Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > HIPAAコンプライアンス > HIPAAデータ保持とバックアップ【要件とコンプライアンス】
HIPAAデータ保持とバックアップ:要件とコンプライアンス

HIPAAデータ保持とバックアップ【要件とコンプライアンス】

by Bob Ertl updated 1月 25, 2025 HIPAAコンプライアンス
Reading Time: < 1 minutes

医療記録をどのくらいの期間保持すべきでしょうか?これは状況によって異なりますが、HIPAAデータ保持に関する具体的なHIPAA要件はありませんが、従うべきポリシーがあります。

例えば、HIPAAのセキュリティルールではメールアーカイブは必須ではありませんが、医療提供者は保護された健康情報(PHI)を含むコミュニケーション、メールを含めて、最低6年間保持し、その間にこれらの記録を変更または削除することはできません。

HIPAAとプライバシールールとは何ですか?

医療保険の相互運用性と説明責任に関する法律(HIPAA)は、さまざまな医療提供者や保険会社における患者情報の説明責任をカバーしています。法律の文面は、HIPAAとその中に含まれる規制を3つの異なるルールに整理しています:

  1. プライバシールールは、PHIを定義し、カバードエンティティ(CE)とビジネスアソシエイト(BA)がセキュアなコンテンツアクセスを制御する際の責任を持つことを規定しています。
  2. セキュリティルールは、CEとBAがデータを保護する際に必要な最低限の効果的なセキュリティ対策を、物理的、管理的、技術的な保護策を含めて概説しています。
  3. 侵害通知ルールは、データ侵害が発生した場合に、CEまたはBAが影響を受けた患者や一般にどのように通知するかを規定しています。

医療記録の保存とデータ保持を保護する観点から、CEとBAはプライバシールールとセキュリティルールの両方に従わなければなりません。ただし、プライバシールールは特にPHIの保持と破棄の要件を詳細に示しています。

プライバシールールで指定されている期間は、非医療記録(メール、コミュニケーションなど)にのみ適用されることに注意が必要です。代わりに、医療記録の保持は個々の州によって規定されています。

HIPAAの下で誰が情報にアクセスできますか?

HIPAAは医療提供者や保険会社だけでなく、PHIを扱う可能性のある他のエンティティにも適用されることに注意が必要です。一般的に、病院、医師、歯科医、薬局を含むすべての医療提供者はHIPAAの下でカバードエンティティと見なされ、治療、支払い、その他の医療業務を遂行するためにPHIにアクセスすることが許可されています。

医療提供者に加えて、健康保険会社、HMO、自己保険を提供する雇用主を含む健康プランもカバードエンティティと見なされ、PHIにアクセスできます。HIPAAに含まれる他のエンティティには、医療クリアリングハウス、カバードエンティティのビジネスアソシエイト、特定の状況下での州および連邦機関が含まれます。

患者も自分のPHIにアクセスでき、他の人にアクセスを許可することができます。特定の場合には、家族や友人も患者の許可を得てPHIにアクセスすることができます。最後に、伝染病の拡散を制御するために必要な場合、認可された公衆衛生当局もPHIにアクセスできます。

HIPAAプライバシールールに基づくHIPAAファイルストレージ

HIPAAファイルストレージは、HIPAAプライバシールールに従って、電子または物理的な媒体にPHIを安全に保存することです。これには、患者の医療記録、従業員の健康記録、請求情報、その他の医療情報の保管が含まれます。PHIは不正アクセスから保護されなければなりません。

PHIを保存する方法を決定する際には、データを保護するために必要なセキュリティ対策と、必要な技術を実装および維持するためのコストの両方を考慮することが重要です。組織は、PHIの意図的および意図しないアクセス、使用、または開示から保護するためのセキュリティ対策を実施する必要があります。保存されるデータの種類とそれがもたらす可能性のあるリスクに応じて、組織は暗号化やファイアウォール、アクセス制御手段、その他の認証方法などのセキュリティ対策を検討する必要があります。

組織はまた、PHIをどこに保存し、どのように保護するかを特定する必要があります。PHIは、HIPAAコンプライアンスのためにテストされ、セキュリティ更新が一貫して監視されているシステムに保存されるべきです。組織はまた、データのバックアップ、データ保持、データ破棄のための明確な手順を持つべきです。

組織は、利用可能なファイルストレージソリューションを徹底的に評価し、組織の特定のニーズを満たしていることを確認する必要があります。適切なソリューションを選択することは、PHIのセキュリティと組織のHIPAA規制へのコンプライアンスを確保するための重要なステップです。

クラウドストレージとバックアップをHIPAA準拠に保つ

敏感な医療データを扱う場合、クラウドストレージがHIPAA規制に準拠していることを確認することが重要です。これを怠ると、重い罰金や訴訟、評判の損失などの深刻な結果を招く可能性があります。したがって、HIPAA準拠のソリューションを提供するクラウドストレージプロバイダー(CSP)と協力することが重要です。これは、プロバイダーがPHIやその他の機密コンテンツを保護するために、暗号化、アクセス制御、監査ログなどの特定のセキュリティ対策を使用することを意味します。さらに、プロバイダーは、HIPAAコンプライアンスの文脈でのデータ保護に関する責任を概説したビジネスアソシエイト契約(BAA)をあなたと締結する必要があります。HIPAA準拠のクラウドストレージソリューションを選択することで、データが安全であり、ビジネスが関連するすべての規制に準拠していることを確認できます。

HIPAAのデータ保持とバックアップの要件に準拠したクラウドバックアップソリューションを採用することは、医療提供者がHIPAAコンプライアンスを実証するのに役立つだけでなく、データセキュリティの姿勢を強化し、安心感を高めます。

カバードエンティティに対するHIPAAデータ保持要件とは何ですか?

HIPAA規制の下で、CEとBAは、作成日または最終有効日から少なくとも6年間、医療記録を保持しなければなりません。

この規制基準は、特定の文書にのみ適用されます。これには以下が含まれます:

  1. 組織をCEまたはBAとして指定する書面または電子記録。
  2. HIPAAコンプライアンスを実証するセキュリティおよびプライバシー手順のすべての文書。
  3. HIPAAが要求する評価文書。
  4. データ使用契約およびHIPAAコンプライアンスに必要なその他の形式。
  5. CEまたはBAがPHIを開示することを許可する患者によって提供された署名された承認、またはそれらの承認を受け取るための努力の文書。
  6. プライバシー慣行の通知。
  7. 患者の医療および請求記録。
  8. HIPAAコンプライアンス担当者およびコンプライアンスを維持する責任を持つ組織内の他の個人の文書。これには、名前、役職、連絡先情報が含まれます。
  9. PHIの開示に関する会計。

個々の州には、HIPAAに優先する独自の保持法があります。

これらのデータ保持要件は、カバードエンティティとビジネスアソシエイトの両方に同じです。HIPAAの下でのデータ保存のセキュリティ基準は、長期データ保存においても同じであるため、プロバイダーまたはITスタッフに確認してHIPAAコンプライアンスを確認してください。

オンラインバックアップはHIPAAの下で必須ではありませんが、HITECHはそれを奨励しています。

HIPAAデータバックアッププランと災害復旧プランの違いはありますか?

はい。HIPAAデータバックアッププランは、PHIを長期保存およびアクセスのためにバックアップすることに焦点を当てています。このプランは、データがどのようにバックアップされるか、保存に使用されるメディア、およびバックアップがどこに保存されるかを概説しています。このプランには、バックアップがいつ実行されるか、誰がバックアップを確認するか、システム障害やデータ損失が発生した場合にデータをどのように復元するかに関する情報も含まれている必要があります。

一方、災害復旧プランは、緊急事態や災害イベントに対応し、復旧するためのプランです。このプランは、停電、機器故障、自然災害、その他のイベントの後に通常の運用を復元するために取るべき手順を概説しています。このプランには、緊急連絡先情報、データ復旧手順、およびビジネス継続性を確保するための手順も含まれます。

HIPAAデータバックアッププランを開発する際に考慮すべきことは何ですか?

HIPAA準拠のデータバックアップ戦略を作成する際には、いくつかの要因を考慮する必要があります。まず、バックアップが必要なデータの種類、保存場所、およびアクセス権を持つ人を特定することが重要です。次に、データを保存する際のセキュリティリスクを分析し、潜在的な脆弱性を特定する必要があります。第三に、バックアップ戦略には、PHIデータ侵害のリスクを軽減するための暗号化やアクセス制御などの具体的な対策を組み込む必要があります。また、データ侵害、サイバー攻撃、自然災害または人為的災害が発生した場合にデータを簡単に復元できるようにするための災害復旧プランを確立することが重要です。さらに、バックアップ戦略を定期的にテストおよび更新し、HIPAA規制に準拠していることを確認する必要があります。

HIPAA準拠のPHI記録廃棄方法

データ保護要件は、CEとBAが医療記録を廃棄する際に終了するわけではありません。

これは以下の理由によります:

  • 廃棄されたデータストレージデバイスは回収され、PHIを不正に開示する可能性があります。
  • 不適切に消去または削除されたデータストレージメディアは、依然として不正にアクセスされる可能性のあるPHIを保持することがあります。

HIPAAは、HIPAAデータ保持規制に準拠した医療記録廃棄の具体的な方法を示しています:

  1. 紙の記録は、PHIが読めなくなるように、焼却、シュレッダー、引き裂き、または粉砕されなければなりません。
  2. PHIのラベルが付いた処方箋ボトルは、通常、物理的なオブジェクトを破壊できる第三者のBAを通じて適切に破壊されなければなりません。
  3. 電子メディアは、データを削除する特別なソフトウェアを使用してクリアまたは消去されなければなりません。電子メディアは、粉砕によって物理的に破壊されるか、消磁によって読めなくされることもあります。

KiteworksでHIPAA準拠のデータ保持とバックアップ要件を達成する

Kiteworksのプライベートコンテンツネットワークは、HIPAAデータ保持とバックアップ要件を効果的に満たすために、PHIを不正アクセスから保護します。すべてのファイル活動の完全な可視性をサポートする詳細な監査ログを含む主要な機能により、すべてのアクションの記録が保持され、説明責任とコンプライアンスが促進されます。

Kiteworksを使用すると、組織はPHIなどのさまざまな種類の機密データの保持期間をカスタマイズし、HIPAAによって義務付けられた特定の要件に合わせることができます。この機能により、効率的でカスタマイズされたデータ保持が可能になり、組織はHIPAAおよびその他のコンプライアンス規制と基準に準拠することができます。Kiteworksは、送信者と受信者のファイアウォールを通じて、メールの旅の全期間にわたってPHIが保護されるようにするために、自動化されたエンドツーエンドの暗号化を提供し、データセキュリティを強化します。

Kiteworksはまた、管理者がユーザーの権限を定義し、役割と責任に基づいてPHIへのアクセスを制限できる詳細なアクセス制御メカニズムを提供します。これにより、許可された担当者のみが機密コンテンツを表示、開く、編集、または共有できるようになります。さらに、Kiteworksは、ワンクリックでHIPAAコンプライアンスレポートを提供する堅牢な報告機能を提供し、カバードエンティティとそのビジネスアソシエイトが、HIPAAに準拠した適切な管理的、物理的、技術的保護策を備えていることを示すことができます。

Kiteworksは、データ損失防止(DLP)、高度な脅威対策(ATP)、セキュリティ情報イベント管理(SIEM)、コンテンツ無害化と再構築(CDR)など、セキュリティインフラストラクチャ内の多くのソリューションと統合し、PHIデータの漏洩やサイバー攻撃を防ぎます。さらに、デジタル著作権管理(DRM)機能として、透かし、ファイル暗号化、権限ベースのアクセス制御などがあり、PHIやその他の機密データを不正アクセスや悪用から保護します。

Kiteworksがデータ保持とバックアップを含むHIPAAコンプライアンスを達成するのにどのように役立つかについて詳しく知るには、デモをスケジュールし、特定のユースケースとビジネス要件に合わせて調整してください。

Tags: セキュリティブルバードのサイバーセキュリティ |

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks