HIPAA侵害とは何か、発生した場合にどうすべきか？

あなたの組織がHIPAA違反を起こした場合、次に何をすべきでしょうか？誰に通知し、何を伝える必要がありますか？罰則を受ける可能性はありますか？

それについて、以下で詳しく説明します。

HIPAA違反とは何ですか？

HIPAA違反とは、「保護された健康情報のセキュリティまたはプライバシーを損なうプライバシールールに基づく許可されていない使用または開示」です。つまり、患者データが不法にアクセスされた場合、たとえそれが偶然であっても、それは違反と見なされます。

保護の観点から、医療データは米国で最も厳しいセキュリティ要件を持っています。これは、医療データが患者と医師、医療提供者、または保険支払者との関係以外で共有されるべきではないと見なされるためです。

医療機関が主に電子的方法を使用して患者記録を保存および送信する中で、HIPAAはデジタルメディアに関するいくつかのレイヤーの規制と制御を設定しています。これには、ネットワーク送信、データベースストレージ、タブレットやラップトップなどのモバイルコンピュータが含まれます。これらの場所で医療データが何らかの形で侵害、アクセス、または盗まれた場合、それはHIPAA違反と見なされ、特定の対応と報告が求められます。

2013年、HIPAAオムニバスルールは「違反」の法的な意味を修正し、これらの違反に対する法的責任を「ビジネスアソシエイト」（医療業界でプロバイダーと共に働く第三者請負業者や企業）に拡大しました。

HIPAA違反とHIPAA侵害の違いは何ですか？

HIPAA違反は、保護された健康情報（PHI）の許可されていない使用または開示であり、侵害よりも軽度です。HIPAA違反は、金銭的な罰則やその他の制裁を受けることがあるかもしれませんが、侵害はHIPAAルールの重大な違反であり、制裁、罰金、その他の是正措置を引き起こす可能性があります。HIPAA違反は、組織内でのPHIの不適切な使用や開示を含むことがあります。例えば、従業員が患者のPHIやその他の関連情報を許可なく開示する場合です。

対照的に、HIPAA侵害は通常、PHIが許可されていない個人または団体に開示されたり、許可されていない個人または団体がPHIにアクセスしたりすることを含みます。侵害には、許可されていない物理的または電子的アクセスによる未保護のPHIの喪失も含まれます。

ランサムウェア攻撃はHIPAAの侵害と見なされますか？

はい、ランサムウェア攻撃はHIPAAの侵害と見なされ、HIPAAの通知要件を引き起こします。HIPAAは、対象となる団体とそのビジネスアソシエイトに対し、未保護の保護された健康情報（PHI）の侵害を個人および保健福祉省（HHS）に通知することを要求しています。

なぜ医療セクターでは他のセクターよりも多くのデータ侵害が発生するのですか？

医療セクターでのデータ侵害の多さにはいくつかの要因があります。主な理由の一つは、医療機関が他の業界よりも多くの機密個人データ（医療記録、保険情報、支払い情報など）を保存する傾向があることです。このデータはダークウェブで非常に価値があり、身元盗難や保険詐欺に利用される可能性があります。

第二に、この機密PHIは、コンピュータやサーバーだけでなく、さまざまな医療機器や携帯端末にも保存されています。これらのデバイスは、まず機能性を重視して設計されており、デバイスのセキュリティはほとんど、あるいは全く優先されていません。これらのデバイスは紛失しやすく、さらに悪用されやすいです。医療機器のセキュリティは、実際には深刻なリスク管理の問題です。

HIPAAのプライバシールールとは何ですか？

より具体的には、HIPAAの侵害はプライバシールールに該当し、これはHIPAAコンプライアンスの3つの主要なルールの一つです：

1. プライバシールール。 このルールは、電子個人健康情報（ePHI）のプライバシーの基本を確立し、ePHIが何であるかを定義します。このルールはまた、患者情報がどの程度までプライベートであるべきか、セキュリティを超えてどのように送信および共有されるべきか、そしてそのプライバシーを管理する責任が誰にあるかを定義します。
2. セキュリティルール。 セキュリティルールは、ePHIを保存、送信、アクセスするための方法と手段を定義します。これには、HIPAA暗号化、リスク管理、報告などのデータセキュリティの側面の定義が含まれます。
3. 侵害通知ルール。 この側面は、セキュリティ侵害が発生した場合の組織の要件を管理します。医療システムでのセキュリティ侵害の影響を受けた人々にいつ、どのように、どの頻度で通知するかのガイドラインを含みます。

プライバシールールは、他のルールの基盤であり、個人および保護されたデータが何であるかを文字通り定義します。これは、医療ePHIを扱う組織に求められる保護の基準を設定し、ePHIがいつどのように開示されるべきかを定義します。

HIPAA侵害通知ルールの概要

HIPAA侵害通知ルールは、患者のPHIを保護することに焦点を当てています。このルールは、PHIへの許可されていないアクセスが発生した場合に、対象となる団体とそのビジネスアソシエイトが従うべき要件と手続きを確立しています。侵害通知ルールは、影響を受けた個人、保健福祉省（HHS）、場合によってはメディアへの迅速な通知を確保することを目的としています。最終的に、HIPAA侵害通知ルールは、侵害の潜在的な被害を軽減し、将来の侵害を防ぐために設計されています。

侵害通知ルールに従い、対象となる団体は、侵害の発見から60日以内に影響を受けた個人に不合理な遅延なく通知しなければなりません。通知には、侵害の説明、関与したPHIの種類、個人が自分自身を保護するために取るべきステップ、影響を軽減し将来の発生を防ぐために組織が取っている行動が含まれている必要があります。侵害が500人以上に影響を与える場合、対象団体は同時にHHSに通知し、場合によってはメディアに警告する必要があります。500人未満の個人に関与する侵害の場合、対象団体はログを保持し、毎年HHSに提出する必要があります。

HIPAA侵害通知ルールの遵守は、透明性、迅速な対応、是正努力を確保し、患者と医療提供者の間の信頼を回復し、機密性の高い健康情報の整合性と機密性を維持するのに役立ちます。

HIPAA違反をいつ、どのように報告すべきですか？

HIPAA侵害通知ルールは、ePHIの許可されていない開示を侵害と定義しています。許可されていないまたは許可されていない開示は、影響を受けた組織が不法なアクセスが機密健康データを侵害しなかったことを証明できない限り、侵害と見なされます。

ルールによれば、影響を受けた組織は、侵害されたデータを影響を受けた個人に書面または電子メールで通知しなければならず、発見から60日以内に行う必要があります。通知には以下の情報が含まれている必要があります：

1. HIPAA侵害の説明。
2. 侵害されたデータの種類。
3. 組織が取った緩和努力。
4. 患者が自分自身またはデータを保護するために取るべきステップ。
5. クレジット保護のためのオプション情報、クレジットを確認および監視するためのリソースやクレジットレポートに詐欺通知を置くためのリソースを含む。

組織が影響を受けた10人以上の人々に合理的に連絡できない場合（情報が古いため）、侵害の発見から少なくとも90日間、ウェブサイトに通知を掲載する必要があります。10人以下の場合、影響を受けた組織は電話や他の書面による通知を使用できます。

HIPAA侵害が500人以上に影響を与える場合、組織はさらに州の管轄内の主要なメディアに情報を提供する必要があります。

最後に、すべての影響を受けた組織は、保健福祉省の長官に書面またはオンラインフォームで通知する必要があります。

ほとんどの場合、侵害は報告されなければなりません。このルールの例外は、影響を受けた組織が以下の要因に基づいてリスク評価を行い、ハッカーがePHIにアクセスまたは保存した可能性が低いことを示すことができる場合です：

1. 影響を受けたePHIの種類。
2. 侵害の種類とアクセスに使用された資格情報。
3. データの実際の閲覧（または閲覧されていない）。
4. ePHIの使用または盗難に対するリスクがどの程度緩和されたか。

つまり、医療機関が資格情報の欠如や盗難または閲覧が不可能な要因の組み合わせにより、データ侵害がデータを露出しなかったことを示すことができる場合、影響を受けた当事者に通知を省略することができます。これはいくつかの誤りのように見えるかもしれません：

1. 従業員が職務の一環として誤って患者情報にアクセスする。
2. 同じまたは異なる組織内の2人の許可された人がデータを互いに露出する。
3. 侵害されたデータが安全なシステム外で保存される可能性がほとんどない。

HHSにHIPAAデータ侵害通知を行った後に何が起こりますか？

対象団体またはビジネスアソシエイトがHHSにデータ侵害を通知した後、侵害が適切に対処され、将来の発生を防ぐために必要なすべての措置が実施されるようにするためにいくつかのステップが取られます。組織が侵害通知後のプロセスを理解することは重要です。このプロセスには、潜在的な調査、是正努力、罰則の準備が含まれます。

侵害通知を受け取った後、HHS市民権局（OCR）は提出された情報をレビューし、侵害の状況を評価するための調査を開始することがあります。調査の主な目的は、HIPAAプライバシー、セキュリティ、または侵害通知ルールの違反があったかどうかを判断することです。OCRは、対象団体またはビジネスアソシエイトから追加の情報や文書を要求し、必要に応じて現地訪問を行うことがあります。

OCRがHIPAA違反を特定した場合、対象団体またはビジネスアソシエイトは、金銭的罰金、是正措置計画、場合によっては解決合意を含む罰則を受ける可能性があります。罰則の厳しさは、侵害の範囲、過失の程度、組織のコンプライアンス履歴などの要因に依存します。組織は調査中にOCRと完全に協力し、特定された問題を是正する努力を示さなければなりません。

この期間中、組織はプライバシーとセキュリティの実践を強化し、脆弱性に対処し、将来の侵害を防ぐための是正措置を実施することにも焦点を当てるべきです。HIPAAコンプライアンスを改善することで、組織は潜在的な罰則を最小限に抑え、患者の健康情報をより良く保護することができます。

データ侵害の被害者としてHIPAA違反をどこに報告すべきですか？

PHIに関与するデータ侵害の被害者であり、HIPAA違反があったと疑う場合は、行動を起こし、事件を報告することが重要です。HIPAA違反を報告することで、責任を負うべき当事者が責任を問われ、将来の同様の侵害を防ぐための措置が講じられることを確保します。

HIPAA違反を報告する最初のステップは、PHIを維持する責任を負う医療提供者や保険会社などの対象団体に連絡することです。疑わしい侵害について知らせ、問題の調査を依頼します。彼らは調査を行い、是正措置を講じ、HIPAA侵害通知ルールに従って影響を受けた個人に通知する義務があります。

対象団体の対応に満足できない場合や、適切な行動を取っていないと感じる場合は、HHS OCRに苦情を申し立てることができます。

OCRはHIPAA規制を施行し、潜在的な違反を調査する責任を負っています。OCRのウェブサイトを通じてオンラインで苦情を提出するか、郵送、ファックス、または電子メールで提出できます。潜在的な違反に最初に気付いた日から180日以内に苦情を提出することが重要ですが、特定の状況下ではOCRが延長を許可することがあります。

HIPAA違反を報告することで、あなたはPHIと他の患者のプライバシーとセキュリティを維持し、医療機関がHIPAAの下での責任を果たすことを確保する上で重要な役割を果たします。

誤ってHIPAAを違反した場合はどうなりますか？

すべてのHIPAAセキュリティ違反が故意の怠慢によるものではありません。複雑な要件と潜在的な攻撃ベクトルがあるため、組織が誤ってHIPAAコンプライアンス要件を見逃すことは理解できます。例えば、医師が緊急治療を迅速化するためにePHIを含むメッセージを送信することがあります。このような場合、セキュアなシステムは、医療従事者が迅速かつ決定的に行動する能力を損なうことなく、開示の大きな結果を緩和することができます。

主に、HIPAAを誤って違反する方法はいくつかあります：

1. 意図的な回避： 医師が緊急治療を迅速化するために、コンプライアントなチャネル外で情報を共有する場合。
2. 偶発的な露出： 意図せずに行われた開示。
3. 意図的な開示： 盗難やハッキングによるもの。多くの場合、組織内の個人によって発生します。

あなたやあなたの医療機関が誤ってHIPAAを違反した場合、違反の発見から60日以内に報告する必要があります。通知を早く送るほど、データの損失による影響を避けることができます。

偶発的な違反の後、組織が遵守しなければならないHIPAA違反の要件（報告、通知など）を完了してください。データアクセスが意図的でなかった場合、実際のコンプライアンス要件は比較的小さいかもしれません。

偶発的な違反が上記の潜在的な例のいずれかであった場合（内部で善意でアクセスされた、2人の許可された人の間で、またはデータが組織外で保持されない証拠がある場合）、違反についてあまり心配する必要はないかもしれません。

違反を偶発的と指定することは、罰金に関して実際の意味を持ちます。違反の罰則は、データの種類、脆弱性の原因、意図的かどうかに応じて、1件あたり100ドルから50,000ドルまでの範囲で異なります。

なぜスタッフはHIPAA侵害の報告について訓練されなければならないのですか？

HIPAA侵害の報告に関する適切なスタッフの訓練は、患者のPHIのプライバシーとセキュリティを維持するために重要です。いくつかの理由があります。

まず第一に、スタッフの訓練は、組織内でコンプライアンスと意識の文化を作り出すのに役立ちます。従業員にHIPAA規制の重要性とPHIおよび患者のプライバシーを保護する役割を教育することで、彼らは潜在的なリスクを特定し対処する上でより警戒心を持ち、積極的になります。この意識の高まりは、侵害の防止と全体的なセキュリティ姿勢の強化につながります。

第二に、訓練を受けたスタッフは、侵害を迅速に検出し報告することができ、組織が即座に影響を緩和することを確保します。迅速な報告と対応は、影響を受けた個人への潜在的な被害を制限し、HIPAA侵害通知ルールに関連する罰金や罰則への組織の露出を最小限に抑えるために重要です。

さらに、HIPAA侵害の報告に関するスタッフの訓練は、組織の透明性と説明責任を維持するために重要です。従業員は報復を恐れることなく侵害や潜在的な違反を報告する自信を持つべきであり、プライバシーとセキュリティが優先され、積極的にサポートされる環境を作り出します。

最後に、スタッフにHIPAA侵害を報告するための必要な知識とツールを提供することで、組織がHIPAAに準拠することを確保します。定期的な訓練の更新とリフレッシュは、スタッフが新しい脅威や進化するベストプラクティスについて情報を得続けるのに役立ち、PHIのプライバシーとセキュリティを維持する組織のコミットメントをさらに強化します。

HIPAA侵害の影響をどのように緩和できますか？

侵害が発生した場合、パニックになる必要はありませんが、できるだけ早く侵害からの損害を緩和するための措置を講じる必要があります。

1. リスク分析を実施する。 この分析は、侵害のタイムライン、原因、および収集された情報に基づく侵害の潜在的な影響を概説します。ここで、違反が発生した可能性のある場所を特定し、組織全体での責任を追跡することができます。また、盗まれたデータの種類と影響を受けた人々を特定する必要があります。
2. HIPAA通知ルールに基づく通知要件を処理する。 また、法執行機関や関係のある第三者セキュリティ企業にも連絡する必要があります。
3. 侵害に対抗するための特定のセキュリティ対策を実施する。 侵害がコンプライアンスの明らかな無視に関連している場合、問題を修正することは簡単ですが、時間、費用、評判の面で高価になる可能性があります。

全体として、最良の緩和策は予測的予防です。データの保存、送信、HIPAA準拠のメールに対するコンプライアントで安全なソリューションを持ち、専門の企業やプラットフォームプロバイダーと協力することで、重大な侵害になる前に潜在的な問題を回避することができます。

ビジネスアソシエイトによるデータ侵害

ビジネスアソシエイトは、医療提供者や保険会社などの対象団体に代わって保護された健康情報を扱い、保存、または処理する第三者組織です。対象団体と同様に、ビジネスアソシエイトは、管理するPHIを保護するためにプライバシーとセキュリティの規制に準拠しなければなりません。残念ながら、データ侵害は依然として発生する可能性があり、これらの侵害の一般的な原因と結果を理解することは、ビジネスアソシエイトと対象団体の両方にとって重要です。

ビジネスアソシエイトに関与するデータ侵害は、人為的なエラー、不十分なセキュリティ対策、または標的型サイバー攻撃など、さまざまな要因から生じる可能性があります。これらの侵害は、PHIの許可されていない開示、改ざん、または破壊を引き起こし、患者を身元盗難、金融詐欺、プライバシーの喪失のリスクにさらします。一般的な原因には、フィッシングキャンペーン、弱いパスワードポリシー、許可されていないアクセス、PHIの不適切な廃棄、機密情報を含むデバイスの紛失や盗難が含まれます。

ビジネスアソシエイトに関与するデータ侵害が発生した場合、ビジネスアソシエイトと対象団体は、侵害の範囲を評価し、影響を受けた個人を特定し、潜在的な被害を緩和するために直ちに行動を起こさなければなりません。HIPAA侵害通知ルールに従い、影響を受けた個人、HHS OCR、および場合によってはメディアに侵害について通知しなければなりません。これを怠ると、重大な金銭的罰則、評判の損失、患者やパートナー間の信頼の喪失を招く可能性があります。

ビジネスアソシエイトは、データ侵害を防ぐために堅牢なセキュリティポリシーを実施し、定期的なリスク評価を行い、チームメンバーの訓練を提供し、インシデント対応計画を維持する必要があります。潜在的な脆弱性に積極的に対処し、HIPAA規制に準拠することで、ビジネスアソシエイトは管理するPHIをより良く保護し、コストのかかる侵害のリスクを最小限に抑えることができます。

KiteworksでHIPAA準拠を維持し、侵害を回避する

Kiteworksは、対象団体とそのビジネスアソシエイトに対し、メール、ファイル共有、MFT、およびSFTPのための安全でコンプライアントなファイル共有およびファイル転送ソリューションを提供します。詳細なアクセス制御と最高水準の暗号化により、Kiteworksは許可されたユーザーのみが保護された健康情報にアクセスできるようにし、この他の機密情報が送信中および保存中にプライベートに保たれることを保証します。Kiteworksは、さまざまなエンタープライズアプリケーションおよびセキュリティインフラストラクチャとシームレスに統合され、HIPAAおよびその他のデータプライバシー規制および基準に準拠して機密コンテンツを管理、保護、制御する必要がある組織にとって貴重な資産となります。

さらに、Kiteworksはすべてのファイル活動に対する比類のない可視性を提供し、誰がどのファイルを誰に、いつ、どのように送信したかを把握することで、企業が文書を完全に管理し、全体的なセキュリティ姿勢を強化することを可能にします。Kiteworksを使用することで、医療機関はリスクと脅威に満ちたデジタル環境を自信を持ってナビゲートし、PHIおよびその他の機密コンテンツが安全に送信、共有、受信、保存されていることを確認できます。

KiteworksがどのようにしてHIPAAコンプライアンスを達成するのに役立つかを学ぶために、カスタムデモを今すぐスケジュールしてください。