他の規制に準拠することは難しい課題です。 PHIをメールで送信できますか?はい、PHIをメールで送信できますが、実際にPHIを送信する前に、メールプロバイダーが特定のセキュリティプロトコルを満たしていることを確認する必要があります。特定のHIPAA規制が満たされていない場合、重い罰金を科される可能性があります。

HIPAAと保護された健康情報(PHI)とは何ですか?

医療保険の相互運用性と説明責任に関する法律(HIPAA)は、保護された健康情報(PHI)の作成と保護に関する法律と規制のセットです。これらの法律は、特定の医療提供者とそのビジネスパートナーが、医療、医療処置、および支払いに関連する患者データを保護することが法律で求められていることを具体的に述べています。 この法律には、さまざまな規則と要件をカバーするいくつかのセクションが含まれていますが、PHIを含むメールの送信は主に以下の3つに該当し、サイバーセキュリティとデータ保護に焦点を当てています:

  1. データプライバシールール:プライバシールール(データプライバシー)は、患者データがプライベートであるべきであることを明確に述べており、主要な医療機関(病院、診療所、保険会社、これらは対象事業体として指定されています)とそのベンダー(ビジネスアソシエイトとして指定されています)は、そのデータを保護する法的責任を負っています。
  2. セキュリティルール:対象事業体とビジネスアソシエイトは、技術的、管理的、物理的なコントロールを含む適切なセキュリティ対策を実施して患者データを保護しなければなりません。
  3. 侵害通知ルール:システム侵害が発生した場合、対象事業体とビジネスアソシエイトは、影響を受けた患者、規制機関、および一般に対していつどのように通知するかについての要件があります。

特にプライバシールールは、HIPAAの理解において重要です。これは、PHIを法的に、患者への医療サービスの提供に関連する情報、健康関連情報、医師のメモ、患者の個人識別情報(PII)、またはそのケアに対する支払い情報として定義しています。 PHIはHIPAAコンプライアンスの基本的な部分であるため、ほとんどのセキュリティ要件は、PHIがどのように送信、保存、使用されるかに関するものです。さらに、PHIの無許可の開示に対する制限が厳しいため、医療提供者は患者とのコミュニケーションに使用するすべての技術をHIPAA要件に基づいて整理しなければなりません。 技術の使用に関するこれらの要件は、実際に組織が患者と情報を共有する方法に大きな影響を与える可能性があります。メールのような安全でない技術は、最良でも問題があり、最悪の場合は非準拠です。

なぜ、そしてどのようにPHIをメールで使用できますか?

HIPAAの下でメールを使用することに対する直接的な禁止はありません。しかし、医療情報を伝えるためのHIPAA準拠のメールソリューションの実装は困難です。メールは非常に一般的であり、患者とコミュニケーションを取るための最もアクセスしやすく便利な方法である可能性が高いですが、メールサーバーやデバイス上で患者情報を保護する保証がないため、リスクがあります。 暗号化を例にとります。適切なファイル共有暗号化標準を使用するメールソリューションは、技術的には準拠しています。しかし、メール暗号化を従来のアプローチで使用するには、送信者と受信者の両方の同意が必要です。両者は同じ暗号化標準を使用しなければならず、公開鍵暗号化の場合、各側がソフトウェアを通じて管理する鍵のセットを持たなければなりません。この問題を解決するために、組織はメールクライアントにプラグインをインストールして管理し、第三者と公開鍵を手動で要求または共有する必要があります。これにより、非効率性とボトルネックが生じ、ユーザーが機密PHIを送信する際にセキュリティプロトコルを回避する可能性があります。 同様に、送信していない場合でもデータを安全な場所に保存する必要があります。どのメールソリューションも、サーバー上でHIPAA準拠の暗号化を含める必要があります。したがって、組織が独自のメールサーバーを運用していない限り(これは非常にあり得ないことですが)、データの保存中および転送中の暗号化を実装するためにビジネスアソシエイトと協力しなければなりません。 最後に、HIPAAコンプライアンスのもう一つの重要な部分は、イベントレポートと監査ログです。HIPAAコンプライアンスを示すために、組織はすべてのシステムで監査と潜在的な法医学的ニーズのための適切なログを実装しなければなりません。これはビジネスアソシエイトにも当てはまります。これには、ビジネスアソシエイトとのコンプライアンスとベンダーリスク管理戦略のもう一つのレベルが必要です。 大まかに言えば、PHIメールとHIPAAメールコンプライアンスを検討する前に、次のケースを考慮する必要があります:

  • 内部メール:医師や他の従業員は必然的に医療情報を共有します。医師が他の医師にメールで情報を送信するシナリオでは、そのメールは暗号化され、アクセスするデバイスで保護されている必要があります。幸いなことに、これは管理がはるかに簡単です。組織が医師のデバイスと内部システムを制御しているため、PHIを保護し、コンプライアンスを維持するポリシーを実施できます。 
  • 外部メール:患者や第三者へのメールは異なる問題です。組織は、インターフェースする可能性のある何千人もの患者に対して基準を指示することはできません。メールでPHIを送信しようとすると、適切な暗号化がないか、ユーザー側でのセキュリティがないため、ほとんど常に非準拠になります。あるいは、最良のシナリオでは、セキュアなファイル共有のための煩雑なプラグインとリダイレクトが関与します。

多くの組織が採用している新しいソリューションの一つは、セキュアリンクと患者ポータルです。患者ポータルを使用することで、暗号化、IDおよびアクセス管理(IAM)、監査ログなどのセキュリティを中央サーバーまたはクラウド環境から制御できます。メールでユーザーにPHIへのセキュアリンクを送信することで、PHIを直接メールで送信する際の落とし穴を避け、ユーザーをセキュアな環境に誘導します。 セキュアリンクとオンラインポータルは、組織外の患者と医療情報を通信するための最も信頼性が高く安全な形式と見なされています。さらに、堅牢なドキュメントおよびファイル転送管理システムに結び付けられたポータルは、医師と他の従業員間のコンプライアントなコミュニケーションを効率化することもできます。これらのシステムは、安全なデバイスやワークステーションと統合できるため、医療専門家が情報を安全かつプライベートに共有し、盗難や開示のリスクを回避できます。 それ以外の方法でPHIをメールで送信する唯一の方法は、公開鍵暗号化[Pretty Good Privacy(PGP)]のような技術を使用した暗号化メッセージです。これには、あなたと患者の両方がPGPメール技術を使用する必要があります。組織内で暗号化の実装を強制することはおそらく可能ですが、患者の集団に対してそれを行うことは実際には不可能です。

HIPAA違反の罰則は何ですか?

メールPIIのトピックは重要です。なぜなら、HIPAA規制の違反は意図に関係なく厳しい罰則を伴う可能性があるからです。HIPAA違反の罰則は4つの階層に分かれています:

  • 階層1:これらの違反は意図せずに発生し、組織は違反の背後にある問題を認識しておらず、合理的に防ぐことができなかった場合です。この場合、組織が他の方法でHIPAAルールを遵守しようとした場合、罰金は1件あたり100ドルから50,000ドルの範囲です。
  • 階層2:これらの違反は、組織が違反を認識しているべきだったが、合理的に防ぐことができなかった場合に発生します(すなわち、組織は過失があるが故意ではない)。ここでの罰金は1件あたり1,000ドルから50,000ドルの範囲です。
  • 階層3:これらの違反は、HIPAA規制の故意の無視によるものであるが、組織が問題を改善しようとした努力によって罰金が軽減されます。ここでの罰金は1件あたり10,000ドルから50,000ドルの範囲です。
  • 階層4:これらは、問題を修正しようとしなかった故意の違反です。階層4の違反では、組織は1件あたり最低50,000ドルの罰金を科されます。

さらに、個人はデータ窃盗の特定の行為に対して刑事責任を負う可能性があり、これは3つの階層に分かれています:

  • 階層1:個人が違反を知らない、または合理的な原因がない場合に違反が発生します。これは、データの偶発的な開示や、医師が患者を救うためにPHIを共有する緊急事態の場合に発生する可能性があります。罰則には最大1年の懲役が含まれます。
  • 階層2:階層2の違反は、ユーザーが偽りの理由でPHIを取得した場合です。違反者は最大5年の懲役を受ける可能性があります。
  • 階層3:階層3の違反は、利益や悪意のある意図(恐喝や復讐など)でPHIを取得しようとする試みを含み、この階層では違反者は最大10年の懲役を受ける可能性があります。

これらの定義を理解することは重要です。なぜなら、PHIを共有するためにメールを不適切に使用すると、組織が数万ドル、数十万ドル、さらには数百万ドルの費用がかかる複数の違反にさらされる可能性があるからです。

KiteworksでPHIと患者のプライバシーを管理する

医師、スタッフ、患者間のコミュニケーションを保護することは、HIPAAを違反せずにすべての関係者にとって使いやすい技術を活用することを意味します。メールはその制限にもかかわらず、ほとんどの患者と連絡を取り合い、第三者とコミュニケーションを取るための最も簡単な方法です。Kiteworksは、ユーザーがどこで作業していても、Web上やモバイルデバイス、Microsoft 365やその他のメールシステム、またはエンタープライズアプリケーションで、暗号化されたHIPAA準拠のメッセージと添付ファイルを簡単に送信できるようにします。ガバナンスポリシーや鍵を手動で管理し、プラグインの管理に貴重な時間とリソースを費やす必要はもうありません。むしろ、Kiteworksはガバナンスポリシーを自動的に適用し、コンテンツを保護し、機密コンテンツの送信、共有、転送のすべてのアクションを追跡します。 Kiteworksプラットフォームを使用すると、組織はHIPAA準拠のサーバーにPHIを保存し、暗号化を使用して認証されたユーザーのみがメールを読み、添付ファイルを開き、内部および外部の無許可の第三者にメールを転送できるようにします。主な機能には以下が含まれます:

  • 保存中および転送中のセキュアなメール通信:Kiteworksは、保存中のデータにAES-256暗号化を使用し、転送中のデータにTLS 1.2+を使用します。Kiteworksの強化された仮想アプライアンス、詳細なコントロール、認証およびその他のセキュリティスタック統合、包括的なログと監査により、組織は効率的にコンプライアンスを達成できます。メールと添付ファイルは、アンチウイルス高度な脅威対策(ATP)、継続的なデータ保護(CDP)によってスキャンされます。送信メール通信は、意図的および非意図的なデータ漏洩を防ぐためにデータ損失防止(DLP)を使用します。
  • セキュアなアクセスとデータ所有権:オンプレミス、Logging-as-a-Service(LaaS)リソース、およびInfrastructure-as-a-Service(IaaS)展開により、システム、ストレージ、鍵へのアクセスはあなただけが持ち、外部の第三者(Kiteworksを含む)、政府や業界の規制機関などはアクセスできません。その結果、メールの送受信、ファイルの保存、アクセスは、あなたの施設に展開された専用のKiteworksインスタンス、Logging-as-a-Service(LaaS)リソース、またはKiteworksクラウドサーバーによってクラウドにホストされます。つまり、共有ランタイム、データベースやリポジトリ、リソース、またはクロスクラウド侵害や攻撃の可能性はありません。
  • メール保護ゲートウェイと自動暗号化:Kiteworksのメール保護ゲートウェイと自動暗号化は、プラグインを必要とせずに任意のメールクライアントとメールサーバーで使用できます。鍵管理とメール暗号化は自動化され、ユーザーには見えません。組織は、メールを暗号化するためのポリシーを自動的に適用し、クラウドメールサーバー上の機密コンテンツを保護するためにエンドツーエンドの暗号化を自動的に提供することもできます。
  • コンプライアンスとポリシーコントロール:Kiteworks内の役割ベースの詳細なコントロールにより、組織は露出を最小限に抑えながら、完全なメールHIPAAコンプライアンス追跡と監査報告を提供できます。これには、患者と第三者の認証オプション、期限切れ、リンク転送を制御する能力が含まれます。Kiteworksのセキュアメール機能には、受取確認とデジタルフィンガープリンティングのためのポリシーが含まれています。
  • SIEM統合:統合されたセキュリティ情報およびイベント管理(SIEM)を使用して、アラート、ログ、およびイベント対応のために環境を安全に保ちます。統合には、IBM QRadar、ArcSight、FireEye Helix、LogRhythmなどが含まれます。また、Splunk Forwarderをサポートし、Splunk Appを含みます。
  • 監査ログ:Kiteworksプラットフォームの不変の監査ログを使用して、組織は攻撃を早期に検出し、HIPAA準拠の法医学を実行するための正しい証拠の連鎖を維持できます。Kiteworksはすべてのコンポーネントからのエントリを統合し標準化するため、その統一されたsyslogとアラートは、セキュリティオペレーションセンター(SOC)チームの貴重な時間を節約し、コンプライアンスチームがHIPAA関連およびその他の規制監査の準備をするのに役立ちます。
  • データの可視性と管理: Kiteworks CISOダッシュボードは、組織にデータの概要を提供します:どこにあるのか、誰がアクセスしているのか、どのように使用されているのか、そしてそれが準拠しているかどうか。ビジネスリーダーが情報に基づいた意思決定を行い、コンプライアンスリーダーシップが規制要件を維持するのを支援します。

Kiteworksのセキュアメール機能がどのようにHIPAA準拠しているか、Kiteworksプラットフォームが機密コンテンツ通信のための単一のガラスパネルをどのように提供するかを確認したい場合は、カスタムデモを今日スケジュールしてください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks