従業員のワクチン接種義務化がHR専門家にHIPAA準拠のファイル転送の必要性を強調
私と同じように、昨年のこの時期には、2021年の夏休みまでには状況がほぼ通常に戻ることを期待していた方も多いでしょう。COVID-19にはすでにうんざりしていましたね!昨年12月に各国がSARS-CoV-2に対するワクチンを承認し始めたとき、多くの人々は、少なくともアメリカやカナダのような裕福な国では、比較的早くパンデミックが終息することを期待していました。
しかし、ワクチン接種を受けた人々にとっては状況がはるかに安全である一方で、より感染力の強い変異株と予想を下回るワクチン接種率の組み合わせにより、新型コロナウイルスは発見されてからほぼ2年経った今でも、先進国と発展途上国の両方で混乱を引き起こしています。これは、ワクチン接種を選ばない人々だけでなく、健康上や宗教上の理由、年齢、免疫系の問題でワクチンが効果的でない人々にも影響を与えています。
ワクチン接種率を上げ、通常の生活に早く戻るために、アメリカとカナダの両国は、法的に可能な範囲で従業員のワクチン接種義務を導入し始めています。新たな変異株が現行のワクチンに対してより耐性を持つ前に、ワクチン接種率が改善されることが期待されています。しかし、HRの専門家にとっては、アメリカの医療保険の相互運用性と説明責任に関する法律(HIPAA)やカナダの個人情報保護及び電子文書法(PIPEDA)における保護された健康情報(PHI)に関するコンプライアンスに対する独自の課題が生じます。
アメリカにおける連邦ワクチン義務
アメリカの連邦義務に関するニュースは、今年7月にホワイトハウスの発表から始まりました。連邦政府の民間従業員と現場の連邦請負業者に対して、ワクチン接種または週次テストが必要とされることが発表されました。軍もすぐに続き、8月にはロイド・オースティン国防長官が発表し、食品医薬品局(FDA)によるワクチンの完全承認後、コロナウイルスの予防接種がペンタゴンの必須予防接種リストに追加されることになりました。ファイザー・バイオンテックのワクチンは8月23日に完全承認されました。
2021年9月9日、ホワイトハウスはCOVID-19に対処するための新たに拡大された計画「パンデミックからの脱出」を発表しました。これは、職業安全衛生局(OSHA)とメディケア・メディケイドサービスセンター(CMS)に対し、多くの民間企業の従業員に対する完全なワクチン接種または週次テストの要件を策定するよう指示しています。これには、従業員が100人以上の業界の組織や、従業員数に関係なくメディケアまたはメディケイドの払い戻しを受ける医療機関が含まれます。これらの組織はまた、従業員がワクチンを受け、副作用から回復するための有給休暇を提供する必要があります。
9月の指令はまた、連邦請負業者のすべての従業員(現場で働く者だけでなく)を含むように連邦ワクチン義務を拡大し、連邦労働者に対する週次テストの選択肢を削除しました。安全な連邦労働力タスクフォースは、完全なワクチン接種の期限を11月22日に設定しました。必要な注射を受けてから2週間後に完全にワクチン接種されたと見なされるため、従業員は11月8日までにコースを完了する必要があります。
最近の一部の連邦ワクチン義務に対する挫折にもかかわらず、アメリカでは多くのワクチン要件が個々の企業内で自主的に開始されています。他の組織では、州または地方の規制によって参加が求められる場合があります。一部の管轄区域では、ワクチン接種の代わりに定期的なテストが許可されていますが、他の地域では許可されていません。
- アメリカの民間セクター。アメリカの雇用主の半数以上(57%)が、従業員に対するワクチン義務を発行するか、発行する予定です。
- 州の労働者。19州の政府職員はワクチン接種が義務付けられています。
- 医療従事者。現在、23州の病院および医療施設のスタッフは完全にワクチン接種を受ける必要があります。
- 学校(K-12)。これまでに、11州の学校の教職員にワクチン要件があります。少なくとも14州の学校では、対象となる生徒にCOVIDワクチン接種を義務付けています。
- 高等教育。1,000以上のアメリカの私立および公立の高等教育機関が、居住学生にCOVID-19ワクチンを要求しています。
- ニューヨーク市。ニューヨークは最近、市内の184,000の民間企業すべてに対し、2021年12月27日までに従業員にワクチン接種証明を提示させることを義務付けることで、COVID-19義務を拡大しました。ゴールドマン・サックス、モルガン・スタンレー、シティグループなどのウォール街の銀行を含む多くのニューヨークを拠点とする企業は、すでにオフィスに来る人々にワクチンを要求しています。
カナダにおけるワクチン要件
カナダでは、首相府が最近、以前に発表されたワクチン義務のタイムラインを発表しました。連邦政府の職員は、10月29日までにワクチン接種を受ける必要があります。カナダ軍およびその他の連邦機関は、コア労働力のガイドラインを反映するよう指示されており、これらの要件はまもなく発行されます。
政府職員の要件に加えて、連邦規制の交通セクターのすべての従業員および旅行者は、10月30日までに完全なワクチン接種を受ける必要があります。これは、カナダ国内の航空、全国旅客鉄道、またはクルーズ船で旅行するすべての乗客と、彼らにサービスを提供する従業員にワクチン接種が必要であることを意味します。
安全なPHIファイル共有の必要性
HRの専門家にとって、これらの新しい要件は、新たな、複雑で非常に短期間のコンプライアンス体制を表しています。期限が迫る中、ワクチン義務に従うためのシステムを急いで作成する一方で、セキュリティの影響についてすぐに考えないかもしれません。収集されたデータに対するガバナンスを提供し、HIPAAおよびPIPEDAに準拠する方法を考えないと、組織は高額な不遵守罰金のリスクにさらされ、従業員は保護された情報の漏洩のリスクにさらされる可能性があります。新しい要件の独自の性質は、HRの文脈で安全なPHIファイル共有の必要性を浮き彫りにしています。
問題はさまざまな要因によって複雑化しています。まず第一に、ワクチン接種およびテスト記録は、既存のPHI規制(HIPAAおよびPIPEDAを含む)によってカバーされています。これは、組織が新しい義務に従うために従業員からワクチン記録を収集する際に、既存の基準に従ってそれらを紛失や盗難から保護しなければならないことを意味します。データ損失によってもたらされる他のリスクは言うまでもありません。
もう一つの複雑さは、ワクチン接種の内容が他の従業員の健康情報とは異なる方法で収集される可能性があるという事実に関係しています。アメリカでは、ワクチン接種の唯一の普遍的な確認手段はFDA発行の紙のカードであり、大多数の従業員はカードの写真を撮ってメールで送信するか、アップロードすることで情報を提出する可能性が高いです。定期的に陰性のCOVID-19テストを提出する人々にとって、文書化はさらに複雑になり、システムはほとんどテストされていません。カナダには国際旅行用の新しい連邦ワクチンパスポートがありますが、州ごとに異なる確認方法のパッチワークがあります。結論として、PHIは安全なPHIファイル共有ソリューションを使用して送信されなければなりません。
問題: 分散したコンテンツ通信システム
多くの点で、この新しいコンプライアンス義務は過去のものとそれほど変わりません。企業は、新たに保護される個人情報の種類(PHIを含む)を確保する準備が整っていない傾向があります。そして、組織がEUの一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)に準備するために多くの月を持っていたにもかかわらず、多くは最後の瞬間に準拠するために急いでいました。
いずれにせよ、この迅速なコンプライアンス要件は、機密コンテンツ通信に関してほぼすべての組織に存在するリスク管理のギャップを露呈しています。新しいタイプのPHIが突然すべての従業員に対して文書化される必要があります。これは、比較的小規模な企業であっても、従業員がデータを送信するための合理化されたプロセスを作成する必要があります。
しかし、この安全なPHIは、コラボレーションツール、ファイル共有ソリューション、エンタープライズリソースプランニング(ERP)ツールなどを含むアプリケーション層を通過する必要があります。これらの分散したコンテンツ通信システムは、情報を人事情報システム(HRIS)などの記録システムに伝達します。しかし、そのコンテンツは、HIPAAおよびPIPEDAによって要求され、コンプライアンス監査を通過するために不可欠な、転送中または保存中の追跡がほぼ不可能です。さらに悪いことに、コンテンツ通信ツールは通常、ネットワークを通過するファイルを暗号化しません。
Kiteworksがコンプライアンスを簡素化
セキュリティとコンプライアンスブログの多くの読者が知っているように、Kiteworksはこのような混乱に秩序をもたらします。この新しい情報収集義務に対して、Kiteworksは、HIPAAおよびPIPEDAに準拠したファイル共有フレームワークを使用して、従業員からCOVID-19テストおよびワクチン接種データを収集および検証するための安全で合理化されたプロセスを迅速に構築することを可能にします。
統一された安全なコンテンツ通信
Kiteworksは安全なコンテンツ通信技術を統合し、複数のコンテンツ監査トレイルを1つの集中システムに標準化します。これにより、組織は従業員がモバイルデバイス、Webインターフェース、またはメール添付ファイルを介して必要なCOVID-19ワクチンおよび/またはテスト文書を送信するためのユーザーフレンドリーな方法を開発することができます。このソリューションは、業界や従業員数に関係なく、すべてのエンティティに対してスケーラブルです。複雑なソリューションの配列を統合することで、Kiteworksは組織にコンプライアンスを証明する能力を提供し、データが保護されているという安心感を提供します。
コンテンツの追跡
Kiteworksは、ダウンロード、アップロード、表示、送信、権限の変更など、すべてのアクションを記録することで、各COVID-19ワクチン接種およびテスト記録で何が起こるかを追跡します。これにより、ファイル共有およびコラボレーションツールだけではほぼ追跡不可能なアクティビティに対する完全な可視性が提供されます。また、特定のPHIに触れるすべてのイベントを追跡し、コンプライアンス監査の準備に必要なシンプルで包括的なレポートを提供することで、HIPAAおよびPIPEDAに準拠していることを証明するのに役立ちます。
制御されたコンテンツアクセス
各ユーザーを手動で設定するのではなく、役割に応じてポリシーを設定することで、管理時間を短縮し、最終的には人的エラーのリスクを軽減し、コンプライアンス文書化を容易にします。このようなコントロールがない場合、アクセスコントロールの欠如による従業員記録の同僚への偶発的な露出や、暗号化ポリシーの欠如によるメールを介した暗号化されていない添付ファイルの送信のリスクがあります。
安全なワクチン接種およびテスト記録
Kiteworksは、ソースに関係なく、保存中または移動中であってもコンテンツを保護するために多層防御モデルを使用します。従業員は、携帯電話、PC、またはメールでワクチン接種記録を提出できます。データは、送信、アップロード、ダウンロード、保存のたびに自動的に二重暗号化されます。そして、暗号化キーはパブリッククラウドではなく、組織のプライベートクラウドに保存されます。
PHIとワクチン義務に関する考察
HRの専門家が必要とする最後のことは、新しい、最後の瞬間のコンプライアンス要件に対処することです!しかし、彼らはそれが時間的に重要であり、彼らの組織にとって重要である理由を理解していると確信しています。要件がすでに存在していない場合でも、非常に早く施行されるため、今こそ「準備を整える」時です。迅速な行動を取らない組織は、ワクチン義務またはHIPAA/PIPEDAのいずれかに対する不遵守のペナルティのリスクに直面します。
すべての従業員を巻き込む大規模な新しい要件に対して、手動のアプローチは単に機能しません。アドホックまたは自動化されていないアプローチは、運用上のボトルネックを生み出し、サイバー犯罪者による潜在的な盗難に対して安全なPHIをさらす可能性があります。Kiteworksは、従業員、IT管理者、HRの専門家にとって簡単でありながら、労働者の個人情報を安全に保つ自動化された包括的なPHIコンテンツ共有アプローチを提供します。
ボブ・アートルはKiteworksのプロダクトマーケティング責任者です