Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > HIPAAコンプライアンス > HIPAAコンプライアンス達成のための完全チェックリスト
HIPAAコンプライアンスチェックリスト

HIPAAコンプライアンス達成のための完全チェックリスト

by Bob Ertl updated 4月 18, 2025 HIPAAコンプライアンス
Reading Time: 2 minutes

医療保険の相互運用性と説明責任に関する法律(HIPAA)は、1996年に策定され、米国保健福祉省(HHS)および民権局(OCR)によって管理されているフレームワークであり、医療データ管理に関する組織の法的義務を定めています。これには、患者のプライバシー権、データプライバシーを保護するための適切なセキュリティ管理策、そして悪意のある第三者によってデータが侵害された場合に医療機関が求められる要件が含まれます。

電子記録管理、デジタルデータ転送、クラウドサービスの普及により、患者の個人情報の機密性を確保するための規制が必要とされています。

その結果、データの物理的セキュリティ、データ保護のための暗号化規格、データの記録・送信・保存に用いる手順は、すべてHIPAAコンプライアンスの重要な要素となっています。

本記事では、HIPAAコンプライアンスの詳細、対象となる組織、コンプライアンスを証明するために必要な対応、非遵守によるリスク、HIPAAコンプライアンスを実現するための主要な戦略などについて解説します。

HIPAAコンプライアンス要件の完全チェックリスト

今すぐ読む

Table of Contents

どのような組織がHIPAAに準拠しなければならないのか?

HIPAAコンプライアンスは、保護対象保健情報(PHI)を作成、受領、維持、または送信するすべての組織や個人に適用されます。これには、医師や病院などの医療提供者、健康保険プラン、医療保険会社、その他医療業界に関わるすべての組織が含まれます。

また、HIPAAコンプライアンスは、第三者請求会社、文字起こし業者、ITサービスプロバイダーなどのビジネスアソシエイトにも適用されます。最終的に、PHIを保存、送信、または処理するすべての事業体は、HIPAA規制を遵守しなければなりません。

具体的に、HIPAAコンプライアンスを証明しなければならない組織は以下の通りです:

  • 健康保険提供者
  • 医療クリアリングハウス
  • 医療提供者(病院、医師、歯科医など)
  • 対象事業体のビジネスアソシエイト(例:請求会社や文書保管会社)
  • 薬局
  • 長期介護施設
  • 研究機関
  • 公衆衛生当局
  • 雇用主
  • 学校および大学

これらの組織は、機密性の高い患者の健康データが安全に管理され、許可されていない個人や組織に開示されないようにするため、HIPAAを遵守する必要があります。HIPAAコンプライアンスを証明することで、これらの組織はデータが本来の目的のみに使用され、他の目的で使用または開示されないよう保護策を講じていることも示しています。

HIPAAコンプライアンスが免除される組織とは?

PHIを作成、受領、維持、または送信しない組織は、HIPAA準拠の必要はありません。例としては小売業者やレストランが挙げられます。ただし、医療に直接関与していない組織であっても、医療関連情報のクラウドストレージなどのサービスを提供する場合は、HIPAAコンプライアンスが求められることがあります。

重要なHIPAA規制・コンプライアンス用語

HIPAAコンプライアンスの内容や適用対象を理解するには、いくつかの重要な用語を知っておくことが大切です:

対象事業体(Covered Entity)

病院、医師、クリニック、保険代理店など、患者やその個人データを日常的に取り扱う組織や個人を指します。

ビジネスアソシエイト(Business Associate)

患者と直接関わらず、対象事業体と密接に連携するサービスプロバイダー。ビジネスアソシエイトは、技術製品、コンサルティング、財務管理、データ分析などのサービスを通じて個人データを取り扱うことが多いです。

保護対象保健情報(PHI)

PHIは、個人を特定できる健康情報であり、医療サービスの提供過程で作成・使用・開示されるものを指します。例としては、印刷された医療記録、医師の手書きメモ、看護師間の患者に関する会話などが含まれます。

電子保護対象保健情報(ePHI)

ePHIはPHIのサブセットで、電子的に作成、保存、送信、または受信されるPHIを指します。例としては、EHRシステム内の医療記録、健康情報を含むメール、クラウドに保存されたX線画像、セキュアなウェブポータル経由で送信される請求情報などがあります。

なぜHIPAAコンプライアンスが必要なのか?

HIPAAコンプライアンスは、機密性の高い医療情報のセキュリティを確保するために必要です。これは連邦法であり、医療提供者などの組織に対し、患者データのプライバシーとセキュリティを維持することを義務付けています。これらの基準への準拠は、患者の医療記録、健康保険情報、その他の個人識別情報や(PII/PHI)など、機密性の高いデータを保護するために不可欠です。

HIPAA非遵守によるリスクと罰則

HIPAAに違反した組織は、重大な罰則に直面します。米国保健福祉省民権局は、罰金や制裁措置、是正措置計画、民事金銭的罰則などの制裁を科すことができます。さらに、事業者は刑事責任を問われる場合もあります。

組織がHIPAA準拠を満たさない、または維持できない場合は、HIPAA違反と見なされます。典型的なHIPAA違反例は以下の通りです:

  • ePHIが故意または偶発的に許可されていない第三者に不正に開示されること
  • HIPAAセキュリティ規則で定められた適切なセキュリティプロトコルの未実施
  • 要件を満たす適切な管理または研修プロトコルの欠如
  • 関連するデータ侵害後に影響を受けた当事者や公的機関への適切な通知の未実施
  • 既存のコンプライアンスギャップの更新、改善、対応への消極性

民事違反と刑事違反の違い

HIPAA違反は、民事違反または刑事違反のいずれかに分類されます。両者の違いを理解することが重要です。

民事違反は、過失や認識不足など、悪意のない非遵守事例です。これには怠慢や認識不足による事象が含まれ、民事違反の罰則は比較的軽くなります:

  • 違反を認識していなかった場合、1件あたり100ドルの罰金
  • 怠慢がなく合理的な理由がある場合、最低1,000ドルの罰金
  • 故意の怠慢の場合、1件あたり最低10,000ドルの罰金
  • 故意の怠慢で即時是正措置が取られなかった場合、1件あたり最低50,000ドルの罰金

一方、刑事違反は、窃盗、利益目的、詐欺などの悪意を持って行われた違反です。刑事違反の罰則は以下の通りです:

  • ePHIを故意に取得または開示した場合、最大50,000ドルおよび最長1年の懲役
  • 違反の一環として詐欺を行った場合、最大100,000ドルおよび最長5年の懲役
  • 違反から利益を得る目的で違反を行った場合、最大250,000ドルおよび最長10年の懲役
  • 多数かつ繰り返しの違反は、年間数百万ドルの損失につながる可能性あり

HIPAA違反の具体例

よく見られるHIPAA違反の例をいくつか挙げます:

  • 詐欺。 ePHIを利益目的で盗むことが最も直接的で明白な違反です。ハッカーや内部関係者による犯行は稀ですが、クラウド技術の普及や未検証のサービスプロバイダーの利用増加に伴い、発生頻度が高まっています。
  • デバイスの紛失・盗難。 デスクトップワークステーション中心の時代は技術の盗難は少なかったものの、ノートパソコン、タブレット、スマートフォンなどのモバイルデバイス利用が増えるにつれ、これらのデバイスが不正に入手されるリスクが高まっています。
  • 保護の欠如。 セキュリティ規則では、HIPAA暗号化やファイアウォールなど、必要なセキュリティ対策が定義されています。多くの組織はこれらを理解していなかったり、コンプライアンスを満たしていない第三者と提携している場合があります。
  • 組織間の不正アクセス。 許可された個人から許可されていない個人へのデータ共有や、暗号化されていないデバイスやメールの使用など、訓練不足の従業員によるePHIの不適切なアクセス・送信は非常に起こりやすいです。実際、PHIの偶発的な漏洩が最も一般的な違反形態であり、これをカバーするための軽度の罰則カテゴリーが設けられています。

HIPAAコンプライアンス違反に対する罰金例

HIPAAコンプライアンス違反に対する罰金の例:

  • 1件あたり最大150万ドル、1暦年内の複数違反で最大1,500万ドル
  • 患者情報の不正利用1件あたり最大50,000ドル
  • 患者のアクセス要求に応じなかった場合、1件あたり最大100ドル
  • 許可なく識別可能な健康情報を取得または開示した場合、最大25万ドルまたは最長1年の懲役、またはその両方

なぜHIPAA非遵守の罰則はこれほど高額なのか?患者の記録が盗まれると、プライバシーが侵害されるだけでなく、盗まれた記録が身元盗用や金融詐欺に利用され、経済的損失や不正な給付利用につながる恐れがあります。機密性の高い医療情報が傍受されれば、患者が脅迫や嫌がらせの標的となるリスクもあります。

HIPAAの4つの主要ルールとコンプライアンスへの影響

HIPAAフレームワークを構成し、コンプライアンス要件を定める4つの主要ルールがあります:

  1. HIPAAプライバシールール
  2. HIPAAセキュリティルール
  3. HIPAA違反通知ルール
  4. HIPAAオムニバスルール

各ルールはコンプライアンスの一側面に対する枠組みを提供し、他のルールの重要な要素にも影響を与えます。以下でそれぞれ詳しく見ていきます。

HIPAAプライバシールール

HIPAAプライバシールールは、患者のプライバシーと個人情報保護に関する全米基準を定めています。さらに、ePHIの定義、保護方法、利用・非利用の範囲、送信・保存方法の枠組みを構築しています。

プライバシールールの追加要素として、ePHIを取り扱う事業体に求められる書類や同意書の手続きがあります。

このルールでは、識別可能な患者データはすべて、対象事業体またはビジネスアソシエイトによるプライバシー保護の対象となると定義されています。これが「保護対象保健情報」と呼ばれ、以下を含みます:

  • 過去・現在・将来の身体的または精神的状態に関する記録
  • 患者のケアに関するすべての記録
  • 医療費支払いに関する過去・現在・将来の記録

HIPAAプライバシールールでは、対象事業体が個人の健康情報を開示できるのは、非常に限定的なケア、研究、法的状況に限られると定められています。これらの状況は極めて狭く、法廷での解釈に委ねられる場合もあるため、すべての対象事業体とビジネスアソシエイトは、細かな例外やニュアンスにこだわるよりも、すべてのPHIを保護する方が安全だと言えるでしょう。

HIPAAプライバシールール チェックリスト

このHIPAAプライバシールールチェックリストは、医療機関およびそのビジネスアソシエイトがHIPAAプライバシールールを遵守するために必要な10の重要ステップをまとめたものです。プライバシー責任者の任命から、PHIの第三者への開示プロトコルの確立まで、患者の機密性の高い健康情報を保護するために必要なすべての側面を網羅しています。これらのガイドラインを遵守することで、HIPAA違反(および罰金、訴訟など)を回避できるだけでなく、患者の信頼と医療システムへの安心感も高まります。主な項目は以下の通りです:

  1. データプライバシー責任者(DPO)の任命
  2. 文書化されたポリシーと手順の策定・実施
  3. 従業員へのセキュリティ意識向上トレーニングの提供
  4. 特定の開示に対する患者の同意取得
  5. 保護対象保健情報(PHI)の適切な保護策の維持
  6. PHIの要求内容を確認・検証するシステムの導入
  7. 患者からのPHIアクセス要求への対応
  8. 非保護PHIの侵害が発生した場合の患者への通知
  9. 個人およびグループへの一意の識別子の割り当て
  10. ビジネスアソシエイトやその他第三者へのPHI開示プロトコルの確立

HIPAAセキュリティルール

プライバシーとePHIの定義がなされた後、次のステップはそのデータの保護です。HIPAAセキュリティルールは、ePHIデータを保護するために必要な仕組みに関する全米基準を定めています。これらの仕組みは、対象事業体の運用全体に及び、技術、管理、コンピュータやデバイスの物理的保護など、ePHIの安全性に影響を与えるあらゆる要素が対象です。

このルールで定められた管理策は、以下の3つのグループに分類されます:

  1. HIPAAコンプライアンスのための管理的対策: ePHIに影響を与えるポリシーや手順、技術、システム設計、リスク管理、その他のセキュリティ対策の維持に関するもの。人事や従業員トレーニングなど、医療管理の側面も含まれます。
  2. HIPAAコンプライアンスのための物理的対策: コンピュータ、ルーター、スイッチ、データストレージなど、物理的機器へのアクセスを保護します。対象事業体は、許可された個人のみがデータにアクセスできるよう、セキュアな施設を維持する必要があります。
  3. HIPAAコンプライアンスのための技術的対策: サイバーセキュリティには、コンピュータ、モバイルデバイス、暗号化、ネットワークセキュリティ、デバイスセキュリティなど、ePHIの保存・通信に関する技術的要素が含まれます。

HIPAAセキュリティルール チェックリスト

当社のHIPAAセキュリティルールチェックリストは、PHIおよびePHIを保護するために組織が対処すべき10の重要分野を網羅しています。このチェックリストは、HIPAAセキュリティ基準への準拠と、患者データを潜在的な脅威や脆弱性から守るための指針となります:

  1. リスク分析を実施し、潜在的な脅威や脆弱性を特定する
  2. PHIおよびePHIのセキュリティ維持・監視のためのポリシーと手順を実施する
  3. アクセス制御を徹底し、業務上必要な権限を持つ許可された個人のみにPHI/ePHIへのアクセスを限定する
  4. すべてのePHIを転送時・保存時ともに暗号化し、安全に保管する
  5. セキュリティインシデントや侵害への対応手順を実施する
  6. すべての従業員にHIPAAセキュリティポリシーと手順に関するトレーニングを実施する
  7. セキュリティ対策を定期的に見直し、最新かつ有効な状態を維持する
  8. 災害復旧および事業継続計画(PHI/ePHIや患者プライバシーに影響を与える災害や緊急事態への備え)を策定する
  9. すべての第三者ベンダーや請負業者がHIPAAセキュリティ要件を遵守していることを確認する
  10. HIPAAセキュリティ基準への準拠を確保するため、定期的な監査と評価を実施する

HIPAA違反通知ルール

違反通知ルールは、セキュリティ侵害が発生した場合の対応を定めています。データを100%守ることはほぼ不可能であり、組織はHIPAA違反の被害者や一般に対し、発生した事象と今後の対応について通知する計画を持つ必要があります。

違反通知ルールは、コンプライアンスを維持するために対象事業体が侵害時に取るべき一連の手順を定めています。主な内容は以下の通りです:

  1. 侵害の影響を受けた個人への通知。対象事業体は、被害者に対し、第一種郵便または(該当する場合)メールで正式な書面通知を行う必要があります。
  2. 侵害で10人以上の連絡先情報が不明な場合は、90日間ウェブサイトに掲載するか、主要な新聞・放送メディアで告知する必要があります。
  3. 通知は侵害発覚から60日以内に行うことが義務付けられています。
  4. 1つの州または管轄区域で500人以上が影響を受けた場合、地元メディアを通じて広く公表する必要があります。
  5. さらに、500人以上が影響を受けた場合は、60日以内に保健省長官にも通知する必要があります。500人未満の場合は年末までに報告すればよいとされています。

これらの通知ルールは、ビジネスアソシエイトから対象事業体に知らされた侵害にも適用されます。

HIPAA違反通知ルール チェックリスト

PHIおよびePHIを取り扱う組織は、患者のプライバシーを損なうデータ侵害が発生した場合、迅速な報告を義務付けるHIPAA違反通知ルールを遵守する法的義務があります。これらの要件を満たさないと、多額の罰金、法的責任、評判リスクにつながります。

このチェックリストは、HIPAA違反通知ルールの遵守を確実にするためのものです。患者やパートナーとの信頼構築、インシデント対応力の強化、将来の侵害リスク低減などの追加的なメリットもあります。

  1. 侵害を迅速に特定・調査し、範囲・影響・リスクを評価する
  2. PHIの性質や範囲、アクセスした人物、実際に閲覧されたか、リスクがどのように軽減されたかを評価するリスクアセスメントを実施する
  3. 侵害内容、調査結果、判断、対応を詳細に記録し、通知が不要な場合でも文書化する
  4. 影響を受けた個人には60日以内に通知し、第一種郵便または許可された場合はメールで、発生内容・影響情報・取るべき対応を説明する
  5. 米国保健福祉省(HHS)への通知:500人未満の場合は年次報告、500人以上の場合は60日以内にHHS違反ポータルで報告
  6. 1つの州または地域で500人以上が影響を受けた場合、60日以内にメディアにも通知し、広く公表する
  7. 制裁・是正措置の実施(懲戒処分、再研修、技術的変更など)
  8. ポリシーや手順の更新(違反対応計画やプライバシー・セキュリティ実務の見直し)
  9. 従業員への違反手順トレーニングを実施し、違反の認識・報告・対応に関する再研修も含める
  10. PHI/ePHIのセキュリティと暗号化を徹底し、報告義務のある侵害の発生可能性を低減する

HIPAAオムニバスルール

比較的新しいルールであるオムニバスルールは、規制の適用範囲を対象事業体以外の組織にも拡大しました。要するに、オムニバスルールは、ビジネスアソシエイトや請負業者にもコンプライアンス義務が及ぶことを明確にしています。したがって、対象事業体はビジネスアソシエイトや請負業者による潜在的な違反にも責任を負い、ギャップ分析、リスク評価、コンプライアンス手順を適宜更新する必要があります。

HIPAAオムニバスルール チェックリスト

2013年に最終化されたHIPAAオムニバスルールは、保護対象保健情報(PHI)のプライバシーとセキュリティ保護を大幅に強化しました。ビジネスアソシエイトの直接的なコンプライアンス責任、患者の権利強化、違反通知・マーケティング・開示に関するルールの明確化など、HIPAAの適用範囲を拡大しています。

オムニバスルールへの準拠を証明することは、高額な罰則回避だけでなく、患者の信頼保護、パートナーシップ強化、規制当局へのデータプライバシーへの強いコミットメントの証明にもつながります。ポリシー、トレーニング、ベンダー管理をオムニバスルール要件に合わせることで、コンプライアンスギャップを解消し、全体的なセキュリティ態勢を向上させることができます。以下のチェックリストを参考にしてください:

  1. ビジネスアソシエイト契約(BAA)を見直し、オムニバスルールに基づく責任範囲・義務を最新化する
  2. ビジネスアソシエイトが保有・アクセスするPHI/ePHIも含めた包括的なリスク分析を実施する
  3. データ利用、患者権利、違反対応など、オムニバスルールの新規定を反映したセキュリティ・プライバシーポリシーを実施する
  4. 新要件(HIPAAポリシー更新、違反通知変更、患者権利強化)に関する従業員トレーニングを実施する
  5. 患者が自己負担でサービスを受けた場合、健康保険へのPHI開示を制限する権利を尊重する
  6. プライバシー通知(NPP)を更新し、違反通知権や遺伝情報の利用など新しい内容を盛り込む
  7. PHIのマーケティングや販売には事前に書面による許可を取得する
  8. 違反通知プロトコルを強化し、リスク評価で例外が証明されない限り、すべてのPHIの不正利用・開示を原則として違反とみなす
  9. ビジネスアソシエイトのコンプライアンスを定期的に監視し、PHIの適切な保護とHIPAA義務の遵守を確認する
  10. HIPAA関連のポリシー、トレーニング、評価、判断など、すべてを文書化し、監査や調査時にコンプライアンスを証明できるようにする

HIPAAエンフォースメントルールとは?

HIPAAエンフォースメントルールは、医療保険の相互運用性と説明責任に関する法律(HIPAA)のプライバシーおよびセキュリティ規則違反に対する調査・罰則の指針を定めた規則です。このルールは、対象事業体およびビジネスアソシエイトがHIPAA規制を遵守し、患者の保護対象保健情報(PHI)のプライバシーとセキュリティを守ることを目的としています。エンフォースメントルールは、苦情への対応や違反調査の手順、民事金銭的罰則や是正措置計画の適用方法も定めています。

HIPAAエンフォースメントルール チェックリスト

HIPAAエンフォースメントルールは、保健福祉省(HHS)が民権局(OCR)を通じてHIPAA違反の可能性を調査し、非遵守に対して罰則を科す手順を定めています。調査手順、民事金銭的罰則の構造、是正措置計画や正式な制裁を含む解決プロセスが規定されています。

エンフォースメントルールへの準拠を証明することは、組織がプライバシーとセキュリティを真剣に捉えていることを規制当局に示す上で極めて重要です。これにより罰則の軽減や厳格な執行措置の回避、積極的かつ統治されたコンプライアンスプログラムの実践が可能となります。監査対応力や迅速な対応力を備えることで、患者の信頼向上、リスク低減、組織全体の説明責任文化の強化にもつながります。以下の推奨事項を参考にしてください:

  1. HIPAAコンプライアンス活動を完全に文書化し、ポリシー、トレーニング、リスク評価、インシデント対応、監査ログなどの記録を整備してコンプライアンス文化を示す
  2. 調査や要請には迅速に対応し、HHSおよび民権局(OCR)との協力を徹底する
  3. 正式な制裁ポリシーを導入し、HIPAA違反に対する懲戒措置を一貫して実施し、非遵守の従業員やベンダーへの対応を記録する
  4. 定期的な内部監査を実施し、コンプライアンスギャップを早期に発見・対応する
  5. 違反が判明した場合は、是正措置計画(CAP)プロセスを策定し、再発防止に努める
  6. 従業員に対し、HIPAA違反の民事・刑事罰則など執行結果についてトレーニングし、説明責任を促進する
  7. 苦情受付プロセスを明確にし、患者や従業員がHIPAA違反やプライバシー懸念を匿名・簡単に報告できる仕組みを整備する
  8. リーダーシップによる監督と説明責任を確保し、明確な役割分担と経営層の支援でエンフォースメントルールへの備えとコンプライアンスを推進する
  9. 法改正や執行動向に合わせてポリシー・手順を定期的に見直し・更新する
  10. 複雑なコンプライアンス課題や執行措置に直面した場合は、必要に応じて法務・コンプライアンス専門家に相談する

HIPAAコンプライアンスの最新動向

HIPAAの最新の改正は2013年と2016年に実施されました。

2013年にはHIPAAオムニバスルールが導入され、保護対象保健情報(PHI)の取り扱いと保護に関する規制に大きな変更が加えられました。主な変更点は以下の通りです:

  • 患者の権利保護の拡大(PHIへのアクセス・コピーの権利、PHI利用・開示制限の要求権など)
  • HIPAA規制の執行強化(違反時の罰金増額、ビジネスアソシエイトへのHIPAA規制遵守義務の追加)
  • 「ビジネスアソシエイト」「保護対象保健情報」など主要用語の定義の更新

2016年には、HIPAAプライバシールールが一部改正され、特定の対象事業体(医療提供者や保険会社など)が精神疾患と認定された個人の名前を全米即時犯罪者背景調査システム(NICS)に開示できるようになりました。この改正は、2012年のサンディフック小学校銃乱射事件を受け、精神疾患を持つ個人が銃器を取得できる状況への懸念から実施されたものです。ただし、情報開示には個人からの書面による同意取得や、開示による影響に関する説明など、一定の制限と保護措置が設けられています。

HIPAA ITコンプライアンスとは?

HIPAAコンプライアンスとHIPAA ITコンプライアンスには若干の違いがあります。

HIPAAコンプライアンスは、米国保健福祉省(HHS)が定めた、患者の機密性の高い健康情報のプライバシー、セキュリティ、完全性を保護するための一連の規則・規制です。これには、ポリシーや手順、セキュリティ対策の導入など、管理的・物理的・技術的な保護策が含まれます。

一方、HIPAA ITコンプライアンスは、HIPAAセキュリティルールの技術的側面、すなわち電子保護対象保健情報(ePHI)の技術的保護策の導入・維持・監視に関するものです。これには、強力な認証・アクセス制御、定期的なセキュリティリスク評価、保存データの暗号化・セキュリティ対策の実施が含まれます。

IT向けのHIPAAコンプライアンスチェックリストはあるか?

一部のIT組織は、HIPAAで保護される機密性の高いデータを取り扱うため、HIPAAコンプライアンスが求められます。そのため、IT組織は自社のシステムや手順がHIPAA規制に準拠していることを確保するために必要な措置を講じる必要があります。

IT組織がHIPAA ITコンプライアンスを証明するために検討すべきチェックリスト項目:

  1. セキュリティ対策の策定・実施を担当する専任のHIPAAプライバシー責任者を配置する
  2. HIPAAの適用対象となるすべてのデータを特定・分類する
  3. 従業員全員にHIPAA法令・規則について教育する
  4. 管理的・技術的・物理的なポリシーやプロセスを文書化し、HIPAAとの関連性を明確にする
  5. すべてのコンピュータやワークステーションに不正アクセス防止のための十分なセキュリティ対策を施す
  6. PHIを含むすべての文書を安全に保管し、許可された担当者のみがアクセスできるようにする
  7. 必要に応じて暗号化ソフトウェアを使用し、保存データを保護する
  8. 安全なウェブ閲覧とメールセキュリティソフトウェアを活用する
  9. 患者データを含む文書や記録は適切に廃棄し、シュレッダーや焼却など最も安全な方法を採用する
  10. セキュリティ侵害や不正アクセス試行への対応手順を策定・維持する
  11. アクセスログを定期的に確認・監視し、不正アクセスの兆候を検出する
  12. 包括的なユーザーログ記録・監査手順を導入する
  13. HIPAAガイドラインに準拠したバックアップ手順を策定・実施する
  14. コンティンジェンシープランや災害復旧システムを策定・維持する

HIPAAコンプライアンスの始め方

HIPAAコンプライアンスが初めての方は、組織として以下のステップから取り組みを始めてください:

  1. HIPAAセキュリティ・プライバシーコンプライアンス計画を策定する
  2. 保護対象保健情報(PHI)の取り扱い・保護に関するポリシーと手順を策定する
  3. PHIを保護するための物理的・管理的・技術的な保護策を実施する
  4. 従業員にHIPAAのベストプラクティスや手順についてトレーニングを実施する
  5. 従業員にHIPAA確認書へ署名させ、責任と義務を理解していることを確認する
  6. ビジネスアソシエイト、ベンダー、請負業者にビジネスアソシエイト契約(BAA)への署名を求め、HIPAA規制遵守を確認する
  7. HIPAAコンプライアンスの定期的な見直し・監査・更新手順を実施する
  8. PHIのセキュリティ・プライバシー対策をすべて記録・文書化する
  9. 侵害やデータ損失に備えたインシデント対応計画を策定する
  10. PHIのセキュリティを定期的に監視し、HIPAA規制への完全な準拠を維持する

HITECHとは?HIPAAコンプライアンスとの関係

経済的・臨床的健康情報技術法(HITECH)は、2009年に制定され、その後のコンプライアンス要件に大きな影響を与えています。特に、この法律は医療業界全体(直接医療、社会保障など)における医療機関の法的要件を改正しました。

HITECH以前は、電子健康記録(EHR)を利用していた病院は全体の10%に過ぎませんでした。HITECHは、病院が電子記録管理へ移行する大きな推進力となりました。HITECHは、デジタルePHI管理技術の導入促進と、それに伴うHIPAA規制の遵守を推進しました。これには、デジタル技術への移行に対するインセンティブの提供も含まれています。

2017年までに、HITECHの影響もあり、EHR導入率は86%にまで上昇しました。

HITECHはまた、HIPAAコンプライアンスの責任範囲も変更しました。技術導入を促進するため、HITECH法はビジネスアソシエイトにも直接的な違反責任を課し、その責任は対象事業体とのビジネスアソシエイト契約(BAA)で明確にされることになりました。

さらに、HITECHは違反に対する罰則を強化し、法執行機関による違反追及を促進することで、組織がコンプライアンスを維持するよう促しました。

HIPAAコンプライアンス関連リソース

HIPAAおよびHIPAAコンプライアンス要件の詳細については、以下のリソースをご参照ください:

  1. HHS.gov ウェブサイト
  2. HIPAA Journal ウェブサイト
  3. HHS民権局
  4. Centers for Medicare & Medicaid Services
  5. 米国国立標準技術研究所(NIST)
  6. HHSセキュリティ管理ガイドライン
  7. HIPAAセキュリティルール
  8. HIPAAプライバシールール
  9. 米国国立標準技術研究所(NIST)特別出版物
  10. HITECHセキュリティおよび違反通知法

HIPAAコンプライアンスを達成・維持するための自己監査チェックリスト

HIPAA自己監査チェックリストを活用することで、医療機関は非遵守の可能性がある領域を特定し、保健福祉省(HHS)による監査前に是正措置を講じることができます。自己監査は、HIPAA違反による高額な罰則や罰金の回避にも役立ちます。

さらに、自己監査の実施は、HIPAAコンプライアンスのベストプラクティスを確立し、全体的なデータセキュリティ態勢を向上させるのに役立ちます。患者の機密情報保護への取り組みを示すことで、患者との信頼関係構築にもつながります。

HIPAA自己監査チェックリストの活用は、HIPAA規制の遵守維持と患者データの保護において重要なステップです。

以下は、HIPAAコンプライアンスのための自己監査チェックリストです:

  1. 監査の範囲(評価対象となる組織やプロセス)を決定する
  2. ポリシーや手順を見直し、HIPAA規制への準拠を確認する
  3. 全従業員がHIPAAトレーニングを受講し、最新の状態であることを確認する
  4. アクセス制御を見直し、許可された個人のみがPHIにアクセスできることを検証する
  5. 施設やワークステーションへのアクセス制御など、物理的保護策を評価する
  6. システムへのアクセス制御、PHIの暗号化、パスワードポリシーなど、技術的保護策を見直す
  7. PHIにアクセスするすべての第三者ベンダーとのビジネスアソシエイト契約が締結されていることを確認する
  8. インシデント対応手順を評価し、最新かつ有効であることを確認する
  9. 違反通知手順を見直し、最新かつ有効であることを確認する
  10. 必要なHIPAA文書がすべて最新で容易に入手できる状態であることを確認する
  11. HIPAAプライバシールールへの準拠(PHI開示のための患者同意取得・記録など)を評価する
  12. HIPAAセキュリティルールへの準拠(定期的なリスク評価・リスク対応など)を見直す
  13. 治療・支払い・医療業務など、すべてのPHI開示が適切に許可・記録されていることを確認する
  14. HIPAA違反通知ルールへの準拠(非保護PHIの違反発生時の迅速な報告など)を見直す
  15. HIPAAオムニバスルールへの準拠(ビジネスアソシエイトや下請け業者への新要件など)を評価する
  16. すべてのPHIがHIPAA規制に従って適切に廃棄されていることを確認する
  17. HIPAAコンプライアンスに影響を与える州・地方の法律への準拠を見直す
  18. 定期的な監査を実施し、非遵守領域を是正する
  19. 監査結果と是正活動をすべて文書化する
  20. 継続的なトレーニング、監視、監査を含むHIPAAコンプライアンスプログラムを策定・実施する
  21. 組織全体のコンプライアンス活動を管理するHIPAAコンプライアンス責任者を任命する
  22. モバイルデバイスの追跡・保護を徹底し、不正アクセスやデータ漏洩時にはリモートワイプでPHIを消去する、またはそもそもモバイルデバイスにPHIを保存しないようにする

HIPAAコンプライアンスとGDPRコンプライアンスの優先順位

EU一般データ保護規則(GDPR)と医療保険の相互運用性と説明責任に関する法律(HIPAA)は、いずれも個人データのプライバシー保護を目的とした異なる規制です。GDPRは、EU市民の個人データを処理・取り扱うすべての企業に適用され、所在地を問わずグローバルに影響します。一方、HIPAAは米国内の医療提供者、保険会社、そのビジネスアソシエイトに適用されます。しかし、医療機関やビジネスアソシエイトがグローバルに活動する中、GDPRがHIPAAコンプライアンスに与える影響を理解することが重要です。

GDPRは、HIPAAよりも厳格なデータ保護要件を課しています。主な違いは以下の通りです:

GDPRにおける明示的同意

GDPRでは、個人データを処理する前に明示的な同意が必要ですが、HIPAAでは一般的な同意のみが求められます。

GDPRにおけるデータ主体の権利

GDPRは、個人に対しデータへのアクセス、訂正、削除など、より広範なコントロール権を認めています。一方、HIPAAではアクセス権や訂正要求権は限定的です。

GDPRで義務付けられるデータ保護責任者(DPO)

GDPRは、一定の組織にデータ保護責任者(DPO)の任命を義務付けていますが、HIPAAではこの役割は必須ではありません。

GDPRにおけるデータ侵害通知義務

GDPRでは、データ侵害発生から72時間以内の報告が義務付けられていますが、HIPAAでは60日以内の報告が求められています。

GDPRの罰則

GDPRは、非遵守に対して最大2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方という、非常に高額な罰金を科します。これに対し、HIPAAの罰則は1件あたり100ドルから5万ドル、年間最大150万ドルです。

したがって、EU市民の個人データを取り扱う医療機関やビジネスアソシエイトは、GDPRとHIPAAの両方に準拠する必要があります。データプライバシーポリシーや手順を見直し、GDPR要件を満たすための必要な変更を実施し、従業員に規則内容を教育することが重要です。いずれかの規制に違反した場合、重大な経済的損失や組織の評判失墜につながる可能性があります。

KiteworksのプライベートデータネットワークによるHIPAAコンプライアンス支援

Kiteworksのプライベートデータネットワークは、対象事業体およびそのビジネスアソシエイトが、信頼できる第三者と共有するPHIやその他の機密性の高いコンテンツを保護し、HIPAAコンプライアンスの達成・維持を支援します。

Kiteworksは、メールファイル共有マネージドファイル転送SFTPウェブフォームなど、第三者とのコミュニケーションを統合し、組織がPHIのアクセス・送信・保存・受信を一元管理・保護・追跡できるようにします。セキュリティおよびコンプライアンス機能には以下が含まれます:

  • 組み込み型アンチウイルス保護および侵入検知システム(IDS)を搭載した自己完結型・事前設定済みの強化仮想アプライアンス
  • 保存データのAES暗号化、転送データのTLS 1.2暗号化、鍵ローテーション、セッションタイムアウト、整合性チェック、アンチウイルスなどの追加セキュリティ対策
  • 管理的・物理的・技術的保護策の導入状況を示すワンクリックのHIPAA・GDPRコンプライアンスレポート
  • きめ細かなアクセス制御、ロールベースの権限設定、ファイル/フォルダーの有効期限設定により、PHIへのアクセスを許可された担当者かつ必要な期間のみに限定
  • オンプレミス、プライベート、ハイブリッド、FedRAMP仮想プライベートクラウドなどのセキュアな導入オプション
  • CISOダッシュボード分析やSIEMへのエクスポート可能な包括的な監査ログによる脅威検知・緩和・フォレンジック

Kiteworksが貴社のHIPAAコンプライアンス達成をどのように支援できるか、カスタムデモをぜひご予約ください。

追加リソース

Tags: セキュリティブルバードのサイバーセキュリティ |

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks