HIPAA準拠のファイル共有とクラウドストレージ

保護医療情報(PHI: Protected Health Information)とは、患者の医学的または心理学的状態、医療サービスの提供、または医療サービスの支払い(過去、現在、未来)に関連する、個別に特定可能な情報です。PHIには、患者の氏名、住所、社会保障番号、生年月日といった共通の識別情報も含まれます。 

対象事業者(Covered entities)には、PHIを作成、受信、送信するあらゆる医療機関が含まれます。「対象事業者」と見なされる病院、医師、外来診療所などの医療提供者には、HIPAAおよびHITECHに準拠する責任があります。

HIPAAプライバシー規則(HIPAA Privacy Rule)は、PHIの保護に関する基準を規定しています。プライバシー規則の下で、医療提供者は個人の医療情報を保護するための適切な保護手段を講じる必要があります。また、PHIの利用と開示に制限を設定する必要があります。

HIPAAセキュリティ規則(HIPAA Security Rule)は、医療提供者がPHIへのアクセスを保護、管理するために使用すべき保護手段を定義します。セキュリティ規則の下で、医療提供者は以下を行う必要があります。

• 作成、送信、管理するPHIの機密性、完全性、可用性を確保する
• PHIへの脅威を特定し、保護する
• PHIを不適切な利用や開示から保護する
• HIPAA規則への職員のコンプライアンスを徹底する
• 環境の変化に応じて、PHIを保護するためのセキュリティ対策を見直し、変更を加える

HIPAA漏えい時の通知規則(HIPAA Breach Notification Rule)は医療提供者に対し、安全対策が施されていないPHIが漏えいした場合に、影響を受ける患者、保健福祉省、時にはメディアに通知することを求めています。ほとんどの通知は、漏えい発見後60日以内に開示する必要があります(ただし、影響を受ける患者が500人未満の漏えいは例外となります)。

Box Platformと関連プロダクトは、2012年11月より、HIPAA、HITECH、および最終的なHIPAA総括規則に準拠しています。Boxに保存されるすべてのPHIはHIPAAに従って保護されます。また、Boxは、クラウドにPHIを保護する計画があるすべての顧客との提携事業者契約(BAA)に署名します。

BoxはHIPAAコンプライアンスを常に維持するために、プロダクト、ポリシー、手順を継続的に更新していきます。また、Boxはサードパーティの監査人による評価を受けており、監査人によって、BoxがプライバシーとデータセキュリティについてHIPAA要件を満たすために管理統制を講じていることを確認する報告書が発行されています。

Boxは、複数の重要な機能と組織ポリシーにより、HIPAAコンプライアンスを徹底しています。

• データの暗号化(転送時と保管時)
• 運用サーバーに対する物理アクセスの制約
• 厳密に論理的なシステムアクセス制御
• ユーザーとコンテンツの両方に対するアカウント処理のレポートと監査証跡
• セキュリティポリシーと管理に関する従業員の教育
• 顧客データファイルに対する従業員のアクセスの厳しい制約
• ミラーリングされたアクティブ/アクティブデータセンターによる災害状況の緩和

規模や専門領域を問わず、多くの医療機関が患者の機密情報の保護とHIPAAコンプライアンスの維持のためにBoxを信頼しています。 ただし、医療機関には、HIPAAに準拠するようにBoxを設定し、HIPAA要件を満たすように組織のポリシーを適用する責任があることに注意が必要です。