HIPAA準拠のファイル共有サービス

医療従事者及び保護されるべき健康情報を扱うその他の人々へ

HIPAAとは？

Health Insurance Portability and Accountability Act、略称はHIPAA。HIPAAの大前提は、以下の通りです。

1.許可された個人および団体による保護されるべき健康情報（PHI）の安全な共有、保管、および伝送を可能にする。
2.PHI の開示と使用の度合いを管理・監視する。
3.米国の医療システムの有効性と効率性を向上させる。

もう一つ考慮しなければならないのは、「経済的および臨床的健全性のための医療情報技術法（HITECH）」である。

HIPAAを遵守する必要があるのは誰か？

HIPPAは、対象事業者とビジネスアソシエイトに適用されます。

対象事業者は以下の通りです。

医師、看護師、心理学者、歯科医、カイロプラクターなどの医療従事者。
病院、老人ホーム、診療所、薬局など、医療サービスを提供する組織。
健康保険会社
クリアリングハウス

ビジネス・アソシエイトとは、対象事業者にサービスを提供し、またはPHIに関与する活動を行う、対象事業者として定義されていない事業体または個人を指します。

HIPAA遵守のための要件

HIPAAには様々なルールがありますが、ここではそのうちの4つについて、HIPAAに準拠したファイル共有サービスの使用方法について説明します。

プライバシー・ルール

プライバシー・ルールは、PHIのプライバシーを保護するためにどのようなセーフガード（保護措置）が必要かを定義するものである。また、患者の許可なく行われるPHIの開示と使用に関する制限を定めている。

プライバシー・ルールにはさまざまなポリシーがありますが、その中でも特に注目したいのは、不正アクセスを防止し、許可されたアクセスを制御・監視するために、パスワードやその他の手段でePHIを保護することを求めるデータ保護措置についてです。

セキュリティ・ルール

セキュリティ規則には、管理的、技術的、および物理的な保護措置に関する要求仕様に関係する3つの部分がある。この3つの部分を遵守することで、電子PHI（ePHI）の機密性、安全性、完全性を確保することができます。

行政のセーフガード

セキュリティマネジメントプロセス

ePHIに対する潜在的なリスクを特定し、リスクを適切かつ合理的なレベルまで低減するための手段を講じること。

定期的な評価

導入した対策がセキュリティルールに適合するためにどの程度有効であるかを定期的に評価する。

情報アクセス管理

ePHIの開示を必要最低限に制限するプライバシー規則に従い、この措置では、ePHIへのアクセスが許可されるタイミング、ePHIへのアクセスが許可される人、およびePHIの開示の程度を定義するポリシーを実施することが要求されています。

技術的セーフガード

ePHIと組み合わせて使用する技術に関して達成しなければならない具体的な要件は以下のとおりです。

アクセス制御

許可された者のみがePHIにアクセスすることを可能にする手段を導入する。

監査統制

ePHIの開示、アクセス、使用に関連した活動の詳細な監査可能な痕跡を残す。

インテグリティ・コントロール

ePHIは、不正な改ざんや破壊から保護されなければならない。

認証

ePHIにアクセスまたは使用しようとする個人または組織が、その権限を有していることを確認する。

認証

ePHIは、不正な改ざんや破壊から保護されなければならない。

エンフォースメントルール

施行規則では、保健福祉省公民権局が、対象事業者およびビジネスアソシエイトを調査、審査、および罰する権限をもって、プライバシーおよびセキュリティ規則を施行することを許可しています。

情報漏えい通知ルール

この規則は、データ侵害が発生した場合に、対象事業者およびビジネス・アソシエイトがどのように対応しなければならないかを定めています。データ侵害が発見された場合、患者および保健福祉サービス（HHS）は、決められた日数以内に通知されなければならない。データ侵害を関係当局および関係者に通知する場合、含まれる情報のうち、誰がePHIにアクセスまたは使用したかが分かっている場合には、それを明記しなければなりません。