HIPAAセキュリティ規則の要件とコンプライアンス
HIPAAセキュリティ規則は、ePHIを保護する上で重要です。この規則を理解するには、必要な保護策とそれを組織にどのように適用するかを知る必要があります。
HIPAAセキュリティ規則とは何ですか?HIPAAセキュリティ規則は、対象となる事業体が個人の健康情報を使用する際にそれを保護するための規制を作成しました。これには、情報を保護するために組織内で管理的、物理的、技術的な保護策を作成することが含まれます。
HIPAAセキュリティ規則とは何ですか?
HIPAAコンプライアンスフレームワークは3つの規則に分かれており、それぞれが医療提供者(対象事業体)とそのパートナー(ビジネスアソシエイト)の責任について述べています:
- プライバシー規則は、個人の健康情報(PHI)の定義、使用可能または使用不可の方法、データの保護と患者のプライバシーの維持について定めています。
- セキュリティ規則は、医療提供者が患者データを保護するために提供しなければならないセキュリティ対策を概説しています。
- 侵害通知規則は、セキュリティ侵害が発生した場合に、CEまたはBAが影響を受けた患者および一般に通知するタイミングと方法を指定しています。
HIPAA対象事業体とビジネスアソシエイトとは誰ですか?
コンプライアンスについて話すとき、いくつかの異なる当事者への言及が見られます:
- 対象事業体(CE):対象事業体は主要な医療機関であり、病院、クリニック、保険支払者、統合配信ネットワーク(IDN)などのグループが含まれます。
- ビジネスアソシエイト(BA):ビジネスアソシエイトは、通常、ビジネスまたは管理機能を引き継ぐことでCEの業務を支援する企業です。BAは、技術プロバイダー(マネージドサービスプロバイダー、クラウドサービスプロバイダー、データ処理会社など)や管理グループに及ぶことがあります。基本的に、BAはCEに代わってPHIを扱います。
対象事業体は、CE機能を実行しながら、他の対象事業体のビジネスアソシエイトとしても機能することができます。
HIPAAセキュリティ規則の保護策とは何ですか?
セキュリティ規則は通常、医療会社にとって最も関連性が高く、これらの会社が維持しなければならない対策を規定しています。具体的には、セキュリティ規則はCEの責任を3つのカテゴリーに分けています:
- 管理的保護策。これらの保護策は、すべての患者データの安全性と保護を確保するために組織が持つべきポリシー、手順、計画を指します。この分野の責任には、セキュリティ管理、人事管理、労働力のトレーニング、評価が含まれます。要するに、組織はポリシーとトレーニング手順を実施し、従業員と業務がコンプライアンスを維持するようにしなければなりません。
- 物理的保護策。物理的保護策は、データへの実際の物理的アクセスとその保護方法を指します。ここでの対策には、データセンターやその他の作業施設へのアクセス、ワークステーションの暗号化、モバイルデバイスの保護、輸送または廃棄が必要なハードドライブやその他の取り外し可能なメディアが含まれます。
- 技術的保護策。 HIPAA暗号化、アクセス制御、認証、データの整合性、その他の保護対策をカバーします。技術的保護策は、データが保存中、転送中、またはワークステーションで使用中に実施される必要があります。
セキュリティ規則は、コンプライアンスを維持するために組織が使用しなければならない技術の種類を具体的に指定していません。代わりに、対策は実施時のセキュリティの課題に対応する必要があります。
これらの保護策は、コンプライアンスを維持し、最新の対策を把握している限り、ePHIを本質的に保護します。
HIPAAリスク評価とは何であり、それがセキュリティコンプライアンスにどのように影響するか?
HIPAAコンプライアンス要件は、CEとそのBAがセキュリティ運用の一環としてリスク評価を実施することを規定しています。実際、リスク評価はプライバシー規則で、医療提供者やその他のCEがコンプライアンスの一環として実施しなければならない絶対的なものとして概説されています。
リスク評価とは何ですか?リスク評価とは、組織が現在および将来のセキュリティ実装の潜在的なリスクを評価する操作です。この評価は、脆弱性と改善の余地を理解するのに役立ちます。
コンプライアンスの観点から、リスク評価は組織と専門家に要件を遵守しているかどうかを伝えることもできます。
米国保健福祉省によると、HIPAAリスク評価には以下が含まれるべきです:
- PHIの文書化とその場所、伝送、保存。
- 現在のセキュリティ対策の評価。
- 合理的に予測される脅威とPHIのHIPAA侵害のリスク、およびそれらの侵害に関連する影響の決定。
- 複数のセキュリティ保護策にわたる脅威と脆弱性の組み合わせのリスクレベルの計算。
- すべての評価、変更、およびセキュリティ対策の実施を報告、文書化、記録。
この評価は、小規模な組織やエンタープライズレベルの企業に適用されます。規則はデータの安全性に関するものであり、会社の規模ではありません。このため、HIPAAのセキュリティとコンプライアンスは、大企業にとって非常に困難であり、新たに業界に参入する中小企業にとっては威圧的です。
HIPAA非コンプライアンスの罰則は何ですか?
リスク評価とコンプライアンスは重要です。なぜなら、非コンプライアンスの罰則は医療機関をすぐに壊滅させる可能性があるからです。
規制違反は4つの階層に分類されます:
- 階層1:CEまたはBAが違反を認識しておらず、合理的に防ぐことができなかった。
- 階層2:CEまたはBAが違反を認識しているべきだったが、認識しておらず、それでも合理的に防ぐことができなかった。
- 階層3:CEまたはBAが規則の故意の無視により有罪であるが、状況を是正しようとした。
- 階層4:CEまたはBAが故意の無視により有罪であり、違反を是正しようとしなかった。
罰則は階層が上がるほど厳しくなる傾向があります。階層1では、違反1件あたりの罰金は最低100ドルです。逆に、是正の試みがない怠慢な違反の罰則は、違反1件あたり最低50,000ドルの料金を徴収することができます。
罰則は違反ごとに課されることを繰り返し述べる価値があります。違反の種類に応じて年間の損害賠償の上限がありますが、規則を故意に無視するCEが単一のデータ侵害イベントで数百万ドルの罰金を受けることは珍しくありません。
KiteworksはHIPAAセキュリティコンプライアンスで企業をどのように支援しますか?
クラウドやSaaSプロバイダーに依存する企業にとって、技術的な整合性と機能性を確保することはコンプライアンスの最も重要な部分の一つです。
どの第三者ソフトウェアベンダーと協力する場合でも、彼らがコンプライアンスと医療業界でのデータ管理に精通していることを公然と知っているべきです。彼らがあなたの組織のためにPHIを保存したり、ePHIの伝送を管理する場合、彼らは認可されたビジネスアソシエイトでなければならず、コンプライアンスを維持するために彼らとビジネスアソシエイト契約(BAA)を結ぶ必要があります。
Kiteworksプラットフォームは、PHIセキュリティのすべての重要な側面であなたの医療ビジネスをサポートできるHIPAA準拠のソフトウェアベンダーです:
- コンプライアンス:これには、監査、管理的保護策、データバックアップのためのワンクリックレポートの提供が含まれます。また、AWSおよびMicrosoft Azureプラットフォーム上でSOC 2監査を受けた物理的保護策を取得するか、自社の施設またはIaaSリソースに展開するオプションもあります。
- 可視性:文書の追跡はコンプライアンスにとって重要であり、Kiteworksプラットフォームは文書アクセス、ユーザー認証と認可、インシデント対応、リスク評価、ファイル共有のためのレポート層を追跡する能力を提供します。医師、従業員、患者はPHIを危険にさらすことなく協力できます。
- セキュリティ: Kiteworksプラットフォーム技術は、AES-256暗号化、TLS-1.2およびS/MIMEHIPAAメール暗号化、多要素認証によるパスワード管理など、エンタープライズグレードのHIPAA準拠の対策をサポートしています。
HIPAAコンプライアンスのニーズをKiteworksにお任せください
Kiteworksプラットフォームを使用すると、通信、メール、コンテンツファイアウォール、暗号化など、すべての要件を満たすものを手に入れることができます。IT管理の負担を軽減し、ビジネスをサポートするパートナーと協力して、医療と患者に集中することができます。
KiteworksのHIPAA準拠のハイブリッドクラウド展開について詳しく知るには、今日カスタムデモをスケジュールしてください。