HIPAAコンプライアンスとは?

HIPAAは、医療提供に携わる特定の組織が医療情報をどのように扱い、安全に保護するかを規制する連邦法です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • HIPAAコンプライアンスとは何かを説明する
  • なぜHIPAAが重要なのかを理解する
  • HIPAAコンプライアンスを維持するための推奨事項を探る

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

HIPAAとは?

米国の医療保険の携行性と責任に関する法律(HIPAA)は、医療情報の取り扱いと安全性を規制する連邦法です。HIPAAは、電子化された医療情報のセキュリティ管理を義務付け、プライバシーの実践を義務付けることにより、医療情報を保護するためのものです。

HIPAAは、医療提供者、医療プラン、医療関連の情報センターなどの「対象事業体」と、請求業者、電子カルテ(EHR)ベンダー、コンサルタント、ITプロバイダーなど、対象事業体の「ビジネス・アソシエイト」という、主に2種類の組織に影響を与えます。

保護されるべき医療情報(PHI)とは?

保護されるべき医療情報(PHI)とは、対象事業体および事業関連会社が作成、受領、保管、または送信する、医療提供に関する個人を特定できるあらゆる医療情報のことです。PHIは、個人を特定するために使用できるデータである個人を特定できる情報(PII)の一種です。

以下は、「対象事業体」または「ビジネス・アソシエイト」によって処理される場合に、およびデータが医療提供に関連する限りにおいて、PHIとなり得るデータフィールドです:

  • 名称
  • 住所
  • 指紋
  • 顔認識
  • 社会保障番号
  • 生年月日
  • 健康保険情報
  • カルテ番号
  • 口座番号
  • IPアドレス
  • 請求記録

注意すべき点は、PHIは書面から口頭、電子データにまで、さまざまな形式で発生する可能性があると言うことです。

例えば、マイケルが初めて一般開業医を訪れた際に、そこの開業医がマイケルの名前と住所を記録し、健康保険情報を預かり、マイケルが以前通っていた医療機関に彼のカルテ内容を口頭で要求したとします。これらの書面および口頭でやりとりした情報はすべてPHIとみなされ、保護義務の対象となります。

次に、マイケルが次の週に同じ開業医による遠隔診療の予約をしたとします。遠隔医療予約内容の詳細がわかるマイケルのオンライン活動に関する情報も、たとえそれが書面や口頭の情報ではなく電子的なものであっても、PHIとみなされる可能性があります。

HIPAAプライバシー規則およびセキュリティ規則とは?

HIPAAプライバシー規則では、PHIを保護するために適切なプライバシー保護措置とポリシーを組み込むことを、「対象事業体」および「ビジネス・アソシエイトアソシエイト」に求めています。個人の同意なしに組織がPHIを使用してできる範囲には厳格な規制があります。また、プライバシー規制によって、個人が自分のデータがどのように使用されているかを知る権利、および/または訂正を要求する権利が認められています。

HIPAAセキュリティ規則では、PHIを電子的に適切に取り扱うための管理的、物理的、技術的な保護措置を要求しており、施設のセキュリティやデバイス制御の確保、セキュリティ担当者の指名、従業員トレーニングの実施からリスク分析の実施に至るまで、その内容は多岐にわたります。

HIPAAが重要な理由は?

HIPAAのセキュリティとプライバシーに関する規則は、個人の医療情報が適切に保護されることを保証すると同時に、質の高い医療を提供・促進し、国民の健康と福祉を守るために必要な医療情報の流通を可能にする上で重要です。これらの規則は、ヘルスケア市場の多様性、対処すべき使用方法や共有方法の多様性、およびヘルスケア分野における革新的な新技術の流入(遠隔医療、遠隔治療、電子カルテ、デバイスベースの健康モニタリング、AI支援ケアなど)を考慮すると、特に重要です。特に、これらの新しい革新的な技術には、HIPAAセキュリティおよびプライバシー規則の下で組織が対処することが求められる、独自のセキュリティおよびプライバシーの課題が伴います。

一般的なHIPAAコンプライアンス違反とは?

HIPAA違反は、高額な罰則や法的措置につながる可能性があります。代表的な違反には、以下のようなものがあります:

  • PHIを適切に保護しなかったことに起因する、営利目的または個人的利益のためのPHIの盗難などを目的としたデータ漏洩
  • PHIデータへの不正アクセス、不適切な開示または使用
  • PHIを取り扱う従業員が適切なトレーニングを受けていない
  • データ漏洩後、関係当局および個人への適切な通知を怠った
  • 必要な物理的、技術的、管理上の保護措置が不十分

例えば、マイケルの主治医が、マイケルの名前、生年月日、社会保障番号、医療上の懸念事項が記載された患者情報票を、患者やスタッフなら誰でも入れる待合室に24時間放置したとします。次に、医師がマイケルの医療情報をパスワードで保護されていないオンラインポータルにアップロードしたとします。どちらの状況もHIPAAコンプライアンスの違反例となります。

HIPAAに違反した場合の罰則は?

HIPAAのコンプライアンス違反には重大な罰則が課され、違反1件につき100ドルのものから、1規定につき年間150万ドルに及ぶものまであります。市民権局(OCR)では、HIPAA違反を重大性と故意の怠慢に基づいて分類しています。

  • ティア1:知らずに違反した場合。知らずにHIPAA規則に違反した場合、1回の違反につき100ドルから5万ドルの罰金が科せられ、年間最高で25,000ドルの罰金が科せられます。
  • ティア2:合理的な理由によるもの。故意の怠慢によらない違反の場合。ティアIIの違反は1 回の違反につき1,000ドルから50,000ドルの罰金が科せられ、年間最高10万ドルの罰金が科せられます。
  • ティア3:故意の怠慢(発見から30日以内に是正)。1回の違反につき1万ドルから5万ドルの罰金が科せられ、年間最高で25万ドルの罰金が科せられます。
  • ティア4:故意の怠慢(30日以内の是正がない)。ティア4は最も厳しい段階の違反で、課せられる罰則は、1条項あたり年間150万ドルにまで及ぶ可能性があります。

クラウドプロバイダーはHIPAAコンプライアンスをどのように維持しているか?

クラウドプロバイダーがPHIを作成、受領、維持、伝送するには、HIPAAに準拠したビジネスアソシエイト契約(BAA)を顧客と締結する必要があります。BAAは、クラウドサービスプロバイダーにPHIに対する適切な保護の提供、潜在的な脆弱性を特定するためのリスク分析の実施を求めるものです。BAAにはデータの可用性、バックアップ、災害復旧、データ保持に関する具体的な指示が含まれる場合もあります。

クラウドサービスプロバイダーは、PHIを不正に開示した場合、またはPHIの保護違反やデータ漏洩の事実に対する関係当局への通知義務を怠った場合も責任を負います。

HIPAAコンプライアンスのベストプラクティス

HIPAAコンプライアンスを確保するための6つの推奨事項:

  1. 固有のリスクを特定し、トレーニングプログラムや確立された違反通知ポリシーなど、それらのリスクを管理するためのポリシーを策定する。
  2. PHIの使用を監視し、保護対象データへのアクセスを可能な限り最小化する。
  3. セキュリティおよびコンプライアンス監査を含む、定期的かつ包括的なリスク分析を実施する。
  4. パスワード保護、デバイスやメディアの使用制限、アクセス制御など、物理的およびデジタル的な安全策を構築する。
  5. 監査統制、暗号化認証ポリシーなどの技術的な安全策を組み込む。
  6. 信頼できるベンダーがPHIを適切に取り扱えるよう、セキュリティプロセスとインフラを導入する。

Cloudflareは企業のHIPAA遵守をどのように支援するか?

Cloudflareは、クラウドベースのネットワーク、アプリケーション、企業向けのセキュリティサービスを提供し、組織がHIPAAセキュリティ規則の厳しい技術要件を満たし、HIPAAプライバシー規則違反となるPHIの不用意な開示や誤用を回避できるよう支援します。これらのサービスには以下のようなものがあります:

  • Cloudflare Zero Trust。CloudflareのZero Trust製品スイートにはアクセス制御機能とデータ損失防止機能が含まれており、企業内のネットワークにあるPHIへのアクセス権をきめ細かく制限し、ネットワーク外へのPHIの不正な流出を防止します。
  • Cloudflareネットワークサービス。Cloudflareのネットワークサービス製品スイートにより、HIPAAセキュリティルールに準拠したセキュアなネットワーク境界を確立することができます。
  • Cloudflareアプリケーションサービス。Cloudflareのアプリサービス製品スイートは、Webサイトやアプリケーション上の患者情報に堅牢な保護を提供します。

また、Cloudflareの製品は、ISO 27001、ISO 27701、SOC 2、欧州クラウド行動規範など、業界で認知されたセキュリティとプライバシー標準にも準拠しています。HIPAAは、コンプライアンスに関する正式な検証を規定してませんが、Cloudflareのネットワーク、管理インフラストラクチャ、プロセスは、HIPAAセキュリティおよびプライバシー規則および関連する規則に準拠しています。

コネクティビティクラウドに組み込まれたセキュリティ、プライバシー、コンプライアンス機能について、リンクより詳細をご覧ください。