HIPAA のセキュリティ ルールとプライバシー ルールとは

違反した場合

HIPAA では、提携事業者を含む対象事業体が、保護対象の医療情報 (PHI) に対して技術面、物理面、管理面での保護対策を講じることが義務付けられています。これらの保護対策は、プライバシーだけでなく、データの整合性とアクセシビリティも保護することを目的としています。

保健福祉省の公民権局 (OCR) が、犯罪に該当しない HIPAA 違反の取り締まりを行います。違反した場合、1 暦年で「当該条項」の違反 1 件につき 100 ドルから 5 万ドルの罰金が科される可能性があります。

OCR による HIPAA に関連した処分の多くでは、100 万ドルを超える罰金が科されています。2016 年 9 月時点での最大金額は、複数項目に違反して結果的に合計 400 万人の人々に影響を与えた、Advocate Health Care に対して科された 550 万ドルでした。

故意に、虚偽で、または商業的利益もしくは悪意のある目的での使用を意図して PHI を取得または開示した場合、個人および組織は、民事上の罰則に加えて、刑事責任を問われる可能性があります。HIPAA に基づく刑事犯罪は米国司法省の管轄となり、罰金に加えて最大 10 年の懲役が科される可能性があります。

プライバシー ルールとセキュリティ ルール

HIPAA プライバシー ルールは、患者の医療記録やその他の PHI を保護するための標準を確立するものです。患者の情報に対する患者の権利を規定し、対象事業体にこうした情報の保護を義務付けています。主として、PHI の使用方法と開示方法を規定しています。セキュリティ ルールは、特に電子 PHI (ePHI) に適用されるプライバシー ルールのサブセットです。

セキュリティ ルールでは、次の保護対策が義務付けられています。

技術面

ePHI を全体的に保護し、ePHI へのアクセスを制御する技術、およびこの技術の使用に関するポリシーと手順として定義されます。

技術的保護対策の標準には次のものがあります。

• アクセス — データの読み取り、書き込み、変更、やり取りを行う機能 / 手段を指します。ファイル、システム、アプリケーションなどが該当します。制御機能として、一意のユーザー識別子と自動ログオフの使用が必須であるほか、データ暗号化や、緊急時のアクセス手順の確保が推奨されます。
• 監査コントロール — 情報システム内の ePHI に関連するアクティビティを記録し、調査するメカニズムを指します。
• 整合性 — 不正な方法でデータが変更または破壊されるのを防ぐためのポリシーと手順が求められます。
• 認証 — 保護されたデータへのアクセスを要求する組織または個人のアイデンティティの確認が必要です。

物理面

自然災害や環境災害、および不正侵入から、電子情報システムおよび関連する機器や建物を保護するための物理的な対策、ポリシー、手順として定義されます。

物理的保護対策の標準には次のものがあります。

• 設備のアクセス制御 — 情報システムを収容する設備へのアクセスを制限するポリシーと手順です。制御手段には、不測の事態において失われたデータを復元するための操作、施設のセキュリティ計画、従業員の役割と任務に基づいてアクセスを制御および検証する手順、施設のセキュリティに対する修理や変更の保守記録などがあります。
• ワークステーションの使用 － 業務におけるワークステーションの適切な使用を規定します。電子コンピューティング デバイスや、周辺環境で保存されている電子メディアがワークステーションに該当します。たとえば、ブラウザーなどの他のプログラムをバックグラウンドで実行していない場合に限り、患者への請求書を作成するワークステーションを使用できるといったことを規定します。
• ワークステーションのセキュリティ － ePHI にアクセスするワークステーションには物理的な保護対策が必要です。ワークステーションの使用ルールでは、ePHI を保存しているワークステーションの使用方法を規定しますが、ワークステーションのセキュリティ標準では、不正アクセスからワークステーションを物理的に保護する方法を規定します。たとえば、承認された個人だけがアクセスできる安全な場所にワークステーションを保管するなどです。
• デバイスとメディアの管理 － 施設の出入り時や施設内における、ePHI を保存しているハードウェアと電子メディアの取り外しに関するポリシーと手順が必要です。この標準では、メディアの廃棄と再利用、すべてのメディアの移動の記録、データのバックアップや保管について規定します。

管理面

ePHI の保護とそれに関連する従業員の行動を統制するセキュリティ対策を選択、開発、導入、維持する際の、管理上の行動、ポリシー、手順として定義されます。

HIPAA のセキュリティ ルールの半分以上は、管理面での保護対策に関するものです。標準には次のものがあります。

• セキュリティ管理プロセス － 違反の防止、検出、封止、修正のためのポリシーと手順が該当します。この標準の重要な部分は、リスク分析の実施とリスク管理計画の導入です。
• セキュリティ責任の割り当て — ポリシーと手順の開発と導入を担当するセキュリティ担当者が求められます。
• 従業員のセキュリティ － 従業員の ePHI へのアクセスを管理するポリシーと手順を指します。承認、監督、許可、退職に関する規定も含まれます。
• 情報アクセス管理 — ePHI への不要なアクセスや不適切なアクセスを制限します。
• セキュリティ意識向上とトレーニング — 対象事業体の従業員全員を対象とした、セキュリティ意識向上トレーニング プログラムの実施が求められます。
• セキュリティ インシデントの手順 — インシデントを特定し、適切な担当者に報告する手順を規定します。セキュリティ インシデントは、「情報システムにおいて実行または試行された、不正アクセス、および情報の未承認の使用、開示、変更、破壊、またはシステム動作の妨害」と定義されます。
• 緊急時対応計画 — データ バックアップ、障害時復旧、および緊急時に行う作業の計画が必要です。
• 評価 － HIPAA セキュリティ ルールへのコンプライアンスを継続するために、導入したセキュリティ計画と手順を定期的に評価する必要があります。
• 事業契約および提携事業者契約 — すべての対象事業体は、HIPAA の対象事業体に代わって ePHI を作成、受信、保守、または送信するベンダー、契約業者、その他の提携事業者との間で、書面による合意または契約を結ぶ必要があります。

HIPAA コンプライアンスの確保

HIPAA は、規範的なものではなく、対象事業体ごとに、また技術の進化に合わせて柔軟に調整できるような設計になっています。各組織は、自社の環境に基づいて合理的かつ適切なセキュリティ対策を判断する必要があります。

費用がかさむソリューションもありますが、保健福祉省 (HHS) は、費用だけで決定すべきではないと警告しています。HHS は、リスク評価の実施と、リスクの軽減と管理のための計画の導入を重視しています。

セキュリティ ルールは、特定の種類の技術に依拠したものではありませんが、暗号化は、ベスト プラクティスの 1 つとして推奨されています。OCR に報告された HIPAA データ侵害の多くは、暗号化されていないデバイスの盗難や紛失に起因しています。

ここ 2、3 年で、サイバー攻撃によるインシデントも増加しています。保護対象のデータを暗号化しておけば、デバイスの紛失や盗難、またはサイバー攻撃にあったとしても、権限のない者はデータを使用できません。補足情報として、暗号化されたデータが紛失した、または盗難にあった場合はデータ侵害とはみなされず、HIPAA では報告の必要はありません。

クラウドに移行する組織は、クラウド サービスの使用が HIPAA セキュリティ ルールのコンプライアンスにどのように影響するかを考慮し、CASB などのサードパーティのクラウド セキュリティ ソリューションを検討する必要があります。ePHI を取り扱うクラウド サービス業者は、HIPAA における提携事業者に該当するため、コンプライアンスについて規定した事業契約に署名する必要があります。ただし、サード パーティがデータ侵害を引き起こした場合でも、デュー デリジェンスおよび最終的な責任は対象事業体にあります。

OCR は、報告された侵害を調査するだけでなく、監査プログラムも導入しています。ここ数年、HIPAA に対する違反処分件数と罰金の両方が増加しています。罰金の対象となった違反は、マルウェアの感染やファイアウォールの不備、リスク評価の未実施、適切な提携事業者契約の不履行など、さまざまです。

HIPAA ジャーナル によると、HIPAA で規定するデータ侵害が組織にもたらす損害額は、OCR による罰金を除き、平均 590 万ドルにのぼります。OCR の罰金だけで合計数百万ドルに達する場合があるほか、コンプライアンスに違反すると、ビジネスの損失、侵害の通知にかかるコスト、影響を受けた個人からの訴訟など、さまざまな問題につながる可能性があります。また、組織の評判低下といった、数値では表しにくい損害も生じる可能性があります。