HIPAA準拠のファイル共有とクラウドストレージ

セキュアなクラウドストレージとファイル共有ソリューションにより、HIPAA準拠を維持

HIPAA準拠とは

HIPAA(Health Insurance Portability and Accountability Act)は、1996年に制定された医療保険の相互運用性と責任に関する法律のことです。この連邦法は、保護医療情報(PHI)のセキュリティとプライバシー保護や、医療記録への患者のアクセスについての規則を義務付けています。

HIPAAは、新たなテクノロジや、プライバシーへの最新の脅威に対応するために、制定後も進化を続けています。2009年に制定された経済的および臨床的健全性のための医療情報技術(HITECH: Health Information Technology for Economic and Clinical Health)に関する法律は、HIPAAの民事および刑事執行を強化し、医療情報の電子共有に関するプライバシーおよびセキュリティ上の懸念に対応しています。2013年には、最終的なHIPAA総括規則により患者のプライバシー権および保護が強化されており、PHIのすべてのカストディアンに対して同じプライバシー要件とセキュリティ要件を課しています。

HIPAA準拠: 重要用語

保護医療情報(PHI: Protected Health Information)とは、患者の医学的または心理学的状態、医療サービスの提供、または医療サービスの支払い(過去、現在、未来)に関連する、個別に特定可能な情報です。PHIには、患者の氏名、住所、社会保障番号、生年月日といった共通の識別情報も含まれます。 

対象事業者(Covered entities)には、PHIを作成、受信、送信するあらゆる医療機関が含まれます。「対象事業者」と見なされる病院、医師、外来診療所などの医療提供者には、HIPAAおよびHITECHに準拠する責任があります。

HIPAAプライバシー規則(HIPAA Privacy Rule)は、PHIの保護に関する基準を規定しています。プライバシー規則の下で、医療提供者は個人の医療情報を保護するための適切な保護手段を講じる必要があります。また、PHIの利用と開示に制限を設定する必要があります。

HIPAAセキュリティ規則(HIPAA Security Rule)は、医療提供者がPHIへのアクセスを保護、管理するために使用すべき保護手段を定義します。セキュリティ規則の下で、医療提供者は以下を行う必要があります。

 

 

  • 作成、送信、管理するPHIの機密性、完全性、可用性を確保する
  • PHIへの脅威を特定し、保護する
  • PHIを不適切な利用や開示から保護する
  • HIPAA規則への職員のコンプライアンスを徹底する
  • 環境の変化に応じて、PHIを保護するためのセキュリティ対策を見直し、変更を加える

 

 

HIPAA漏えい時の通知規則(HIPAA Breach Notification Rule)は医療提供者に対し、安全対策が施されていないPHIが漏えいした場合に、影響を受ける患者、保健福祉省、時にはメディアに通知することを求めています。ほとんどの通知は、漏えい発見後60日以内に開示する必要があります(ただし、影響を受ける患者が500人未満の漏えいは例外となります)。

医療提供者にとってのHIPAA準拠の意味

医療産業で信頼は何よりも優先されます。HIPAAは、患者のセキュリティとプライバシーに関する連邦基準を定めており、違反には罰金や刑事罰が課され、医療提供者の評判に損害をもたらす可能性があります。

PHIの保護はビジネス上重要ですが、かつてないほど困難になっていると主張する者もいます。医療提供者は、驚くほど洗練された脅威やデータ侵害に対処する必要があります。さらに、BYOD(個人デバイスの持ち込み)ポリシーを採用している組織も多く、さまざまなプラットフォームとデバイスにまたがってPHIを保護することがさらに困難になり、より一層重要になっています。

医療産業ではますますモバイル化と情報化が進み、コラボレーションと顧客対応が重視されてきています。HIPAAコンプライアンスを維持することは重要ですが、適切なデータセキュリティツールとストレージツールを選ぶことで、大きな違いが生み出されます。

医療向けのBox: HIPAA準拠のクラウドストレージ

Box Platformと関連プロダクトは、2012年11月より、HIPAA、HITECH、および最終的なHIPAA総括規則に準拠しています。Boxに保存されるすべてのPHIはHIPAAに従って保護されます。また、Boxは、クラウドにPHIを保護する計画があるすべての顧客との提携事業者契約(BAA)に署名します。

BoxはHIPAAコンプライアンスを常に維持するために、プロダクト、ポリシー、手順を継続的に更新していきます。また、Boxはサードパーティの監査人による評価を受けており、監査人によって、BoxがプライバシーとデータセキュリティについてHIPAA要件を満たすために管理統制を講じていることを確認する報告書が発行されています。

Boxは、複数の重要な機能と組織ポリシーにより、HIPAAコンプライアンスを徹底しています。

 

  • データの暗号化(転送時と保管時)
  • 運用サーバーに対する物理アクセスの制約
  • 厳密に論理的なシステムアクセス制御
  • ユーザーとコンテンツの両方に対するアカウント処理のレポートと監査証跡
  • セキュリティポリシーと管理に関する従業員の教育
  • 顧客データファイルに対する従業員のアクセスの厳しい制約
  • ミラーリングされたアクティブ/アクティブデータセンターによる災害状況の緩和

 

規模や専門領域を問わず、多くの医療機関が患者の機密情報の保護とHIPAAコンプライアンスの維持のためにBoxを信頼しています。 ただし、医療機関には、HIPAAに準拠するようにBoxを設定し、HIPAA要件を満たすように組織のポリシーを適用する責任があることに注意が必要です。

「Boxは情報のリポジトリとして理想的です。情報の出し入れだけでなく、コンプライアンスを維持するセキュアな方法で情報を保管し、整理し、適切な規制文書を作成することができます。Boxによって、最新の情報に瞬時にアクセスして患者ケアに役立てられるようになり、医師としての日常業務が一変しました」


Providence Anesthesiology Associates、ビジネス開発担当VP、Joseph Ducey博士