Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > セキュアメール > HIPAA準拠のメールを送信
HIPAA準拠のメールを送信

HIPAA準拠のメールを送信

by Vince Lau updated 1月 27, 2025 セキュアメール
Reading Time: < 1 minutes

HIPAA準拠のメールをどのように送信しますか?すべてのメールが準拠していると仮定することはコストがかかる可能性があります。準拠したメールとは何か、そしてそれをどのように送信するかについて学びましょう。

HIPAA準拠のメールとは何ですか?

HIPAA準拠のメールとは、電子個人健康情報(ePHI)のセキュリティとプライバシーに関する最低限のHIPAA要件を満たすメールサービスです。HIPAAコンプライアンスには、他の技術がこのデータに関して持つすべての要件が含まれています。具体的には:

  1. 保存中または転送中のePHIへのアクセス制限
  2. 保存中または転送中のePHIの監視と保護
  3. 保存中または転送中のePHIの整合性と説明責任の確保

メールは、セキュリティに関して独特の技術です。なぜなら、メールはその性質上、保存と送信の両方に関与しているからです。人々はメールを送信し、サーバーやアプリケーションはメールを保存します。
そのため、メールの管理には送信者と受信者、そして第三者のメールベンダーが関与し、規則や規制を考慮する必要があります。

医療データ侵害とメールセキュリティ

セキュリティが確保されていないメールは、データ侵害やHIPAA違反につながる可能性があります。なぜなら、メールとそれに含まれる保護された健康情報(PHI)は、許可されていない個人によって容易に傍受される可能性があるからです。このため、セキュリティが確保されていないメールで送信されたプライベートで機密性のある情報は、送信者の同意なしにアクセスされる可能性があります。これにより、データが悪意のある目的や不法な目的で使用される可能性があるため、HIPAA違反につながる可能性があります。例えば、セキュリティが確保されていないメールで送信されたPHIは、アイデンティティ盗難や医療詐欺を行うために使用される可能性があります。

HIPAA違反の結果は深刻であり、民事および刑事罰を含む可能性があります。HIPAA対象の事業体、例えば医療提供者、健康保険プラン、医療クリアリングハウスは、違反ごとに最大50,000ドルの罰金を科される可能性があり、年間最大1.5百万ドルの罰金が科される可能性があります。HIPAA規制に違反した個人は、最大50,000ドルの罰金を科され、最大1年の懲役を受ける可能性があります。さらに、HIPAAに違反した個人は、民事訴訟の対象となり、巨額の和解金を支払う可能性があります。

プライバシーが侵害された患者にとって、その結果はアイデンティティ盗難、医療詐欺、金融詐欺、そして恥辱を含む可能性があります。また、情報が公開されたことにより、感情的な苦痛や侵害されたという感情を引き起こす可能性があります。侵害の深刻さによっては、患者が侵害の結果として発生した費用を負担する責任を負う可能性もあります。

HIPAAはメールについて何を言っていますか?

米国保健福祉省(HHS)の「セキュアメール」の定義は、メッセージの機密性、整合性、および可用性を保護するために暗号化およびその他のセキュリティ対策を使用する電子メッセージ交換の形式です。セキュアメール暗号化は、メッセージの内容を意図された受信者以外には読めないようにするプロセスです。また、送信者と受信者の身元を確認するための認証プロセスを使用します。これにより、メッセージが意図された受信者だけに表示され、いかなる方法でも改ざんされないことが保証されます。

HHSは、医療機関および事業体がインターネット上で送信される機密情報のセキュリティを確保するためにセキュアメールを使用することを推奨しています。医療機関および事業体は、セキュアメール通信のために堅牢な暗号化と認証を使用し、それを組織全体のセキュリティ姿勢に統合する必要があります。HHSはまた、定期的なセキュリティ評価と監査を実施し、保存中、転送中、および使用中のすべてのデータを暗号化することを推奨しています。さらに、マルウェアやその他の脅威から保護するために、ファイアウォール、アンチウイルスソフトウェア、パッチ管理などの適切なセキュリティ対策を使用することを推奨しています。最後に、組織はセキュアメールの使用を管理するためのポリシーと手順を策定し、実施する必要があります。

HIPAAメール暗号化要件

メール暗号化は、機密患者情報を保護するためのHIPAAコンプライアンスの重要な部分です。PHIを取り扱う多くの組織は、HIPAAコンプライアンス戦略の一環としてPHIを含むメールを暗号化する必要があります。

HIPAAに準拠するためには、組織および事業体は以下の暗号化要件を採用する必要があります:

  • TLSやIPsecなどのセキュアな伝送プロトコルを使用する必要があります。
  • 使用する暗号化方法は安全であり、受信者に固有のキーを使用する必要があります。
  • 暗号化アルゴリズムはHIPAA基準を満たす必要があります。
  • すべてのメールコンテンツ、添付ファイルを含む、は暗号化されなければなりません。
  • 組織外に送信されるすべてのメールは暗号化されなければなりません。
  • 組織は、送信または受信されるすべてのメールが暗号化されていることを確認する手順を持っている必要があります。
  • 組織は、メールを暗号化するために使用される暗号化キーを保護するためのプロセスを持っている必要があります。

送信者と受信者の責任

送信者と受信者の両方が、ワークステーションやモバイルデバイスでアプリケーションを使用してメールを作成、保存、送信しています。機密性の高いePHIを含むすべてのアカウントは、HIPAA暗号化ルールに従わなければなりません。さらに、これらのアカウントは、パスワード(理想的には多要素認証)によって不正アクセスから保護されなければなりません。したがって、メールで使用されるデータの管理はこれらの当事者に委ねられ、以下の実践を考慮しない場合、違反の責任を負う可能性があります:

  • 社内メールネットワークやイントラネット内でのオフィス内または医師間のメール送信では、リモートアクセスがなく、ネットワーク自体に必要なセキュリティ(ファイアウォール保護、アンチマルウェアソフトウェアなど)がある限り、メッセージの暗号化は必要ありません。
  • セキュアなネットワーク外に送信されるメッセージ(医師の個人メール、異なる組織の専門家間のメール、ビジネスパートナーとのメール)は、送信中の保護のために送信者によって暗号化されなければなりません。
  • 患者に関するePHIを含むメールは許可されていますが、通信のリスクに関する警告と、準拠したメール通信を受け取り続けるかどうかを決定する機会を含める必要があります。医療提供者は常にePHIのデータ共有のための代替で安全な方法を提供しなければなりません。

これらの実践に従うことで、いくつかの一般的なHIPAAコンプライアンスメール機能が規制の下で混乱を招く可能性があります。ePHIを含む暗号化されたメールを対象事業体またはビジネスパートナーに送信する場合、そのデータをHIPAAの下で保護する責任は彼らにあります。大量メッセージングは避けるべきですが、使用する場合、送信者はHIPAA準拠のソフトウェアのメールマージ機能を通じてのみ大量メールを送信しなければなりません。

第三者メールベンダーの責任

第三者の準拠メールベンダーと協力することは、クラウドプロバイダーや他のマネージドサービスと協力することに似ています。提供されるサービスに適用される範囲で、規制の下での責任と義務を規定するビジネスアソシエイト契約(BAA)に従わなければなりません。
これが彼らとあなたにとって何を意味するかというと、メールプロバイダーはサーバー上のすべてのメールに対してHIPAA準拠のストレージを提供しなければなりません。HIPAAは、組織がコンプライアンスのために少なくとも6年間文書を保持することを要求しています。
しかし、これらのサーバー外で何が起こるかについては責任を負いません。第三者ベンダーは、彼らのサービスを通じて適切なメールセキュリティと暗号化を使用するかどうか、または彼らのサービスやサーバー外でのセーフガードについて責任を負いません。
つまり、準拠した第三者メールサービス(GmailやOffice 365など)をBAAと共に使用している場合でも、送信や保存に関する他の要件はあなたの責任です。

GmailはHIPAA準拠ですか?

いいえ、Gmail単独ではHIPAA準拠のメールではありません。準拠するためには、組織がGoogleとビジネスアソシエイト契約を締結する必要があります。この契約は、Googleサーバーに保存されたデータを保護するためのセキュリティ対策が講じられていることを確認します。
GoogleやMicrosoft 365のような第三者メールプロバイダーと協力する場合、コンプライアンスのために特別に設計されたエンタープライズレベルの製品を使用する必要があります。さらに、これらの組織は、提供の一環として医療提供者と締結するビジネスアソシエイト契約(BAA)を持っている必要があります。GoogleやMicrosoftのような企業はすでにこれらを持っており、どの企業からもそのような契約を要求します。

Office 365はHIPAA準拠ですか?

いいえ、Microsoftによれば、Office 365はHIPAA準拠ではありません。特定のOffice 365製品は、顧客がHIPAAコンプライアンスに向けて作業することを可能にするかもしれませんが、MicrosoftはOffice 365製品やサービスがHIPAA要件を満たしていることを表明、保証、または保証していません。

Office 365を使用する医療機関および事業体は、適切で関連するポリシーと手順を持ち、すべての対象組織および/またはユーザーと文書化された契約を持ち、HIPAA要件に従って健康情報を保護するための適切なセキュリティセーフガードとセーフガードを持たなければなりません。さらに、データ暗号化、データ転送の監視、アクセス制御などの特定の機能を実装しなければなりません。最後に、手順が継続的に遵守され、文書化されていることを確認しなければなりません。

現在のメールプロバイダーを準拠させるにはどうすればよいですか?

HIPAA準拠のメールを作成するには、サーバーからクライアント、実践まで、すべての技術をプライバシーとセキュリティルールに従って調整する必要があります。
要約すると、これらの2つのルールは次のことを概説しています:

  • プライバシールールは、ePHIの性質とその保護、管理、プライバシーに関する要件を概説しています。患者が別途述べない限り、すべてのPHIはプライベートであり、すべての対象事業体とビジネスアソシエイトはプライバシーを維持しなければなりません。
  • セキュリティルールは、PHIのプライバシーを維持するための対象事業体とビジネスアソシエイトのセキュリティコントロール、技術、および責任を定義しています。

とはいえ、すべてのメールプロバイダーが準拠しているわけではなく、非準拠のプロバイダーを使用すると、対象事業体も非準拠になります。
使用するメールによって、HIPAA準拠のメールを使用するためのいくつかのステップがあります。

内部メールサービス

オンプレミスまたは内部クラウドメールを持つ内部イントラネットがある場合、組織の責任はサーバーレベルと使用するすべてのアプリケーションを通じてそのメールを保護することです。
これには、次のアクションを含みます:

  1. エンドツーエンド暗号化を備えたソフトウェアを使用します。これにより、HIPAA侵害を防ぐために、転送中およびサーバー上にあるときにデータが暗号化されます。暗号化に関しては、AES-256やTLS-1.1以上のような基準を使用して、要件を最大限に満たす暗号化基準を使用します。
  2. S/MIMEのような追加の暗号化を備えたソフトウェアを使用します。MIMEデータは、メールがメディアやHTMLを含むより堅牢なメールをサポートするための拡張文字セットとヘッダー情報をサポートします。MIMEをセキュアにすることで、高度なフォーマットを使用している場合、その中に含まれるデータも保護されます。
  3. メールサービスとは別にメッセージングとデータ共有を持ちます。メールを常に保護する必要がありますが、患者が医療提供者から重要な医療データや通信にアクセスできるように、セキュアなメッセージングと患者ポータルを常に提供します。これにより、メール内のHIPAA違反のリスクを軽減できます(ePHIを含まない限り、患者メッセージへの通知を接続しても問題ありません)。
  4. 自動データバックアップと保持を持ちます。ガイドラインはデータ保持の具体的な要件を明示していませんが、患者はいつでも情報を要求でき、医療機関はコンプライアンスに関する法的措置がある場合に不変の監査証跡を必要とするかもしれません。さらに、規制は明確に、組織が少なくとも6年間セキュリティコンプライアンスに関する記録を保持することを要求しています。

第三者ベンダーとの協力

オンプレミスまたは専用サービスは、小規模な診療所にはリソースがないかもしれません。これらは、多くの組織が持っていない、または望んでいないサポート、メンテナンス、アップグレードのための費用、スキル、時間を必要とします。この場合、多くの医療機関は、メールおよび/または対応するクラウドサービスを提供するために第三者ベンダーに頼ります。
第三者プロバイダー(および拡張的にあなた)が準拠していることを確認するために、次のことを考慮してください:

  1. BAAを確保してください。 BAAは、あなたの組織とePHIを取り扱い、送信、または保存する第三者との間の契約です。この契約は、この第三者が準拠し続けない場合にあなたの組織を保護するだけでなく、その組織の責任を明確に定義します。

  2. 彼らのサービスが最低限のHIPAAセキュリティ要件を満たしていることを確認してください。 一部の企業は自社を「HIPAA対応可能」または「HIPAA対応可能」と宣伝します。これらの用語は、技術的でない人々にとって混乱を招く可能性があります。要するに、これらの用語は、企業がコンプライアンスをサポートするためのツールと機能を提供していることを意味します。必ずしも箱から出してすぐに対応しているわけではありません。

    プロバイダーがHIPAA対応可能である場合、彼らと一緒にHIPAA準拠になるために必要なことを正確に知っていることを確認してください。彼らと一緒にコンプライアンスを達成することが価値がない場合もあります。

内部メールまたは第三者メールを使用するかどうかにかかわらず、HIPAAコンプライアンスのためには、スタッフが技術を適切に使用するように適切に訓練する必要があります。これは、データの共有と送信に関するHIPAAの教育と継続的なトレーニングを意味します。

完全なHIPAA準拠ソリューションにはKiteworksを選択してください

Kiteworksは、メール製品に対してHIPAA準拠の暗号化、バックアップ、およびセキュリティを提供します。さらに重要なのは、ファイル共有、セキュアメッセージング、セキュアストレージ、ファイアウォール、その他の保護を含むシームレスで安全な体験をサポートしていることです。これにより、すべてのニーズに対して1つのプラットフォーム、1つのソリューション、1つのインターフェースが提供されます。

カスタムデモをスケジュールして、KiteworksがどのようにしてHIPAAコンプライアンスのメールを提供するかを詳しく学びましょう。

Tags: セキュリティブルバードのサイバーセキュリティ |

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks