HIPAAコンプライアンスチェックリスト

HIPAAコンプライアンス要件:2025年セキュリティルール改定対応 完全ガイド

米国医療保険の携行性と責任に関する法律(HIPAA)は、患者の健康情報を作成・受領・保管・送信する組織に対し、その情報を保護するための連邦基準を定めています。HIPAAコンプライアンスは単一のチェックリストではありません。プライバシー、セキュリティ、侵害通知、そしてデータ処理を規定する4つのルールが相互に連動する枠組みであり、患者の診療に直接関わる「対象事業体(Covered Entity)」と、それを支援する「ビジネスアソシエイト(Business Associate)」の双方に適用されます。

HIPAAが「存在すること」ではなく「何を要求しているか」を正しく理解することこそが、OCR(公民権局)の監査に耐えうるコンプライアンスプログラムを構築する出発点です。本ガイドでは、4つのルールすべてに加え、この10年間で最大級の見直しとなる2025年セキュリティルール改正案、違反時の罰則体系、そして各要件を実務で満たすために組織が実装すべき事項を解説します。

エグゼクティブサマリー

要点: HIPAAコンプライアンスでは、プライバシールール、セキュリティルール、侵害通知ルール、オムニバスルールという4つのルールを、管理的・物理的・技術的の各領域にわたって満たす必要があります。対象事業体・ビジネスアソシエイトのいずれにとっても、コンプライアンスとは単に管理策を導入することではなく、その管理策が実際に機能している証拠を文書として維持することを意味します。2025年に提案されたセキュリティルール改正案が最終化されれば、暗号化・多要素認証・ネットワークセグメンテーションはすべての対象事業体およびビジネスアソシエイトにとって「必須」となり、これまで組織が頼ってきた「該当時のみ対応(addressable)」という柔軟性は撤廃されます。

なぜ重要か: OCRは2024年だけで63件の執行措置を解決しており、罰金額は数万ドルから数千万ドルに及びます。医療業界は14年連続で最も情報漏えいが多い業界となりました。OCRの執行姿勢は、侵害報告への対応という「事後対応型」から、侵害の有無にかかわらず対象事業体・ビジネスアソシエイトを対象とする積極的な監査プログラムを伴う「事前対応型」へと転換しています。HIPAAコンプライアンスの基準は、書面上のプログラムを持っていることではありません。OCRに求められたときに、そのプログラムが実際に機能していることを証明できるかどうかです。

重要ポイント

1. HIPAAは対象事業体とビジネスアソシエイトの双方に等しく適用される

2013年のオムニバスルール以降、対象事業体に代わってPHI(保護対象保健情報)を扱うベンダー、クラウドプロバイダー、請求代行会社、テクノロジーパートナーなどの「ビジネスアソシエイト」は、彼らが支援する医療機関と同等のHIPAAコンプライアンス要件および罰則リスクを負います。ビジネスアソシエイト契約(BAA)の締結は法律上の義務ですが、それだけでは技術的管理策の代わりにはなりません。暗号化・アクセス制御・監査ログといった裏付けを伴わないままコンプライアンス義務だけを割り当てるBAAは、実効性のないセキュリティ体制を記した契約書に過ぎません。

2. 2025年セキュリティルール改正案は「該当時のみ対応」という抜け道をなくす

従来のHIPAAセキュリティルールでは、安全管理措置は「必須(required)」と「該当時のみ対応(addressable)」に分類されていました。必須の措置は必ず実装しなければなりません。該当時のみ対応の措置は、対象事業体が合理的な代替策を文書化できない限り実装が求められます。実務上、多くの組織はこの「該当時のみ対応」という分類を利用して、暗号化などの管理策の導入を先送りしてきました。2025年の改正案はこの区分を完全に撤廃し、保存時・通信時の暗号化、多要素認証、ネットワークセグメンテーションなどをすべての対象事業体・ビジネスアソシエイトに対して必須とし、文書化による代替の余地を認めません。

3. リスクアセスメントは任意ではなく必須であり、常に最新でなければならない

HIPAAセキュリティルールは、対象事業体・ビジネスアソシエイトに対し、ePHI(電子化されたPHI)の機密性・完全性・可用性に対する潜在的なリスクと脆弱性について、正確かつ徹底したアセスメントの実施を求めています。OCRは執行措置において、数年前に実施されたきり更新されていないリスク分析はこの要件を満たさないと明言しています。HIPAAのリスクアセスメントは一度きりの取り組みではなく、定期的に、また業務や環境に重要な変化があるたびに見直し・更新する必要があります。

4. ビジネスアソシエイトとの関係はコンプライアンスの範囲と責任を拡張する

PHIにアクセス・保管・送信する代行先のベンダー、クラウドサービスプロバイダー、テクノロジーパートナーはすべてビジネスアソシエイトです。彼らのセキュリティ上の不備は、あなたの組織のコンプライアンスリスクとなります。HIPAAの下では、対象事業体はビジネスアソシエイトによるPHIの取り扱いを規律する技術的・契約的な安全管理措置を実装しなければならず、それらの措置はBAAに記載されているだけでなく、実際に運用として機能していなければなりません。2025年の改正案では、年次監査やインシデント通知期限の厳格化を含め、ビジネスアソシエイトに対する監督要件が強化されています。

5. 監査ログは任意の報告機能ではなく必須のインフラである

HIPAAセキュリティルールの監査管理策基準(45 C.F.R. § 164.312(b))は、対象事業体・ビジネスアソシエイトに対し、ePHIを含むシステム内の活動を記録・検証する仕組みの実装を求めています。これは緩やかな要件ではありません。OCRの執行措置では、不完全あるいは存在しない監査ログがセキュリティルール違反として頻繁に指摘されています。誰が、いつ、どのシステムから、どのような権限に基づき、どのような結果でPHIにアクセスしたかを記録する監査証跡は、セキュリティインシデントの検知手段であると同時に、監査が来た際にコンプライアンスを証明する証拠記録でもあります。

HIPAAの適用対象

HIPAAは「対象事業体」と「ビジネスアソシエイト」という2種類の組織に適用されます。

対象事業体とは、健康情報を電子的に送信する医療提供者(病院、医院、クリニック、薬局)、健康保険(保険会社、HMO、雇用主提供の健康保険プラン)、そしてある形式から別の形式へ健康情報を処理するヘルスケアクリアリングハウスを指します。

ビジネスアソシエイトとは、対象事業体に代わってPHIの利用や開示を伴う業務・活動を行う組織を指します。これには、ePHIを保管するクラウドサービスプロバイダー、医療ITシステムを管理するマネージドサービスプロバイダー、請求代行会社、文字起こしサービス、顧問弁護士、会計士、そしてPHIが流れるあらゆるテクノロジープラットフォームが含まれます。2013年のオムニバスルール以降、ビジネスアソシエイトは違反に対して対象事業体と同等の罰則リスクを負っており、「BA」という位置づけがコンプライアンス上の緩衝材になることはありません。

PHIを作成・受領・保管・送信しない組織は、一般的にHIPAAの適用対象外です。ただし、ビジネスアソシエイトと見なされる基準は、多くの組織が想定するよりも低く設定されています。暗号化されたPHIをホストするクラウドストレージプロバイダーは、たとえそのデータにアクセスする能力がなくても、HIPAA上のビジネスアソシエイトに該当し、BAAの締結と適切な安全管理措置の実装が必要です。

HIPAAの4つのルール

プライバシールール

HIPAAプライバシールールは、個人を特定できる健康情報の保護に関する国家基準を定めています。何がPHI(保護対象保健情報)に該当するか、誰がそれを利用・開示できるか、どのような状況で、そして患者にどのような権利が付随するかを規定しています。

PHIとは、個人の過去・現在・将来の健康状態、医療の提供、または医療費の支払いに関する情報であり、かつその個人を特定できるものを指します。HIPAAが定める18種類の識別子には、氏名や日付から地理情報、デバイス識別子まで含まれます。承認された方法によりこの18種類の識別子がすべて除去された「非識別化データ」は、HIPAAの適用範囲外となります。

プライバシールールは、治療・支払い・医療業務のためであれば患者の同意なくPHIの利用・開示を認めています。それ以外の開示については、原則として同意が必要です。患者には自身のPHIへのアクセス権、修正の請求権、開示に関する記録の開示請求権、利用制限の請求権があります。「最小必要限度(Minimum Necessary)」基準は、対象事業体・ビジネスアソシエイトに対し、それぞれの目的に必要な最小限にPHIへのアクセスを制限することを求めており、これは人間によるアクセスだけでなくAIシステムによるアクセスにも等しく適用されます。

最小必要限度の要件とロールベースアクセス制御の実装に関する詳細は、HIPAA最小必要限度ルール:コンプライアンス完全ガイドをご覧ください。

セキュリティルール

HIPAAセキュリティルールは、電子的な形式で作成・受領・保管・送信されるPHI、すなわちePHIの保護に関する国家基準を定めています。対象事業体・ビジネスアソシエイトに対し、ePHIの機密性・完全性・可用性を確保するための管理的・物理的・技術的な安全管理措置の実装を求めています。

管理的安全管理措置とは、組織がePHIのセキュリティをどのように管理するかを規定する方針・手順・研修プログラムです。これには、セキュリティ管理プロセス(リスク分析とリスク管理)、従業員研修、アクセス管理、事業継続計画、ビジネスアソシエイトの監督が含まれます。セキュリティルールは、セキュリティ方針・手順の策定と実施に責任を負う「セキュリティ責任者」の指名を求めています。

物理的安全管理措置は、ePHIが存在する物理的なシステムや施設へのアクセスを規律します。これには、施設アクセス制御、ワークステーションの利用方針、ワークステーションのセキュリティ、そしてePHIを含む電子媒体の取り扱い・移動・廃棄を規定するデバイス・媒体管理が含まれます。

技術的安全管理措置は、ePHIを保護し、それへのアクセスを制御するテクノロジーベースの管理策です。これには、アクセス制御(固有のユーザーID、自動ログオフ、暗号化・復号)、監査管理策、完全性管理策(ePHIが不適切に改ざん・破壊されないようにする)、送信時セキュリティ(電子通信ネットワーク経由で送信されるePHIの保護)が含まれます。

技術的安全管理措置の詳細については、HIPAAセキュリティルール要件と2025年改正をご覧ください。

侵害通知ルール

HIPAA侵害通知ルールは、未保護のPHIの侵害が発生した場合、対象事業体に対し、影響を受ける個人、HHS(米国保健福祉省)、そして場合によってはメディアへの通知を義務付けています。ビジネスアソシエイトは、侵害を発見してから不当な遅滞なく、遅くとも60日以内に対象事業体へ通知しなければなりません。

対象事業体の通知期限は厳格です。影響を受ける個人には、発見から不当な遅滞なく、遅くとも60日以内に通知する必要があります。単一の州または管轄区域内で500人以上に影響が及ぶ侵害の場合は、主要メディアへの通知も必要です。すべての侵害はHHSに報告する必要があり、500人以上に影響する侵害は発見から60日以内に、それより小規模な侵害は年次でまとめて報告することが認められています。

侵害発生時点で暗号化されており、かつ暗号鍵が安全に保たれていたPHIは、侵害通知ルールのセーフハーバー(適用除外)の対象となります。暗号化されたデータは「使用不能、判読不能、または解読不能」と見なされ、通知義務の対象になりません。このセーフハーバーは、暗号化を実装する最も実務的に重要な理由の一つです。適切に暗号化されたPHIの侵害は、HIPAA上報告義務のある侵害には該当しません。暗号化セーフハーバーの詳細な分析については、HIPAA向けAES-256暗号化:侵害セーフハーバーガイドをご覧ください。

オムニバスルール

2013年のオムニバスルールは、現在も有効なHIPAAの構造的変更をいくつかもたらしました。最も重要な変更は、HIPAAの完全なコンプライアンス義務と罰則リスクをビジネスアソシエイトおよびその下請け業者にまで拡張したことで、これにより下流のベンダーがより緩い要件の下で活動できていた責任の抜け穴が閉じられました。また、患者の権利を強化し(電子健康記録に保存されたePHIのコピーを請求する権利を含む)、マーケティング目的でのPHI利用を制限し、患者の同意なしにPHIを販売することを禁止しました。

2025年セキュリティルール改正案

2025年1月、HHSはHIPAAセキュリティルールの公表以来最大級の見直しとなる改正案を提案しました。この改正案は、医療分野における侵害やランサムウェア攻撃の急増を受けたものであり、これらは従来のルールの「該当時のみ対応」という安全管理措置の分類が一貫性を欠いて運用されてきたことによって生じた隙を露呈させています。

核心的な変更点は、「必須」と「該当時のみ対応」という実装仕様の区分を撤廃することです。改正後のルールでは、以下の安全管理措置がすべての対象事業体・ビジネスアソシエイトにとって必須となり、文書化による代替の余地は認められません。

ePHIの保存時・送信時の暗号化。保存時の暗号化(データベース、ファイルシステム、バックアップ媒体に保存されたePHIを対象)と、送信時の暗号化(あらゆる電子ネットワーク経由で送信されるePHIを対象)の両方が必須となります。改正案はFIPS認証済みの暗号化基準を参照しており、事実上FIPS 140-3認証済みの暗号モジュールが実装基準となります。

多要素認証。ePHIを含むシステムへのすべてのアクセスにMFAが必須となります。パスワードのみによる単一要素認証は、もはやセキュリティルールの要件を満たさなくなります。

ネットワークセグメンテーション。対象事業体・ビジネスアソシエイトは、ePHIを含むシステムを他のネットワークセグメントから分離するネットワーク制御の実装を求められます。これにより、侵害発生時の水平移動(ラテラルムーブメント)を制限します。

年次のテクノロジー資産棚卸し。組織は、ePHIにアクセス・保管・送信するすべてのテクノロジー資産について、最新の棚卸し情報を維持することが求められます。これは、正確なリスクアセスメントとインシデント対応の基盤となる要件です。

特定の範囲要件を伴う文書化されたリスク分析。改正案はリスク分析の要件をより具体化し、分析に含めるべき内容を明確に定め、識別されたリスク、その発生可能性と影響、そしてそれらに対処するために実装された管理策を文書化することを組織に求めています。

72時間以内の復旧能力を伴う、書面によるインシデント対応・災害復旧計画。組織は、セキュリティインシデントへの対応、および障害発生から72時間以内にシステムを復旧するための文書化された計画を維持することが求められます。

年次コンプライアンス監査とベンダー監督の強化。改正案は、年次のコンプライアンス検証に関する契約条項を含め、ビジネスアソシエイトに対する監督要件を強化します。

2026年7月時点で、これらの改正案はまだ提案段階にあり、正式な規則制定プロセスが進行中です。組織は最終公表を待たずに実装を始めるべきです。この改正案の内容は、正式な法的地位にかかわらずOCRの執行姿勢を反映したものであり、ワイデン上院議員とワーナー上院議員が提出した2025年HISAA法案が成立すれば、さらに厳格な要件が課されることになります。これらの提案の最新状況については、HIPAAセキュリティルール要件と2025年改正をご覧ください。

HIPAAの罰則と執行

HIPAA違反には、違反の深刻度と故意性に応じて段階的に重くなる民事罰・刑事罰が科されます。

民事罰は、違反者の認識度合いと過失の程度によって段階分けされています。違反を認識していなかった組織には、1件あたり最低100ドルの罰金が科されます。正当な理由はあるが故意の懈怠がない違反には、1件あたり最低1,000ドル。是正された故意の懈怠には、1件あたり最低1万ドル。是正されなかった故意の懈怠には、1件あたり最低5万ドルが科されます。違反カテゴリーごとの年間上限額は、最低区分で2万5,000ドル、最高区分で150万ドルです。ただしOCRは、この上限を「暦年ごと・違反類型ごと」に適用すると解釈しており、複数年にわたる違反はリスクを大幅に増大させます。

刑事罰は、故意の違反に適用され、司法省を通じて訴追されます。HIPAAに違反してPHIを故意に取得・開示した場合、最大5万ドルの罰金と最長1年の禁錮刑が科されます。虚偽の口実の下で行われた違反は、上限が10万ドル・5年に引き上げられます。商業的利益や個人的利益を目的にPHIを販売・譲渡・利用する意図をもって行われた違反には、最大25万ドルの罰金と最長10年の禁錮刑が科されます。

OCRの執行措置は、大規模な医療システムだけでなく、医院、健康保険プラン、ビジネスアソシエイトまで、医療業界のあらゆる規模の組織を対象とするようになってきています。和解に伴う是正措置計画(Corrective Action Plan)は、多くの場合、複数年にわたるモニタリング義務と、当初の罰金をはるかに超える範囲のコンプライアンスプログラム改善を課します。

HIPAA準拠の技術アーキテクチャを構築する

セキュリティルールが求める技術的安全管理措置は、対象事業体・ビジネスアソシエイトが実装すべき具体的なプラットフォーム機能群へと落とし込むことができます。個別の要件を満たす個別のツールを持つことと、それらすべてを同時に満たす統合されたアーキテクチャを持つことの間にあるギャップこそが、多くの組織がコンプライアンスリスクを蓄積してしまう原因です。

すべてのチャネルにわたる暗号化。ePHIは、多くの組織が想定する以上に多様なチャネルを通じて移動します。メール、ファイル共有、マネージドファイル転送、Webフォーム、API連携、そして近年では臨床データにアクセスするAIシステムなどです。各チャネルは、保存時にAES-256暗号化、送信時に最低TLS 1.2(TLS 1.3推奨)を実装する必要があります。一部のPHIフローのみを暗号化し、他は暗号化しないチャネルは、セーフハーバーの隙間を生み出します。暗号化されていないチャネルを通じた未暗号化PHIの侵害は、他のチャネルがどれほど保護されていても通知義務の対象となります。監査証跡のチェックリストについては、HIPAA監査ログ:完全な要件一覧をご覧ください。

最小必要限度を担保するアクセス制御。技術的なアクセス制御は、それぞれの目的に必要な最小限にePHIへのアクセスを制限しなければなりません。ロールベースアクセス制御(RBAC)は、どの担当者がどのPHIカテゴリーにアクセスできるかを定めます。属性ベースアクセス制御(ABAC)は、アカウント単位だけでなく操作単位で最小必要限度を強制する、動的かつ状況に応じたポリシーを適用します。固有のユーザーID、自動セッション終了、緊急時アクセス手順も、追加の技術的安全管理措置要件です。

ePHIに関わるすべてのシステムにわたる改ざん不可能な監査ログ。監査ログは、誰が、いつ、どのシステムから、どのような権限に基づき、どのPHIにアクセスし、どのようなアクションを取ったかというあらゆるアクセスイベントを記録しなければなりません。ログは事後に改ざんできない形式で保存する必要があります。メールシステム、ファイル共有プラットフォーム、EHR監査モジュール、ネットワークインフラにわたってログが分断されている組織は、OCRの審査に耐える一貫した監査証跡を提示できません。だからこそ、チャネル横断で統合されたログ記録は、単なるベストプラクティスではなく実務上のコンプライアンス要件なのです。

ビジネスアソシエイトの技術的ガバナンス。BAAの締結は法律上の義務です。ビジネスアソシエイトがアクセスできるPHIを制御する技術的管理策、内部ユーザーと同じ監査証跡上での彼らのアクセス記録、関係終了時のアクセス取り消しは、セキュリティルールが求める事項です。コンプライアンス上の責任はデータに付随します。ビジネスアソシエイトの環境にあるPHIも、依然として対象事業体のコンプライアンス責任の範囲内にあります。

実装のための完全な5ステップフレームワークについては、HIPAAコンプライアンスを達成する5つのステップをご覧ください。

KiteworksによるHIPAAコンプライアンス支援

Kiteworksは、複数の交換チャネルにわたってePHIを取り扱う対象事業体・ビジネスアソシエイトに対し、HIPAAが課すデータガバナンス要件に応えるよう構築されています。

暗号化について:Kiteworksは、ファイルレベルとディスクレベルの両方でAES-256暗号化(二重暗号化)を適用し、FIPS 140-3認証済みの暗号モジュールを使用しています。暗号鍵は顧客が自ら保有するため、Kiteworksが技術的に顧客データを復号することはできません。Kiteworksのいずれのチャネル(セキュアメールセキュアファイル共有マネージドファイル転送SFTPセキュアデータフォーム)を通じて送信されるePHIも、最低TLS 1.2(TLS 1.3も利用可能)で保護されます。Kiteworksプラットフォーム上で適切に暗号化されたPHIは、HIPAAの侵害通知セーフハーバーの対象となります。

アクセス制御について:Kiteworksは、統合されたData Policy Engineを通じてRBACとABACの両ポリシーを適用します。アクセスはファイル単位、フォルダー単位、ユーザー単位で管理され、操作レベルで最小必要限度が徹底されます。外部の受信者(ビジネスアソシエイト、紹介先パートナー、自身の記録にアクセスする患者)は、アクセス許可前に認証が行われます。アクセスは事後に取り消すことも可能です。SafeVIEWの閲覧専用アクセスにより、Kiteworks環境の外に出すことなくPHIをレビュー目的で共有できます。

監査ログについて:Kiteworksのすべてのチャネルにわたるあらゆるアクセスイベントは、単一の統合された改ざん不可能な監査証跡に記録されます。このログは、メール、ファイル共有、MFT、SFTP、セキュアフォーム、AIによるデータアクセスにわたって、誰が、何に、いつ、どのシステムから、どのような権限に基づき、どのようなアクションを取ったかを記録します。監査証跡はSIEMと統合されており、HIPAA固有のコンプライアンスレポートビューでも確認できます。これは、セキュリティルールの監査管理策基準を満たし、OCRの審査に耐える侵害調査を支える監査インフラです。

ビジネスアソシエイトのコンプライアンスについて:Kiteworksはビジネスアソシエイトとしてビジネスアソシエイト契約(BAA)を締結しており、FedRAMP Moderate認証を保持しています。これは独立した第三者による評価と継続的なモニタリングを伴うセキュリティ体制であり、対象事業体が契約上のBAAを超えたビジネスアソシエイトのデューデリジェンスを行う上で、文書化可能な根拠を提供します。

2025年セキュリティルール改正案がePHIにアクセスするAIエージェントにどのように適用されるかを含む、AI特有のHIPAA要件については、AIエージェントとHIPAA:PHIアクセスの課題を解決するをご覧ください。

Kiteworksが貴社固有のHIPAAコンプライアンス環境にどのように適用できるかをご確認いただくには、カスタムデモをお申し込みください

よくある質問

HIPAAコンプライアンスは、4つのルールを満たす必要があります。プライバシールールは、誰がPHIを利用・開示できるか、患者の権利、そしてPHIへのアクセスを制限する最小必要限度基準を規定します。セキュリティルールは、電子的PHIに対する管理的・物理的・技術的な安全管理措置を求めており、リスクアセスメント、アクセス制御、暗号化、監査ログの記録などが含まれます。侵害通知ルールは、未保護のPHIの侵害を発見してから60日以内に、対象事業体が影響を受ける個人、HHS、場合によってはメディアに通知することを求めています。オムニバスルールは、完全なコンプライアンス義務と罰則リスクをビジネスアソシエイトおよびその下請け業者にまで拡張しました。対象事業体・ビジネスアソシエイトの双方が、この4つのルールすべてを満たす必要があります。

2025年の改正案は、HIPAAセキュリティルールの公表以来最大級の見直しです。中心的な変更点は、「必須」と「該当時のみ対応」という実装仕様の区分を撤廃し、ePHIの保存時・送信時の暗号化、多要素認証、ネットワークセグメンテーションを、文書化による代替の余地なく、すべての対象事業体・ビジネスアソシエイトにとって必須とすることです。改正案はさらに、年次のテクノロジー資産棚卸し、より具体的なリスク分析文書、72時間以内のシステム復旧能力を伴う書面によるインシデント対応・災害復旧計画、そしてビジネスアソシエイトに対する監督の強化を要件として追加しています。2026年7月時点で、この改正案はまだ提案段階にありますが、OCRの執行姿勢を踏まえると、組織はこの提案内容を現在のコンプライアンス基準として扱うべきです。

ビジネスアソシエイト契約(BAA)は、対象事業体と、対象事業体に代わってPHIを作成・受領・保管・送信するベンダーや第三者(ビジネスアソシエイト)との間で締結が義務付けられている、HIPAA上の契約です。BAAには、PHIの許可された利用方法、ビジネスアソシエイトが適切な安全管理措置を実装する義務、侵害通知の義務、そして対象事業体による監査権の付与を明記する必要があります。2013年のオムニバスルール以降、ビジネスアソシエイトは自らの環境で発生した違反に対して対象事業体と同等の罰則リスクを負います。BAAは責任を移転するものではなく、共有された義務を文書化するものです。裏付けとなる技術的管理策を伴わないBAAは、実効的なセキュリティ体制のない契約書に過ぎません。

従来のHIPAAセキュリティルールでは、暗号化は「該当時のみ対応」の実装仕様に分類されており、対象事業体は合理的かつ適切な代替策を文書化できない限り実装する必要がありました。実務上は、ePHIを暗号化しない場合の文書化の負担と、未暗号化PHIに対する侵害通知セーフハーバーの喪失を考慮すると、暗号化を行わないことは正当な代替策というよりコンプライアンス上のリスクとなっていました。2025年の改正案はこの曖昧さを完全に排除し、ePHIの保存時・送信時の暗号化を必須としています。OCRの執行措置では、「該当時のみ対応」という分類にかかわらず、暗号化の不備が一貫してセキュリティルール違反として指摘されてきました。現在の連邦基準はFIPS 140-3認証済み暗号化です。

HIPAA侵害通知ルールのセーフハーバーは、侵害発生時点でPHIが暗号化されており、かつ暗号鍵も同時に漏えいしていなかった場合に適用されます。HHSのガイダンスでは、暗号化されたデータは「使用不能、判読不能、または解読不能」と見なされ、適切に暗号化されたPHIの侵害は、個人、メディア、HHSに対するHIPAAの通知義務を発生させません。このセーフハーバーは、ePHIを扱うすべてのチャネルにおいてFIPS認証済みの暗号化を実装する、最も実務的に重要な理由の一つです。顧客が自ら暗号鍵を保有することで、たとえクラウドベンダー側で侵害が発生しても、ベンダーが復号に必要な鍵を保有していない以上、復号可能なPHIが漏えいすることはなく、セーフハーバーの主張がより強固になります。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

Table of Content
Share
Tweet
Share
Explore Kiteworks