Zpedia 

/ HIPAAセキュリティ ルールとは

HIPAAセキュリティ ルールとは

HIPAAセキュリティ ルールは、米国における電子保護対象医療情報(ePHI)の機密性、完全性、可用性を維持するための一連の法的基準です。このルールでは、医療機関とそのビジネス アソシエイトに対し、管理、物理、技術の面から対策を実施することで、患者データを保護し、データ侵害のリスクを軽減するよう求めています。違反すると、重大な罰金や処罰が科せられる可能性があります。

HIPAAセキュリティ ルールが重要な理由

HIPAAセキュリティ ルールのコンプライアンス要件は、医療機関がデータ侵害や患者のePHIへの不正アクセスのリスクを軽減するためのフレームワークを設定するものです。医療業界は依然としてサイバー犯罪者の格好の標的となっているため、HIPAAの各ルールを順守することは、攻撃から患者のプライバシーを守り、信頼を維持し、個人情報の窃取を防ぐうえで重要なステップです。

2023年の医療機関に対するランサムウェア攻撃は、2022年と比較して165%以上増加しました。

HIPAAセキュリティ ルールの概要

HIPAAセキュリティ ルールは、2003年のHealth Insurance Portability and Accountability Act (医療保険の携行性と責任に関する法律)の一部であり、ePHIに対する潜在的なリスクに対処するために医療組織とそのビジネス アソシエイトが順守すべき基準を定めています。

これらの基準は、主に以下の3つのカテゴリーに分類されます。

  • 管理上の保護手段:セキュリティ リスク評価の実施方法、役割と責任の定義、緊急時対応計画の策定方法など、セキュリティ対策のポリシーと手順を定めています。
  • 物理的な保護手段:ワークステーションの使用、医療情報技術とそのインフラへの物理的なアクセスなど、デバイスのセキュリティの基準を定めています。
  • 技術的な保護手段:アクセス制御、暗号化、認証、安全な送受信など、不正アクセス、開示、改ざんからePHIを保護するために必要な技術を定めています。

さらに、セキュリティ ルールは対象となる事業体に対して、不正アクセスやデータ侵害が発生した場合の検出と対応手段を整えることを義務付けています。こうしたセキュリティ対策の内容は事業体によって異なります。

HIPAAの主な目的

  • 患者のプライバシーを保護するために、個人の健康情報の機密性を確保し、不正アクセスを防止する
  • 医療保険の携行性を向上させることで、患者が医療保険者や雇用主を変更する際に医療保険を維持しやすくする
  • 医療事務を簡素化するために、請求や支払いといった電子取引を標準化し、事務処理の手続きを迅速化するとともに、文書業務を削減する
  • ePHIのセキュリティと完全性を強化するために、患者データの取り扱い、送信、開示、保護に関する基準を確立する
  • 医療詐欺や悪用を抑制するために、不正行為など、PHIの犯罪的悪用を検出および防止するための基準を強化する
  • 電子医療情報の処理を標準化することで、医療情報システムの相互運用性を向上させる
  • HIPAAの対象となる事業体のコンプライアンスを徹底するために、コンプライアンス違反に対して罰則を科す

2024年初頭の時点で、公民権局(OCR)は138件のHIPAA違反による罰金を科しており、その額は総額1億3,700万米ドルを超えています(HHSからの情報)。

HIPAAで保護対象となるデータ

HIPAAは、個人の健康や身体の状態、または医療の提供やその支払いに関する情報など、その個人を特定するために合理的に使用される可能性のあるデータを保護対象としています。HIPAAプライバシー ルールでは、これを「個人を特定できる健康情報」または保護対象医療情報(PHI)と呼んでいます。また、ePHIは、電子カルテ(EHR)など、電子メディアによって送受信または維持されるPHIを指します。

具体的には以下のようなPHIがあります。

  • 一般的な個人情報:氏名、住所、生年月日、社会保険番号など
  • 健康状態や病歴の記録:診断、治療、処方、検査結果の記録
  • 請求記録や支払いの内訳:医療提供に関連する内訳
  • 医療保険者情報:登録データ、保険会社、補償内容の詳細、請求など
  • 医療提供者の詳細:医師、医療または治療が提供された施設など
  • ビジネス アソシエイト情報:対象の事業体に代わって機能やサービスを実行する個人や組織に関連する情報で、PHIの使用または開示に関わるもの

HIPAAでは、個人を特定せず、また個人を特定するために合理的に使用できない匿名化された情報(「匿名化された健康情報」と呼ばれる)の使用は制限されていません。

違反通知ルール

対象の事業体は、侵害に関し、それが500人未満の個人に影響を与えるものである場合、侵害が発見された暦年から60日以内にOCRおよび影響を受けた者に報告する義務があります。上記よりも大きな侵害が発生した場合は、主要なメディアにも通知しなければなりません。

通知には、侵害と関連するデータの詳細、影響を受ける個人が自分自身を保護するための方法に関するガイダンス、調査と解決の取り組みの説明などを含める必要があります。

サイバーセキュリティにおけるHIPAA

HIPAAのセキュリティ要件は、ePHIの保護において中心的な役割を果たしており、特に医療業界への攻撃がより頻繁かつ悪質になるにつれてその重要性が増しています。このような状況で医療機関自体と患者を保護するには、HIPAAに準拠したセキュリティとネットワークの技術、データの完全性、監査の制御を維持することが不可欠です。

2023年、世界における暗号化されたサイバー攻撃の標的として4番目に多かったのが医療業界で、2022年との比較で29%増の攻撃が確認されました。

HIPAAセキュリティ ルールの要件

HIPAAセキュリティ ルールは、ePHIを保護するための多数の保護手段をまとめたものです。ただし、これらの保護手段は特定のセキュリティ対策を規定しているわけではないため、利用する技術や点検の頻度などは柔軟に決定できます。

言い換えれば、HIPAAの要件は主に結果に関するものであり、データが正常に保護されていることが重要であって、組織が結果を達成するための一定の方法を定めているわけではありません。

以下をクリックすると、カテゴリー別の主なHIPAAの要件が表示されます。

カテゴリー別の主なHIPAA要件

管理上の保護手段
物理的な保護手段
技術的な保護手段
組織の要件
規約と手順

HIPAAのコンプライアンスのベスト プラクティス

HIPAAでは、対象となる事業体が独自のニーズに基づいて適切なコンプライアンス アプローチを決定できる柔軟性が提供されています。この点を念頭に置いて、管理、物理、技術それぞれの保護手段における重要事項を考慮すると、コンプライアンスを確保することができます。

管理上の保護手段

  • セキュリティ管理のプロセス:ePHIに対する潜在的なリスクを特定して分析し、リスクと脆弱性を妥当なレベルまで低減する対策を実施します。
  • 情報アクセス管理:プライバシー ルールの使用または開示に関する「必要最小限のルール」を順守し、ePHIへのロールベースの厳格なアクセスを適用するためのポリシーと手順を実装します。

物理的な保護手段

  • ワークステーションとデバイスのセキュリティ:ワークステーションと電子メディアの適切な使用とアクセス、および電子メディアの送受信、削除、廃棄、再利用を指定するポリシーと手順を実装します。

技術的な保護手段

  • アクセス制御:許可された人だけがePHIにアクセスできるようにするポリシーと手順を実装します。
  • 監査の制御:ePHIを含むまたは使用する情報システムにおいて、アクセスなどの活動を記録および調査するメカニズムを実装します。
  • 完全性の制御:ePHIが不適切に変更または破壊されないようにするためのポリシー、手順、電子的な対策を実装します。
  • 送受信のセキュリティ:ネットワーク経由で送受信されるePHIへの不正アクセスを防ぐ対策を実施します。

HIPAAのコンプライアンス チェックリスト

前述の要件とベスト プラクティスを念頭に置くとともに、HHSの情報セキュリティ局が提供する10項目のチェックリストを参考にすると、組織でHIPAAを順守するための適切な対策が取られているか確認できます。

  • 暗号化を提供するクラウド サービス プロバイダーを利用する
  • コンプライアンス監査を実施する
  • ゼロトラスト モデルを実装する
  • プライバシー設定を行う
  • 2要素認証を使用する
  • セキュリティ ポリシーを確立して施行する
  • クラウドの可視性を維持する
  • クラウドのコンプライアンス、要件、規制を理解する
  • OSに更新プログラムをインストールする
  • 公衆Wi-Fiの使用を避ける

HIPAAセキュリティ ルールの今後

OCRは、HIPAAのプライバシー ルール、施行ルール、および一部の管理要件を更新しました。一方、セキュリティ ルールは2013年以降、一部の軽微な訂正を除いて変更されていません(本記事の執筆時点)。しかし、米国保健社会福祉省が計画しているサイバー レジリエンスの更新は、2024年に3つの重要な変更につながる可能性が高いと考えられています。

  1. メディケアまたはメディケイドに加入している事業体を対象とする、新しいセキュリティ要件
  2. 説明責任をより適切にサポートする、HIPAAセキュリティ ルールの新しいセキュリティ標準
  3. HIPAAのコンプライアンス違反を調査して罰則を科す、OCRの能力の強化

以上の更新は、進化する技術とサイバー脅威環境において患者データを保護するために不可欠です。IoTデバイスの利用拡大やクラウド導入、二重脅迫型ランサムウェアなどの高度な脅威、従来の医療ネットワークの永続的な複雑さがあるなか、セキュリティはこれまで以上に重要になっています。HIPAAは、そうしたセキュリティを強化しながら、患者の信頼を強化するうえで常に最も強力な手段の1つとなっています。

HIPAAセキュリティ ルールのコンプライアンスをサポートするZscaler

Zscalerのゼロトラスト アーキテクチャーは、進歩的な医療機関にHIPAAに準拠した脅威対策、情報漏洩防止(DLP)、SSLインスペクション、サンドボックスなどを提供しています。クラウド ネイティブ セキュリティ プラットフォームであるZscaler Zero Trust Exchangeは、ユーザーをIPネットワークではなくアプリケーションに接続させます。そして、既存のITインフラとシームレスに統合し、クラウド サービスとデジタル トランスフォーメーションの取り組みを組織独自のペースで進められるようサポートします。

クラウドの利用が急速に拡大するなかで最も重要なのは、適切なクラウド セキュリティ プラットフォームを選択することです。Zscalerプラットフォームは、クラウドのセキュリティ リスクと設定ミスを軽減し、コンプライアンスの向上、シャドーITの可視化、実用的な脅威インテリジェンスの提供を実現します。さらに、HHS OICのベスト プラクティスを実施することで、クラウドの医療データを保護します。これにより、組織は以下のことを実現できます。

  • 患者データの機密性と完全性を維持する
  • HIPAAやHITECHなどの規制の順守を維持する
  • 攻撃対象領域を排除することで、患者とデータをサイバー攻撃から保護する
  • 100%のTLS/SSLトラフィックの検査によって、隠れた脅威を阻止し、情報漏洩を削減する

Zscalerを利用して現代の医療を保護し、HIPAAに確実に準拠する方法をご確認ください。

おすすめのリソース

HIPAA + Zscaler = Securing Healthcare
資料を読む(英語)
3 Essential Requirements for Flawless Data Protection in Healthcare
資料を読む(英語)
The Future of Healthcare, Secured
資料を読む(英語)

よくある質問