HIPAAの最小限必要ルールとは？

HIPAAの最低限必要ルールは、HIPAAコンプライアンスの重要な部分であり、対象となる事業体が必要以上にPHIにアクセスすることを防ぐのに役立ちます。

最低限必要ルールとは何ですか？

最低限必要ルールは、HIPAAのプライバシールールの一部です。このルールは、対象となる事業体が目標を達成するために必要な最小限の保護された健康情報にのみアクセスするために合理的な努力をすることを要求しています。

HIPAAとは何ですか？

医療保険の相互運用性と説明責任に関する法律（HIPAA）は、病院、医師のオフィス、保険会社、およびそのビジネスパートナーが患者情報、すなわち保護された健康情報（PHI）をどのように取り扱い、保護するかを規制しています。

これらのルールは、PHIがユーザー、医師、患者と接触するあらゆる場所に及びます。

HIPAAは、保健福祉省によって管理され、規制の特定の側面を管理するルールとして知られる個別のセクションに分かれています：

プライバシールール

プライバシールールはHIPAAの最初のルールであり、多くの点でその後に続くルールの基盤となります。HIPAAによって管理される組織を定義しています：

• 対象事業体（CE）： 病院、医師のオフィス、保険会社、または医療関連サービスを直接提供する他の組織。
• ビジネスアソシエイト（BA）： PHIとインターフェースする能力でCEと協力する第三者ベンダーまたはサービスプロバイダー。これには、金融サービス、データストレージサービス、メール、またはクラウドサービスが含まれます。

さらに、プライバシールールはCEとBAの責任を規定しています。すなわち、これらの組織は、患者/組織関係外の第三者へのPHIの無許可の開示からプライバシーを保護するために、あらゆる合理的な努力をしなければなりません。いかなる状況においても、CEまたはBAは、PHI、個人識別情報（PII）、または医療サービスに関連する財務情報の無許可の開示を許可してはなりません。

プライバシールールにはいくつかの例外が示されています。これには、研究、法的要件、公的サービス、または無許可の開示が正当化される緊急事態などの状況が含まれます。

HIPAAプライバシールールの罰則

医療機関およびビジネスアソシエイトは、HIPAAセキュリティルールに違反した場合、重大な法的、財務的、評判的な結果に直面するリスクがあります。これらの結果の概要は次のとおりです：

法的： HIPAAプライバシールールに違反した医療機関およびビジネスアソシエイトは、米国保健福祉省（HHS）市民権局（OCR）から多額の罰金および罰則を受ける可能性があります。これらの罰則は、1件の違反につき100ドルから最大50,000ドルまでの範囲であり、意図的なプライベート健康情報の開示を含む場合には刑事訴追および懲役を含むことがあります。

財務的： HIPAAプライバシールールの違反は、医療機関およびビジネスアソシエイトにとっても重大なコストの影響を及ぼす可能性があります。HHS OCRからの罰金に加えて、HIPAAコンプライアンスを確保するための是正措置の実施にかかる費用は非常に高額になる可能性があります。さらに、医療機関およびビジネスアソシエイトは、健康情報が不適切に開示された患者からの法的措置に直面し、潜在的に多額の金銭的損害を被る可能性があります。

評判： HIPAA違反は、組織の評判に壊滅的な影響を及ぼす可能性があります。HIPAAプライバシールールの違反は、ネガティブな報道を引き起こし、組織またはビジネスアソシエイトの評判を公衆および他の利害関係者の目に傷つける可能性があります。このような評判の損傷は、ビジネスの減少、顧客の喪失、他の医療機関とのパートナーシップの減少につながる可能性があります。

罰則を回避し、HIPAAコンプライアンスを確保するために、医療機関およびビジネスアソシエイトは、プライベート健康情報を保護するための管理的、物理的、および技術的な保護策を実施する必要があります。これらの保護策は、組織の規模、範囲、およびリソースに合わせて調整され、コンプライアンスの取り組みを監督するプライバシーオフィサーの任命、HIPAA規則に関するスタッフのトレーニング、およびHIPAAプライバシールールに準拠するポリシーおよび手順の実施を含む必要があります。組織はまた、潜在的な脅威と脆弱性を特定するために定期的なリスク評価を実施し、特定された問題に対処するための行動計画を策定する必要があります。最後に、組織は、コンプライアンスの取り組みが最新の状態を維持していることを確認するために、監視を行う必要があります。

セキュリティルール

プライバシールールで定義されたPHIの保護を促進するために、HIPAAはセキュリティルールにおいてセキュリティ要件を設定しています。このルールは、要件を3つのカテゴリに分けています：

1. 技術的コントロール： 組織は、PHIを保護するために必要な技術とシステムを実装しなければなりません。これには、HIPAA暗号化、適切なIDおよびアクセス管理システム、周辺セキュリティシステム、ハードウェアおよびデバイスの保護、その他のコントロールの使用が含まれます。
2. 物理的コントロール： 管理者は、PHIを含むコンピュータシステムへのアクセスを制限しなければなりません。これには、物理サーバーおよびワークステーションの保護と監視、訪問者ログ、物理記録の保護、ノートパソコンおよびワークステーションの物理的保護の実施が含まれます。
3. 管理的コントロール： 組織は、HIPAAおよびプライバシーポリシーを文書化しておく必要があります。これらのポリシーには、従業員の入社および退職などの定期的な活動のためのトレーニングプログラムと運用が含まれるべきです。

これらのルールの具体的な技術的実装は、技術の進化と新たな脅威に対応できるように意図的に曖昧にされています。このルールにおけるHIPAAコンプライアンス要件に十分な技術的コントロールは、国家標準技術研究所特別出版物800-66で定義されています：「医療保険の相互運用性と説明責任に関する法律セキュリティルールの実装のための入門リソースガイド。」

HIPAAセキュリティルールの罰則

医療機関およびビジネスアソシエイトは、HIPAAセキュリティルールに違反した場合、重大な法的、財務的、評判的な結果に直面するリスクがあります。これらの結果の概要は次のとおりです：

法的： HIPAAセキュリティルールに違反した医療機関およびビジネスアソシエイトは、民事および刑事罰を受ける可能性があります。民事罰は、1件の違反につき100ドルから50,000ドルまでの範囲であり、年間最大罰金は1.5百万ドルです。刑事罰は、50,000ドルの罰金と1年の懲役から250,000ドルの罰金と10年の懲役までの範囲です。

財務的： HIPAA違反は、医療機関およびビジネスアソシエイトにとって高額な費用を伴う可能性があります。政府から課される罰金および罰則に加えて、弁護士の雇用、新しいセキュリティ対策の実施、影響を受けた個人への無料のクレジット監視サービスの提供など、違反を解決するための追加費用が発生する可能性があります。

評判： HIPAA違反は、組織の評判を損ない、顧客の喪失、収益の減少、そして全体的な公衆の信頼の低下につながる可能性があります。HIPAAセキュリティルールに違反した組織は、ネガティブなメディアの注目を浴びる可能性があり、それがさらに評判を損なう可能性があります。

医療機関およびビジネスアソシエイトは、HIPAAセキュリティルールの違反を回避するために、次のステップを実行できます：

• 包括的なHIPAAポリシーおよび手順を策定し、必要に応じて定期的にレビューおよび更新する
• すべてのスタッフメンバーにHIPAA規則およびコンプライアンス対策についてトレーニングを行う
• 電子PHIを保護するために暗号化、認証、およびアクセス制御などの技術的保護策を実施する
• セキュリティインシデント対応計画を確立する
• ベンダーがHIPAAセキュリティルールに準拠していることを確認するために第三者契約をレビューする
• 定期的なセキュリティリスク評価を実施する
• PHIの無許可のアクセスまたは使用を監視するためにシステム活動および監査ログを監視する
• 組織内でコンプライアンスの文化を創造する

漏洩通知ルール

HIPAA漏洩が発生した場合、CEまたはBAは、影響を受けた患者および一般に通知するための通知および開示手順を遵守しなければなりません。

ハッカーが医療システムに侵入した場合、またはPHIが侵害される可能性のあるインシデントが発生した場合、CEおよびBAは基本的なステップを実行しなければなりません：

• 開示： 組織は、既存の連絡先情報を使用して影響を受けた患者に通知するために合理的な努力をしなければなりません。多くの患者に直接連絡できない場合、組織は、公共のウェブサイトでの更新やフリーダイヤルの電話ホットラインを含む、より公共の手段で通知を提供する必要があります。
• 公共通知： 漏洩が多数の人々に影響を与える場合、組織は影響を受けた管轄区域のメディアに漏洩を公に開示しなければなりません。
• 政府通知： 組織はまた、HHSの長官室に通知しなければなりません。

オムニバスルール

オムニバスルールは、2013年に可決されたHIPAA規則の追加であり、新しい技術および脅威に対抗するためにそのいくつかの側面を現代化するためのものです。オムニバスルールで導入された主な変更点には以下が含まれます：

• 患者が要求した場合、組織は法律で要求されない限り、患者の健康保険にPHIを開示しないことを要求する。
• 組織は、マーケティング目的でPHIを使用することはできません。
• 以前はHIPAA違反に対して限定的な責任を負っていたBAは、HIPAAコンプライアンス（またはその欠如）に対して完全な監視を受けることになります。これは、CEのサービスにおいてHIPAAに違反した場合、完全に責任を負うことを意味します。

最低限必要ルールとは何ですか？

ここに挙げられている他のルールとは異なり、最低限必要ルールはHIPAAの独立した部分ではなく、CEおよびBAがPHIを使用する方法を定義するプライバシールールの小さなセクションです。

最低限必要ルールの基準は、対象事業体およびビジネスアソシエイトが、意図した目的を達成するために必要な「最低限必要」なPHIの使用および開示を制限する努力をしなければならないと述べています。

HIPAAの他の側面と同様に、「合理的」の意味は柔軟にされており、ある程度は管理される組織の判断に委ねられています（適切な正当化を伴う）。これは一般的に、企業が最低限必要な情報処理を正当化し、その後PHIを開示する場合、ルールを遵守しようとしない場合よりも潜在的な罰則がはるかに軽減されることを意味します。

このルールにはいくつかの例外があります：

• プロバイダーは、治療を提供する目的で処理ニーズを超えて情報を提供することができます
• 処理または開示がプライバシールールの開示の例外に該当する場合
• HHSの長官に対して法的に行われた開示
• 法律で要求される開示

最低限必要ルールの遵守を維持するために、企業はデータニーズとPHIをどのように使用するかについての詳細なポリシーを持っている必要があります。さらに、PHIにアクセスできる人とその目的を制限するために、明確に定義された役割ベースのアクセス制御を実施する必要があります。これらのセキュリティプロトコルは、組織のサイバーリスク管理戦略に文書化されていなければなりません。

上記に加えて、組織は従業員と協力してトレーニングプログラムを実施し、記録保持と監査ログを埋め込み、会社および従業員に対する違反に対する制裁を明確にする必要があります。

Kiteworksで最低限必要なPHI処理のコンプライアンスを確保する

最低限必要なPHI処理の要件を満たすための核心は、無許可の開示からPHIを保護し、データを絶対に必要とする個人のみが使用できるようにアクセスを制限し、そのデータに関するすべての活動を文書化およびログに記録して、HIPAAセキュリティコントロールにもかかわらずPHIが漏洩していないことを確認することです。

これらの要件を満たすために、組織は手動システムに頼ることはできません。代わりに、PHIを安全に保存および送信し、監査ログ、セキュリティコントロール、およびコンプライアンス分析を自動化する適切なプラットフォームを実装する必要があります。

Kiteworks対応のプライベートコンテンツネットワークには、次の機能が含まれています：

• セキュリティとコンプライアンス： Kiteworksは、保存中のデータに対してAES-256暗号化を使用し、転送中のデータに対してTLS 1.2+を使用します。プラットフォームの強化された仮想アプライアンス、詳細なコントロール、認証、その他のセキュリティスタック統合、および包括的なログと監査報告により、組織はセキュリティ基準へのコンプライアンスを簡単かつ迅速に証明できます。

  Kiteworksプラットフォームは、医療保険の相互運用性と説明責任に関する法律（HIPAA）、ペイメントカード業界データセキュリティ基準（PCI DSS）、SOC 2、および一般データ保護規則（GDPR）などの業界および政府の規制と基準に対する即時のコンプライアンス報告を提供します。

  さらに、Kiteworksは、FedRAMP、FIPS（連邦情報処理規格）、およびFISMA（連邦情報セキュリティ管理法）を含むがこれに限定されないさまざまな基準に対する認証とコンプライアンスを誇っています。Kiteworksはまた、CMMC 2.0（サイバーセキュリティ成熟度モデル認証）へのコンプライアンスを促進し、IRAP（情報セキュリティ登録評価者プログラム）によってPROTECTEDレベルのコントロールに評価されています。

• 監査ログ： Kiteworksプラットフォームの不変の監査ログにより、組織は攻撃が早期に検出され、法医学を実行するための正しい証拠の連鎖を維持できることを信頼できます。システムがすべてのコンポーネントからのエントリを統合し標準化するため、Kiteworksの統一されたsyslogとアラートは、セキュリティオペレーションセンターチームの貴重な時間を節約し、コンプライアンスチームが監査の準備をするのを助けます。

• SIEM統合： Kiteworksは、IBM QRadar、ArcSight、FireEye Helix、LogRhythmなどの主要なセキュリティ情報およびイベント管理ソリューションとの統合をサポートしています。また、Splunk Forwarderを備えており、Splunk Appを含んでいます。

• 可視性と管理： KiteworksのCISOダッシュボードは、組織に情報の概要を提供します：どこにあるのか、誰がアクセスしているのか、どのように使用されているのか、送信、共有、または転送されるデータが規制および基準に準拠しているかどうか。CISOダッシュボードは、ビジネスリーダーが情報に基づいた意思決定を行うのを可能にし、コンプライアンスの詳細なビューを提供します。

• シングルテナントクラウド環境： ファイル転送、ファイルストレージ、およびユーザーアクセスは、オンプレミスで展開された専用のKiteworksインスタンス、組織のInfrastructure-as-a-Serviceリソース、またはKiteworks Cloudサーバーによってクラウドでホストされるプライベートシングルテナントインスタンスで発生します。これにより、共有ランタイム、共有データベースまたはリポジトリ、共有リソース、またはクロスクラウドの侵害や攻撃の可能性はありません。

KiteworksがHIPAAコンプライアンスの取り組みをどのようにサポートするかを、組織の特定の要件に基づいたカスタムデモをリクエストして発見してください。