HIPAAは、医療提供に携わる特定の組織が医療情報をどのように扱い、安全に保護するかを規制する連邦法です。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、イン ターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
米国の医療保険の携行性と責任に関する法律(HIPAA)は、医療情報の取り扱いと安全性を規制する連邦法です。HIPAAは、電子化された医療情報のセキュリティ管理を義務付け、プライバシーの実践を義務付けることにより、医療情報を保護するためのものです。
HIPAAは、医療提供者、医療プラン、医療関連の情報センターなどの「対象事業体」と、請求業者、電子カルテ(EHR)ベンダー、コンサルタント、ITプロバイダーなど、対象事業体の「ビジネス・アソシエイト」という、主に2種類の組織に影響を与えます。
保護されるべき医療情報(PHI)とは、対象事業体および事業関連会社が作成、受領、保管、または送信する、医療提供に関する個人を特定できるあらゆる医療情報のことです。PHIは、個人を特定するために使用できるデータである個人を特定できる情報(PII)の一種です。
以下は、「対象事業体」または「ビジネス・アソシエイト」によって処理される場合に、およびデータが医療提供に関連する限りにおいて、PHIとなり得るデータフィールドです:
注意すべき点は、PHIは書面から口頭、電子データにまで、さまざまな形式で発生する可能性があると言うことです。
例えば、マイケルが初めて一般開業医を訪れた際に、そこの開業医がマイケルの名前と住所を記録し、健康保険情報を預かり、マイケルが以前通っていた医療機関に彼のカルテ内容を口頭で要求したとします。これらの書面および口頭でやりとりした情報はすべてPHIとみなされ、保護義務の対象となります。
次に、マイケルが次の週に同じ開業医による遠隔診療の予約をしたとします。遠隔医療予約内容の詳細がわかるマイケルのオンライン活動に関する情報も、たとえそれが書面や口頭の情報ではなく電子的なものであっても、PHIとみなされる可能性があります。
HIPAAプライバシー規則では、PHIを保護するために適切なプライバシー保護措置とポリシーを組み込むことを、「対象事業体」および「ビジネス・アソシエイトアソシエイト」に求めています。個人の同意なしに組織がPHIを使用してできる範囲には厳格な規制があります。また、プライバシー規制によって、個人が自分のデータがどのように使用されているかを知る権利、および/または訂正を要求する権利が認められています。
HIPAAセキュリティ規則では、PHIを電子的に適切に取り扱うための管理的、物理的、技術的な保護措置を要求しており、施設のセキュリティやデバイス制御の確保、セキュリティ担当者の指名、従業員トレーニングの実施からリスク分析の実施に至るまで、その内容は多岐にわたります。
HIPAAのセキュリティとプライバシーに関する規則は、個人の医療情報が適切に保護されることを保証すると同時に、質の高い医療を提供・促進し、国民の健康と福祉を守るために必要な医療情報の流通を可能にする上で重要です。これらの規則は、ヘルスケア市場の多様性、対処すべき使用方法や共有方法の多様性、およびヘルスケア分野における革新的な新技術の流入(遠隔医療、遠隔治療、電子カルテ、デバイスベースの健康モニタリング、AI支援ケアなど)を考慮すると、特に重要です。特に、これらの新しい革新的な技術には、HIPAAセキュリティおよびプライバシー規則の下で組織が対処することが求められる、独自のセキュリティおよびプライバシーの課題が伴います。
HIPAA違反は、高額な罰則や法的措置につながる可能性があります。代表的な違反には、以下のようなものがあります:
例えば、マイケルの主治医が、マイケルの名前、生年月日、社会保障番号、医療上の懸念事項が記載された患者情報票を、患者やスタッフなら誰でも入れる待合室に24時間放置したとします。次に、医師がマイケルの医療情報をパスワードで保護されていないオンラインポータルにアップロードしたとします。どちらの状況もHIPAAコンプライアンスの違反例となります。
HIPAAのコンプライアンス違反には重大な罰則が課され、違反1件につき100ドルのものから、1規定につき年間150万ドルに及ぶものまであります。市民権局(OCR)では、HIPAA違反を重大性と故意の怠慢に基づいて分類しています。
クラウドプロバイダーがPHIを作成、受領、維持、伝送するには、HIPAAに準拠したビジネスアソシエイト契約(BAA)を顧客と締結する必要があります。BAAは、クラウドサービスプロバイダーにPHIに対する適切な保護の提供、潜在的な脆弱性を特定するためのリスク分析の実施を求めるものです。BAAにはデータの可用性、バックアップ、災害復旧、データ保持に関する具体的な指示が含まれる場合もあります。
クラウドサービスプロバイダーは、PHIを不正に開示した場合、またはPHIの保護違反やデータ漏洩の事実に対する関係当局への通知義務を怠った場合も責任を負います。
HIPAAコンプライアンスを確保するための6つの推奨事項:
Cloudflareは、クラウドベースのネットワーク、アプリケーション、企業向けのセキュリティサービスを提供し、組織がHIPAAセキュリティ規則の厳しい技術要件を満たし、HIPAAプライバシー規則違反となるPHIの不用意な開示や誤用を回避できるよう支援します。これらのサービスには以下のようなものがあります:
また、Cloudflareの製品は、ISO 27001、ISO 27701、SOC 2、欧州クラウド行動規範など、業界で認知されたセキュリティとプライバシー標準にも準拠しています。HIPAAは、コンプライアンスに関する正式な検証を規定してませんが、Cloudflareのネットワーク、管理インフラストラクチャ、プロセスは、HIPAAセキュリティおよびプライバシー規則および関連する規則に準拠しています。
コネクティビティクラウドに組み込まれたセキュリティ、プライバシー、コンプライアンス機能について、リンクより詳細をご覧ください。