Home > セキュリティとコンプライアンスブログ > HIPAAコンプライアンス > HIPAAコンプライアンスを達成するための完全チェックリスト

HIPAAコンプライアンスを達成するための完全チェックリスト

by Bob Ertl updated 11月 22, 2023 HIPAAコンプライアンス

Reading Time: < 1 minutes

HIPAAの罰則は非常に厳しいため、HIPAAコンプライアンス要件を遵守してそれを回避することが重要です。こちらはHIPAAコンプライアンスのための完全なステップバイステップのチェックリストです。

HIPAAコンプライアンス要件には以下が含まれます：

プライバシー：保護された健康情報（PHI）に対する患者の権利
セキュリティ：物理的、技術的、管理的なセキュリティ対策
施行：侵害の調査
侵害通知：侵害が発生した場合に必要な手順
オムニバス：コンプライアンスを遵守するビジネスアソシエイト

Table of Contents

HIPAAコンプライアンス：簡単な概要

HIPAAは、1996年に制定されたフレームワークで、健康保険の相互運用性と説明責任に関する法律における特定の規制に対する組織の法的義務を概説しています。これらの規制は、患者のプライバシーの権利、プライベートデータを保護するための適切なセキュリティコントロールの必要性、そして悪意のある第三者によってデータが侵害された場合の医療機関の要件など、医療データ管理の重要な側面に基準を設定しています。

このフレームワークにおいて重要なのはデータ保護の概念です。データの物理的なセキュリティ、データを保護するために使用される暗号化基準、およびデータを文書化、送信、保存するために使用される手順は、すべてHIPAAとその基礎となる要件の重要な部分です。

健康福祉省と市民権局によって管理されている規制は、電子記録管理、デジタルデータ転送、そして（最近では）クラウドサービスの世界において、患者のプライベート情報の機密性を確保するために存在します。

HIPAAコンプライアンス：どの組織が従う必要があるのか？

組織は、機密性の高い患者の健康データが安全であり、許可されていない個人や団体に開示されないようにするためにHIPAAに準拠する必要があります。HIPAAはまた、データが意図された目的のみに使用され、他の目的で使用または開示されないようにするための保護策を提供します。

HIPAAコンプライアンスを示す必要があるビジネスには以下が含まれます：

健康保険提供者
医療クリアリングハウス
医療提供者（病院、医師、歯科医など）
対象団体のビジネスアソシエイト（例：請求会社や文書保管会社）
薬局
長期介護施設
研究機関
公衆衛生当局
雇用者
学校や大学

HIPAAコンプライアンスの必要性

HIPAAコンプライアンスは、機密性の高い医療情報のセキュリティを確保するために必要です。これは、医療提供者などの組織が患者のデータのプライバシーとセキュリティを維持することを要求する連邦法です。これらの基準への準拠は、患者の医療記録、健康保険情報、その他の個人識別情報（PII）および保護された健康情報（PHI）などの機密データの保護に必要です。

ビジネスがHIPAAに準拠していない場合、深刻な罰則を受ける可能性があります。米国健康福祉省市民権局は、罰金や罰則、是正措置計画、民事罰金を含む制裁を発行することができます。さらに、ビジネスは刑事告発の対象となる可能性があります。HIPAAコンプライアンス違反の罰金の例には以下が含まれます：

単一の違反で最大150万ドル、カレンダー年内の複数の違反で最大1500万ドル
患者情報の意図的な誤用に対して違反ごとに最大5万ドル
患者へのアクセス要求を提供しなかった場合、違反ごとに最大100ドル
許可なく識別可能な健康情報を取得または開示した場合、最大25万ドルまたは最大1年の懲役、またはその両方

なぜこれらの罰則がこれほど高いのでしょうか？患者の記録が盗まれると、患者のプライバシーが侵害される可能性があります。盗まれた記録は、アイデンティティ盗難や金融詐欺を行うために使用され、経済的損失や利益の不正使用につながる可能性があります。傍受された機密医療情報は、患者を脅迫したり、嫌がらせの対象にするために使用されることもあります。

誰がHIPAAコンプライアンスを達成しなければならないのか？

HIPAAコンプライアンスは、電子的に保護された健康情報（ePHI）を作成、受信、維持、または送信するすべての組織または個人に適用されます。これには、医師や病院などの医療提供者、健康保険、健康保険会社、および医療業界に関与するその他の組織が含まれます。また、第三者の請求会社、転写者、ITサービスプロバイダーなどのビジネスアソシエイトにも適用されます。最終的に、ePHIを保存、送信、または処理するすべての団体は、HIPAA規制に準拠しなければなりません。この長い医療サプライチェーンは、重大なリスクを生み出す可能性があります。

ePHIを作成、受信、維持、または送信しない組織は、HIPAAに準拠する必要はありません。例としては、小売業者やレストランが含まれます。しかし、医療に直接関与していない組織でも、医療関連情報のクラウドストレージなどのサービスを提供する場合、HIPAA要件の対象となる可能性があります。

重要なHIPAA規制およびコンプライアンス用語

コンプライアンスが何であり、誰に適用されるかを理解するためには、いくつかの重要な用語を知っておくことが重要です：

対象団体

これらは、患者とそのプライベートデータを定期的に扱う病院、医師、クリニック、保険機関、またはその他の団体です。

ビジネスアソシエイト

患者と直接関わらずに対象団体と密接に協力するサービスプロバイダー。ビジネスアソシエイトは、技術製品、コンサルティング、財務管理、データ分析、その他のサービスのためにプライベートデータを扱うことがよくあります。

電子個人健康情報（ePHI）

ePHIは、電子的手段で保存および送信されるプライベート患者データの法的名称です。すべてのプライバシー、セキュリティ、および報告ルールは、ePHIの保護と管理に関連しています。

HIPAAの4つの主要なルールとは何か、それらがコンプライアンスにどのように影響するか？

4つの主要なルールが、コンプライアンス要件に関連するすべての構造と意味を定義しています：

プライバシールール
セキュリティルール
侵害通知ルール
オムニバスルール

各ルールは、コンプライアンスの1つの側面のためのフレームワークを提供し、他のルールの重要な側面を通知します。

HIPAAプライバシールール

HIPAAプライバシールールは、患者のプライバシーとプライベート情報に対する全国的な基準を確立します。さらに、ePHIが何であるか、それをどのように保護し、どのように使用できるか、使用できないか、どのように送信および保存できるかを規定するフレームワークを設定します。

プライバシールールの追加部分は、ePHIを扱う団体に必要な書類と免除です。

このルールでは、識別可能な患者データは、対象団体または関連するビジネスアソシエイトによって保護されるプライバシーの対象であると定義されています。これが「保護された健康情報」と呼ばれるもので、以下を含みます：

過去、現在、または将来の身体的または精神的状態に関する文書
患者のケアに関する記録
医療に対する過去、現在、または将来の支払いに関する記録

ルールは、対象団体がプライベート健康情報を開示できる唯一のシナリオが、非常に特定のケア、研究、または法的状況に関与する場合であると述べています。これらの状況は非常に狭く、法廷での解釈の対象となります。

ePHIのプライバシーに関しては、対象団体とそのビジネスアソシエイトがそれを保護する義務を負っているというのが最良の指針です。

HIPAAプライバシールールチェックリスト

このHIPAAプライバシールールチェックリストには、医療機関とそのビジネスアソシエイトがHIPAAプライバシールールに準拠するために取るべき10の重要なステップが含まれています。プライバシーオフィサーの指名から、第三者へのPHIの開示プロトコルの確立まで、このチェックリストは患者の機密性の高い健康情報を保護するために必要なすべての側面を網羅しています。これらのガイドラインを遵守することで、組織はHIPAA違反（およびその後の罰金、罰則、訴訟）を回避するだけでなく、医療システムに対する患者の信頼と自信を築くことができます。これらには以下が含まれます：

プライバシーオフィサーを指名する
書面によるポリシーと手順を開発し実施する
従業員にトレーニングを提供する
特定の開示に対して患者の同意を得る
保護された健康情報（PHI）の適切な保護策を維持する
PHIの要求をレビューし検証するためのシステムを実施する
PHIへのアクセス要求に応じる
未保護のPHIの侵害が発生した場合に患者に通知する
個人およびグループに固有の識別子を割り当てる
ビジネスアソシエイトやその他の第三者へのPHIの開示プロトコルを確立する

HIPAAセキュリティルール

プライバシーとePHIの定義が確立された後、次のステップはそのデータを保護することです。HIPAAセキュリティルールは、ePHIデータを保護するために必要なメカニズムの全国的な基準を確立しました。これらのメカニズムは、技術、管理、コンピュータやデバイスの物理的な保護策、ePHIの安全性に影響を与える可能性のあるすべてのものを含む、対象団体の全体的な運用にわたって拡張されます。

このルールで概説されているコントロールは、3つの保護策のグループに整理されています：

1. HIPAAコンプライアンスのための管理タスク

これには、ePHIに影響を与えるポリシーと手順、およびその他のセキュリティ対策に関連する技術、システム設計、リスク管理、メンテナンスが含まれます。また、人的資源や従業員トレーニングなどの医療管理の側面も含まれます。

2. HIPAAコンプライアンスのための物理的保護

物理的な保護策は、コンピュータ、ルーター、スイッチ、データストレージを含む物理的な機器へのアクセスを保護します。対象団体は、許可された個人のみがデータにアクセスできる安全な施設を維持する必要があります。

3. HIPAAコンプライアンスのための技術的保護

サイバーセキュリティには、コンピュータ、モバイルデバイス、暗号化、ネットワークセキュリティ、デバイスセキュリティ、およびePHIの保存と通信に関連する実際の技術が含まれます。

HIPAAセキュリティルールコンプライアンスチェックリスト

HIPAAセキュリティルールチェックリストは、電子的に保護された健康情報（ePHI）を保護するために組織が対処しなければならない10の重要な領域を網羅しています。リスク評価の実施から緊急時のためのコンティンジェンシープランの確立まで、この包括的なチェックリストは、HIPAAセキュリティ基準に準拠し、潜在的な脅威や脆弱性から患者の機密データを保護するために設計されています。

潜在的な脅威と脆弱性を特定するためのリスク分析を実施する
電子的に保護された健康情報（ePHI）のセキュリティを維持し監視するためのポリシーと手順を実施する
ePHIへのアクセスを、職務を遂行するためにアクセスが必要な許可された個人に限定する
すべてのePHIが暗号化され、安全に保存されていることを確認する
セキュリティインシデントや侵害に対応するための手順を実施する
すべての従業員にHIPAAセキュリティポリシーと手順についてトレーニングを行う
セキュリティ対策が最新で効果的であることを確認するために定期的にレビューし更新する
ePHIに影響を与える災害やその他の緊急事態のためのコンティンジェンシープランを確立する
すべての第三者ベンダーや請負業者がHIPAAセキュリティ要件に準拠していることを確認する
HIPAAセキュリティ基準への準拠を確認するために定期的な監査と評価を実施する

HIPAA侵害通知ルール

侵害通知ルールは、セキュリティ侵害が発生した場合に何が起こるかを指定しています。データを100％効果的に保護することはほぼ不可能であり、組織はHIPAA侵害が発生した場合に公衆や被害者に何が起こったか、次のステップは何かを通知する計画を持っている必要があります。

侵害通知ルールは、侵害が発生した際にコンプライアンスを維持するために対象団体が取るべき一連のステップを定義しています。これには以下が含まれます：

侵害の影響を受けた個人に通知する。対象団体は、被害者に侵害の正式な書面による通知を、ファーストクラスメールまたは電子メール（該当する場合）で提供する必要があります。
対象団体が侵害において10人以上の連絡先情報を持っていない場合、90日間のウェブサイトへの投稿または主要な印刷および放送ニュースソースでの通知を通じて代替通知を提供する必要があります。
団体は、侵害の発見から60日以内に通知を提供する必要があります。
侵害が州またはその他の管轄区域で500人以上に影響を与える場合、団体は地元のメディアを通じて侵害の顕著な公的通知を提供する必要があります。
侵害が500人以上に影響を与える場合、団体は60日以内に健康福祉省長官に通知を提供する必要があります。それ以下の場合、団体は年末までに長官に更新を提供することができます。

これらの通知ルールは、ビジネスアソシエイトの1つによって対象団体に知らされた侵害に適用されます。

HIPAAオムニバスルール

より最近のルールであるオムニバスルールは、対象団体外の組織に対する規制の範囲を拡大します。要するに、オムニバスルールは、コンプライアンス義務がビジネスアソシエイトと請負業者をカバーすることを述べています。したがって、これは、対象団体がビジネスアソシエイトと請負業者の潜在的な違反に対して責任を負い、ギャップ分析、リスク評価、およびコンプライアンス手順を更新する必要があることを意味します。

HIPAA施行ルールとは何か？

HIPAA施行ルールは、健康保険の相互運用性と説明責任に関する法律（HIPAA）の下でのプライバシーおよびセキュリティルールの違反に対する調査と罰則のガイドラインを提供する一連の規制です。このルールは、対象団体とビジネスアソシエイトがHIPAA規制を遵守し、患者の保護された健康情報（PHI）のプライバシーとセキュリティを保護することを確保するために設計されています。施行ルールはまた、苦情に対応し、違反の疑いの調査を行うための手順を確立しており、民事罰金と是正措置計画の課税を含みます。

HIPAAコンプライアンスの最新の更新を理解する

HIPAAの最新の更新は、2013年と2016年に実施されました。

2013年には、HIPAAオムニバスルールが導入され、保護された健康情報（PHI）の取り扱いと保護に関する規制に大きな変更が加えられました。主な変更点には以下が含まれます：

患者の権利のための保護の拡大、PHIへのアクセスとそのコピーの受け取りの権利、PHIの使用または開示に対する制限の要求の権利を含む
HIPAA規制の施行の強化、非準拠に対する罰金の増加、ビジネスアソシエイト（第三者サービスプロバイダー）がHIPAA規制に準拠する必要があるという要件を含む
「ビジネスアソシエイト」や「保護された健康情報」などの重要な用語の定義の更新

2016年には、HIPAAプライバシールールが変更され、医療提供者や保険会社などの特定の対象団体が、精神的健康状態を持つと特定された個人の名前を全国即時犯罪背景チェックシステム（NICS）に開示できるようになりました。この変更は、2012年のサンディフック小学校での銃撃事件に対応して行われ、精神的健康問題を抱える個人が銃器を取得する能力に関する懸念を引き起こしました。ただし、この情報の開示は、個人からの特定の書面による同意を取得する要件や、開示の潜在的な結果について個人に特定の開示を提供する要件など、特定の制限と保護の対象となります。

HIPAA ITコンプライアンス

HIPAAコンプライアンスとHIPAA ITコンプライアンスはわずかに異なります。

HIPAAコンプライアンスは、患者の機密性の高い健康情報のプライバシー、セキュリティ、および整合性を保護するために米国健康福祉省（HHS）によって設定された一連のルールと規制です。これには、ポリシー、手順、およびセキュリティ対策の実施など、管理的、物理的、技術的な保護策の要件が含まれます。

対照的に、HIPAA ITコンプライアンスは、HIPAAセキュリティルールの技術的側面を指し、特に電子的に保護された健康情報（ePHI）の技術的保護策の実施、維持、および監視に関するものです。これには、強力な認証とアクセス制御対策の実施、定期的なセキュリティリスク評価、および保存データの暗号化とセキュリティが含まれます。

IT用の特定のHIPAAコンプライアンスチェックリストはありますか？

一部のIT組織は、HIPAAによって保護される機密性の高いデータや機密データを扱うため、HIPAAに準拠する必要があります。そのため、IT組織は、システムと手順がHIPAA規制に準拠していることを確認するために必要な手順を踏む必要があります。

IT組織は、HIPAA ITコンプライアンスを示すために以下のチェックリスト項目を考慮するべきです：

セキュリティ対策の開発と実施を担当する専任のHIPAAプライバシーオフィサーを置く。
HIPAAの管轄下にあるすべてのデータを特定し分類する。
すべてのスタッフにHIPAA法と規制について教育する。
HIPAAに関連する管理的、技術的、物理的なポリシーとプロセスを確立し文書化する。
すべてのコンピュータおよび/またはワークステーションに、許可されていないアクセスから保護するための十分なセキュリティ対策を装備する。
保護された健康情報を含むすべての文書を安全に保管し、許可された人員のみにアクセスを制限する。
適切な場合には、データを保護するために暗号化ソフトウェアを使用する。
安全なウェブブラウジングを実践し、メールセキュリティソフトウェアを使用する。
患者データを含む文書や記録を適切に廃棄する。シュレッダーや焼却が推奨される最も安全な方法です。
セキュリティ侵害や許可されていないアクセス試行を処理するための手順を確立し維持する。
許可されていないアクセスの可能性を監視するためにアクセスログを定期的にレビューし監視する。
包括的なユーザーロギングと監査手順を実施する。
HIPAAガイドラインに準拠したバックアップ手順を開発し実施する。
コンティンジェンシープランと災害復旧システムを開発し維持する。

HIPAAコンプライアンスリソース

HIPAAおよびHIPAAコンプライアンス要件について詳しく知るには、これらのリソースを訪れてください：

HHS.govウェブサイト
HIPAAジャーナルウェブサイト
HHS市民権局
メディケア＆メディケイドサービスセンター
国家標準技術研究所
HHSセキュリティ管理ガイドライン
HIPAAセキュリティルール
HIPAAプライバシールール
国家標準技術研究所（NIST）特別出版物
HITECHセキュリティおよび侵害通知法

HIPAAコンプライアンスを始める

HIPAAコンプライアンスに初めて取り組む場合、組織がHIPAAコンプライアンスを開始するために取ることができるステップは以下の通りです：

HIPAAセキュリティおよびプライバシーコンプライアンス計画を開発する。
保護された健康情報（PHI）の取り扱いと保護に関するポリシーと手順を開発する。
PHIを保護するための物理的、管理的、技術的な保護策を実施する。
HIPAAのベストプラクティスとプロトコルについてスタッフをトレーニングする。
従業員にHIPAAの確認書に署名させ、彼らの責任と義務を理解していることを確認する。
ビジネスアソシエイト、ベンダー、および請負業者がビジネスアソシエイト契約（BAA）に署名し、HIPAA規制に準拠していることを確認する。
HIPAAコンプライアンスを定期的にレビュー、監査、および更新するための手順を実施する。
すべてのPHIセキュリティおよびプライバシー対策を記録し文書化する。
侵害やデータ損失が発生した場合に備えてインシデント対応計画を用意する。
PHIのセキュリティを定期的に監視し、HIPAA規制に完全に準拠していることを確認する。

HITECHとは何か、HIPAAコンプライアンスとどのように関連しているのか？

経済および臨床健康のための健康情報技術（HITECH）法は、2009年に法律として署名され、その後の年のコンプライアンス要件を通知します。重要なことに、この法律は、直接医療や社会保障を含むいくつかの業界にわたる医療機関の法的要件を改訂しました。

HITECH以前は、病院の10％しか電子健康記録（EHR）を使用していませんでした。HITECHは、病院が電子記録管理に切り替えることを促進する重要な部分でした。部分的には、HITECHはデジタルePHI管理技術の採用とその後のHIPAA規制への準拠を促進しました。これには、デジタル技術への切り替えのためのインセンティブの提供が含まれます。

2017年までに、HITECHのおかげで、EHRの採用率は2017年までに86％に上昇しました。

HITECHはまた、HIPAAコンプライアンスの責任の一部をシフトしました。技術の採用を促進するために、HITECH法は医療規制を改訂し、ビジネスアソシエイトが違反に対して直接責任を負うようにし、その責任が対象団体との必要なビジネスアソシエイト契約（BAA）で概説されるようにしました。

HITECHはまた、違反に対する罰則を強化し、組織がコンプライアンスを維持するように法執行機関が違反をより厳格に追求することを奨励しました。

HIPAA違反とは何か？

コンプライアンスとは、プライバシー、セキュリティ、および侵害通知ルールに記載された規制を遵守することを意味します。組織がこれらの基準を満たしてコンプライアンスを維持しない場合、それはHIPAAの違反と見なされます。

違反には以下が含まれます：

意図的または偶然に許可されていない当事者にePHIを不法に開示すること
HIPAAセキュリティルールで概説されている適切なセキュリティプロトコルを実施しないこと
要件を満たす適切な管理またはトレーニングプロトコルの欠如
関連するデータ侵害の後に影響を受けた当事者および公的機関に適切に通知しないこと
既存のコンプライアンスギャップを更新、アップグレード、または対処する意欲の欠如

これを念頭に置いて、HIPAAは違反を民事と刑事の2つのグループに分けています。

民事違反は、非準拠が偶然または悪意のない意図で発生した場合の非準拠のインシデントです。これには、怠慢や認識の欠如などのイベントが含まれます。民事違反の罰則は通常、軽減されます：
- 違反を認識していない個人に対しては、1件あたり100ドルの罰金が科されます。
- 怠慢のない合理的な理由を持つ者に対しては、最低1,000ドルの罰金が科されます。
- 故意の怠慢には、1件あたり最低10,000ドルの罰金が科されます。
- 故意の怠慢があり、違反の即時是正が行われない場合、1件あたり最低50,000ドルの罰金が科されます。
刑事違反は、盗難、利益、または詐欺などの悪意のある意図で行われたものです。ここでの罰則には以下が含まれます：
- ePHIを故意に取得または開示することは、最大50,000ドルと1年の懲役が科されます。
- 違反の一環として詐欺を行うことは、最大100,000ドルと5年の懲役が科されます。
- 違反から利益を得る意図で違反を行うことは、最大250,000ドルと最大10年の懲役が科されます。

多数の繰り返し違反は、組織に年間数百万ドルの費用をかける可能性があります。

それを考慮して、違反の一般的な例がいくつかあります：

詐欺。最も直接的で明白な違反は、個人が利益や利益のためにePHIを盗む場合です。ハッカーや内部操作はまれですが、より多くの病院や医療ネットワークがクラウド技術に依存し、未検証のサービスプロバイダーに依存するようになるにつれて、ますます一般的になっています。
紛失または盗難されたデバイス。デスクトップワークステーションの世界では、技術の盗難はあまり一般的ではありませんでした。しかし、より多くのクリニックや病院がラップトップ、タブレット、スマートフォンなどのモバイルデバイスに移行するにつれて、これらのデバイスが誤った手に渡る可能性がますます高くなっています。
保護の欠如。セキュリティルールは、HIPAA暗号化、ファイアウォール、および実施すべきその他のセキュリティ対策の種類を定義しています。多くの組織はこれらを理解していないか、または彼らが準拠していると信じている第三者アソシエイトと協力しているかもしれませんが、実際にはそうではありません。
組織間の許可されていないアクセス。許可された個人から許可されていない個人へのデータの共有、または暗号化されていないデバイスやメールの使用など、訓練を受けていない労働者がePHIに不適切にアクセスまたは送信することは非常に簡単です。実際、PHIの偶発的な開示は最も一般的な違反の形態であり、それをカバーするための低レベルの罰則のカテゴリ全体が存在する理由です。

自己監査チェックリストでHIPAAコンプライアンスを達成し維持する

HIPAA自己監査チェックリストを使用することで、医療機関は非準拠の可能性のある領域を特定し、健康福祉省（HHS）による監査が行われる前に是正措置を講じることができます。自己監査はまた、医療機関がHIPAA違反に対する高額な罰則や罰金を回避するのに役立ちます。

さらに、自己監査を実施することで、医療機関はHIPAAコンプライアンスのベストプラクティスを確立し、全体的なデータセキュリティの姿勢を改善することができます。また、患者の機密情報を保護することへのコミットメントを示すことで、患者との信頼を築くのにも役立ちます。

HIPAA自己監査チェックリストを使用することは、HIPAA規制に準拠し、患者データを保護するための重要なステップです。

以下は、HIPAAコンプライアンスのための自己監査チェックリストです：

監査の範囲を決定し、評価されるエンティティとプロセスを含める。
HIPAA規制への準拠を確認するためにポリシーと手順をレビューする。
すべての従業員がHIPAAトレーニングを受けており、トレーニングが最新であることを確認する。
アクセス制御をレビューし、許可された個人のみがPHIにアクセスできることを確認する。
施設やワークステーションへのアクセス制御を含む物理的な保護策を評価する。
システムへのアクセス制御、PHIの暗号化、パスワードポリシーを含む技術的な保護策をレビューする。
PHIにアクセスするすべての第三者ベンダーとのビジネスアソシエイト契約が存在することを確認する。
インシデント対応手順を評価し、それらが最新で効果的であることを確認する。
侵害通知手順をレビューし、それらが最新で効果的であることを確認する。
すべての必要なHIPAA文書が最新であり、すぐに利用できることを確認する。
HIPAAプライバシールールへの準拠を評価し、PHIの開示に対する患者の承認を取得し文書化する。
HIPAAセキュリティルールへの準拠をレビューし、定期的なリスク評価を実施し、特定されたリスクに対処する。
治療、支払い、医療運営のための開示を含む、すべてのPHI開示が適切に承認され文書化されていることを確認する。
HIPAA侵害通知ルールへの準拠をレビューし、未保護のPHIの侵害があった場合の迅速な報告を含む。
HIPAAオムニバスルールへの準拠を評価し、ビジネスアソシエイトおよび下請業者に対する新しい要件への準拠を含む。
すべてのPHIがHIPAA規制に従って適切に廃棄されていることを確認する。
HIPAAコンプライアンスに影響を与える可能性のある州および地方の法律への準拠をレビューする。
定期的な監査を実施し、非準拠の領域を是正する。
すべての監査結果と是正活動を文書化する。
継続的なトレーニング、監視、および監査を含むHIPAAコンプライアンスプログラムを開発し実施する。
組織全体のコンプライアンス活動を管理するためにHIPAAコンプライアンスオフィサーを任命する。
モバイルデバイスを追跡し保護し、許可されていない手に渡らないようにし、それらに含まれるすべてのデータが適切に暗号化されていることを確認する。盗まれたPHIを破壊するためにリモートワイプを実施するか、最初からモバイルデバイスにPHIを保存しないようにする。

HIPAAコンプライアンスとGDPRコンプライアンス：どちらが優先されるべきか？

EUの一般データ保護規則（GDPR）と健康保険の相互運用性と説明責任に関する法律（HIPAA）は、個人データのプライバシーを保護することを目的とした2つの別々の規制です。GDPRは、EU市民の個人データを処理または取り扱うすべての企業に適用され、その所在地に関係なく適用されます。一方、HIPAAは、米国の医療提供者、保険会社、およびそのビジネスアソシエイトに適用されます。しかし、医療機関とビジネスアソシエイトがますますグローバルに活動しているため、HIPAAコンプライアンスに対するGDPRの影響を理解することが重要です。

GDPRは、HIPAAよりも厳しいデータ保護要件を課しています。これには以下が含まれます：

GDPRにおける明示的な同意

GDPRは、個人の個人データを処理する前に明示的な同意を要求しますが、HIPAAは一般的な承認のみを要求します。

GDPRにおけるデータ主体の権利

GDPRは、個人に対してデータへのアクセス、修正、削除の権利を含む、より広範なデータの管理権を付与しますが、HIPAAはアクセスと修正要求の権利を制限しています。

GDPRで規定されたデータ保護責任者（DPO）

GDPRは、特定の組織にデータ保護を監督するDPOを任命することを義務付けていますが、HIPAAはこの役割を要求していません。

GDPRで要求されるデータ侵害通知

GDPRは、組織に対してデータ侵害を72時間以内に報告することを要求しますが、HIPAAは60日以内の報告を要求します。

GDPRの罰則

GDPRは、非準拠に対して最大2000万ユーロまたは年間総収入の4％のいずれか高い方の罰金を課します。対照的に、HIPAAの罰金は違反ごとに100ドルから5万ドルで、年間最大150万ドルです。

したがって、EU市民の個人データを処理する医療機関とビジネスアソシエイトは、GDPRとHIPAAの両方に準拠する必要があります。彼らはデータプライバシーポリシーと手順を見直し、GDPR要件を満たすために必要な変更を実施し、規制の規定についてスタッフを訓練する必要があります。いずれかの規制に準拠しない場合、組織の評判に対する重大な財政的罰則と損害をもたらす可能性があります。

KiteworksはプライベートコンテンツネットワークでHIPAAコンプライアンスを達成するのを支援します

Kiteworksのプライベートコンテンツネットワークは、対象団体とそのビジネスアソシエイトが信頼できる第三者と共有するPHIおよびその他の機密コンテンツを保護することにより、HIPAAコンプライアンスを達成し維持するのを支援します。

Kiteworksは、メール、ファイル共有、マネージドファイル転送、SFTP、およびウェブフォームなどの第三者通信を統合し、組織がアクセス、送信、保存、受信されるPHIを制御、保護、追跡できるようにします。セキュリティとコンプライアンスの機能には以下が含まれます：

埋め込み型アンチウイルス保護と侵入検知システム（IDS）を備えた自己完結型の事前構成された強化された仮想アプライアンス
保存中のコンテンツのAES暗号化と転送中のコンテンツのTLS 1.2暗号化、およびキーのローテーション、セッションタイムアウト、整合性チェック、アンチウイルスなどの追加のセキュリティ対策
管理的、物理的、技術的な保護策が整備されていることを示すワンクリックのHIPAAおよびGDPRコンプライアンスレポート
PHIへのアクセスを許可された人員に限定し、必要な期間のみアクセスを制限するための詳細なアクセス制御、役割ベースの権限、ファイル/フォルダの有効期限
オンプレミス、プライベート、ハイブリッド、FedRAMP仮想プライベートクラウドを含む安全な展開オプション
脅威検出、緩和、およびフォレンジクスをCISOダッシュボード分析と包括的な監査ログを介して提供し、SIEMにエクスポート可能

KiteworksがどのようにしてHIPAAコンプライアンスを達成するのに役立つかを学ぶために、カスタムデモを今すぐスケジュールしてください。

Tags: セキュリティブルバードのサイバーセキュリティ |