HIPAA | HITECH データセキュリティコンプライアンス
Thalesが、米国の医療保険の携行性と責任に関する法律(HIPAA)および経済的および臨床的健全性のための医療情報技術に関する法律(HITECH法)に遵守するためにそのように組織を支援するか
対象となる主体は、保護されるべき医療情報(PHI)へのリスクを正確かつ徹底的に評価することで、PHIを適切に保護しなければなりません。
医療保険の携行性と責任に関する法律(HIPAA)
医療保険の携行性と責任に関する法律(HIPAA)は、本人の同意や認識なしに患者の健康に関するセンシティブ情報が開示されることを防ぐ国家基準を定めた米国連邦法です。合衆国保健福祉省(HHS)は、HIPAAの要件を実施するためにHIPAAプライバシー規則を発行しています。このHIPAAセキュリティールールは、プライバシールールの対象となる情報のサブセットを保護するものです。
HIPAAのルールと規則は、コンプライアンスに必要となる次の3種のセキュリティ保護措置を定めています:
- 管理上の保護措置は、主に、保護されるべき医療情報(PHI)の完全性に対する潜在的な脆弱性とリスクを特定するための継続的なリスクアセスメントを実施するという要件に関するものです。
- 物理的な保護措置は、保護されるべき医療情報(PHI)への不正アクセスを防止し、火災やその他の環境上の危険からデータを保護するために講じるべき措置に集中しています。
- 技術上の保護措置は、保護されるべき医療情報(PHI)が電子ネットワーク上で通信される際に、データセキュリティを確保するために講じられるべき管理に関するものです。
経済的および臨床的健全性のための医療情報技術に関する法律(HITECH法)とは
経済的および臨床的健全性のための医療情報技術に関する法律(HITECH法)は、2009年の米国再生・再投資法(ARRA)の一部として制定され、HIPAAの暗号化コンプライアンス要件の範囲を拡大するものです。提携先の企業、ベンダー、関連する事業体によるものを含み、「保護されていない」(暗号化されていない)個人健康記録データの侵害について、開示を要求しています。
医療保険の携行性と責任に関する法律(HIPAA)の対象企業
HIPAA規則は、対象となる主体と業務提携先に適用されます:
- 対象となる主体には、保護されるべき医療情報(PHI)を作成、受領、維持、送信、またはこれらにアクセスするすべての医療提供者(医療計画、医療保険組織、病院、診療所、薬局、医師、歯科医師など)が含まれます。
- 事業提携者には、対象主体に代わり電子的なPHIを作成、受領、維持、送信、またはこれにアクセスする可能史があるサードパーティのサービスプロバイダーが含まれます。例として、IT請負業者やクラウドストレージベンダーなどが挙げられます。
医療保険の携行性と責任に関する法律(HIPAA)の発効日
医療保険の携行性と責任に関する法律(HIPAA)は1996年に米国議会で制定されました。同法はその後何回か更新され、2009年には経済的および臨床的健全性のための医療情報技術に関する法律(HITECH法)が成立しました。HITECH法では、違反に対する新たな罰則体系が追加されたほか、セキュリティルールの不遵守に起因するデータ漏えいに対し、事業提携者が直接的に責任を負うことになりました。
医療保険の携行性と責任に関する法律(HIPAA)違反に対する罰則
医療保険の携行性と責任に関する法律(HIPAA)を遵守しなかった場合の罰則は、過失の程度によって異なり、違反1件につき100ドルから5万ドル、最高で1暦年あたり190万ドルが科されます。また、HIPAAに違反した個人にいは、1年から10年の懲役刑が科される場合があります。
Thalesが医療保険の携行性と責任に関する法律(HIPAA)の遵守をどのように支援するか
Thalesは、保護されるべき医療情報(PHI)を保護するための必須要件に対応することによって、組織が「医療保険の携行性と責任に関する法律(HIPAA)」の定める3つのセクションに基づき、同法を遵守することを支援します。
HIPAA § 164.308 管理上の保護措置
Thalesは、以下によって、組織をサポートします:
- センシティブデータの発見と分類、リスク分析の実行
- 第三者(業務提携先)のリスクの低減
HIPAA要件:
1.A 実行...:
「...電子的な保護されるべき医療情報の機密性と完全性に対するリスク評価...」
Thalesのソリューション:
CipherTrust Data Discovery and Classification(データディスカバリーおよび分類)は、オンプレミスおよびクラウドにおいて、構造化および非構造化センシティブデータを特定します。内蔵テンプレートは、規制データの迅速な特定、セキュリティリスクの強調、コンプライアンスギャップの発見を可能にします。
8. b. 1:
「対象となる主体は、...事業提携者が情報を適切に保護する場合、事業提携者に電子的PHIの作成、受領、維持、送信を許可することができる。」
保存データの保護:
CipherTrust Cloud Key Manager(クラウド鍵管理)では、「BYOK(Bring Your Own Key)」システム下でサードパーティのクラウドプロバイダーがホストするセンシティブデータを保護する鍵を、金融機関の完全な管理下のオンプレミスに維持することによって、サードパーティのリスクを軽減することができます。
CipherTrust Transparent Encryption(透過的暗号化)は、管理ロールの完全な分離を実現し、許可されているユーザーおよびプロセスのみが非暗号化データを閲覧できるようにします。データにアクセスする正当な理由が示されない限り、サードパーティのクラウドに保存されたセンシティブデータに権限のないユーザーが平文でアクセスすることはできません。
Thales Data Security(データセキュリティ)ソリューションは、最も総合的なデータ保護を提供します。これには、内蔵された高度な可用性を提供するThales Data Protection on Demand(DPoD)、クラウドベースのLuna Cloud HSMおよびCipherTrust Key Managementサービスへのバックアップ、ゼロ化オプションを提供するHSEネットワーク暗号化アプライアンスなどがあります。
HIPAA § 164.312 技術上の的保護措置
対象となる主体は、保護されるべき医療情報(PHI)へのアクセスを保護し、PHIにアクセスする個人および事業体を認証し、PHI を保存時と転送時に暗号化する技術上の保護措置を講じなければなりません。
Thalesは、以下によって、組織をサポートします:
- 保護されるべき医療情報(PHI)へのアクセス管理
- ユーザーとプロセスの認証
- 保存時のPHI暗号化と暗号化キーの保護
- 輸送中のPHIの暗号化
A. 1:
「アクセス権限を付与された個人またはソフトウェアプログラムにのみ、保護されるべき医療情報(PHI)へのアクセスを許可する。」
Thales OneWelcome Identity & Access Managementは、ロールとコンテキストに基づき、組織内外のユーザーによるアクセスを制限します。強力な多要素認証に支えられたきめ細かなアクセスポリシーと承認ポリシーによって、適切なユーザーが適切なリソースに適切なタイミングでアクセスできることを確実にする一方、不正アクセスリスクを最小限に抑えます。
Thales OneWelcome Consent & Preference Management(同意・設定管理)モジュールによって、金融機関が同意されたデータを明確に可視化できるように、企業が最終消費者の同意を収集したり、利用許可を得ているデータへのアクセスを管理したりすることが可能になります。
CipherTrust Transparent Encryption(透過的暗号化)は、センシティブデータを暗号化し、ユーザー、プロセス、ファイルタイプ、時間帯、その他のパラメーターによる適用が可能な、より細かい特権ユーザーアクセス管理ポリシーを実施します。 また、ロールの完全分離を実現し、許可されているユーザーおよびプロセスのみが非暗号化データを閲覧できるようにします。
D:
「電子的な保護されるべき医療情報(PHI)へのアクセスを求める個人または組織が本人であることを認証すること。」
SafeNet Trusted Accessはクラウドベースのアクセス管理ソリューションで、ハードウェアとソフトウェアの最も広範な認証方式とフォームファクターによって、市販の多要素認証を提供します。
2. ii:
「電子的に保護された医療情報を暗号化・復号化する仕組みを導入する。」
CipherTrust Data Security Platform(データセキュリティプラットフォーム)は、ファイル、ボリューム、データベース内の保存データを保護する複数の機能を提供します。以下はその一例です:
- CipherTrust Transparent Encryption(透過的暗号化)は、一元化された鍵管理と特権ユーザーアクセス制御によって、保存データの暗号化を提供します。これにより、データ保存先がオンプレミス、複数のクラウド間、ビッグデータ内、コンテナ環境のいずれであっても、データが保護されます。
- CipherTrust Tokenization(トークン化)は、データ集計分析機能を維持しつつ、データベース内のセンシティブ情報の仮名化を可能にします。
- CipherTrust Enterprise Key Management(鍵管理)は、さまざまなユースケースにおいて、クラウド環境およびエンタープライズ環境下の鍵管理を合理化かつ強化します。
Luna Hardware Security Modules(HSM)は、暗号鍵を保護するとともに、FIPS 140-2のレベル3に強化された耐タンパー性の環境を提供し、安全な暗号処理、鍵の生成と保護、暗号化などを実現します。Luna HSMは、オンプレミス、クラウド・アズ・ア・サービス、ハイブリッド環境で利用できます。
E.1:
「ネットワーク...を介して送信されるPHIを保護するための技術的セキュリティ対策の実施」
Thales High Speed Encryptors(HSE)は、ネットワークに依存しない移動中データの暗号化(レイヤー2、3,4)を提供し、サイト間の移動またはオンプレミスとクラウド間の移動においてデータを確実に保護します。Thalesのネットワーク暗号化ソリューションによって、パフォーマンスに妥協することなく、データ、動画、音声、メタデータを盗聴、監視、公然または秘密裏の傍受からより良く保護することが可能です。
HIPAA § 164.514 保護されるべき医療情報の使用および開示に関するその他の要件
個人を特定できない健康情報は、保護されるべき医療情報(PHI)とみなされない場合があります。
Thalesは、以下によって、組織をサポートします:
- トークン化を使用した個人健康情報の仮名化と非特定化。
A:
「保護された医療情報の非識別化。個人を特定しない健康情報は...個人を特定できる健康情報ではない。」
CipherTrust Tokenization(トークン化)は、データ集計分析機能を維持しつつ、分析中やレポート内でセンシティブデータを晒すことなく、データベース内のセンシティブ情報を仮名化することを可能にします。
関連リソース
SafeNet Trusted Access Brings Security to Authentication and Access - Product Review
Product review of SafeNet Trusted Access. Explore the options of authentication security that STA offers, to bridge the MFA, SSO and access management worlds in a single, well-integrated package. Discover how your business can bring security to access management.
Thales Converged Badge Solutions - Solution Brief
In today’s ever increasing digital world, protecting critical data and ensuring the identity of those accessing data is essential. The standard measures once thought to be strong enough are simply insufficient when compared to the sophistication and persistence of today’s...
Data Security Compliance and Regulations - eBook
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
Thales CipherTrust Data Discovery and Classification(データ検出と分類)- Product Brief
プライバシーとデータ保護規制に対するコンプライアンスにおいて 極めて重要な最初のステップは、機密データの構成要素、その保 存場所、その使われ方を把握することです。所有しているデータ、デ ータの場所、データを所有している理由を知らなければ、データを 保護するための効果的なポリシーと制御を適用することはできま せん。
CipherTrust Transparent Encryption - White Paper
Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...
CipherTrust Transparent Enctyption (透過暗号化) - Product Brief
CipherTrust Transparent Encryptionは、鍵の一元管理、特権ユーザーアクセス制御、詳細なデータアクセス監査ロギングを備えた保存データ暗号化を提供します。これにより企業は、データがどこに保存されていても、データ保護に関するコンプライアンス要件やベストプラクティス要件に対応できます。FIPS 140-2準拠のCipherTrust Transparent Encryptionエージェントは、オペレーティングファイルシステムやデバイス層に常駐し、その上で実行されるすべてのアプリケーションは暗号化と復号化が透過的に実行されます...
機密データ保護に必用とされる 組織の重要な柱とは - White Paper
従来、組織のITセキュリティは主に境界防御に焦点を置き、壁 を築くことで外部からの脅威がネットワークに侵入するのを防 いでいました。これは依然として重要ではあるものの、十分では ありません。サイバー犯罪者は境界防御を頻繁に突破しており、 データはこうした防御の外側のクラウドなどに存在することが 多いため、組織は場所を問わずにデータを保護するデータ中心 のセキュリティ戦略を適用する必要があります。今日のデータ急 増や、世界と地域のプライバシー規制の進化、クラウド導入の拡 大、APT(持続的標的型攻撃)などに対応するため、データ中心...
全社レベルの情報セキュリティ戦略の 青写真 - White Paper
企業規模の暗号化戦略の設定と実装を任されているあなたは幸運です。その戦略を使用することで、あなたが組織のモデルとして定義し示した目標とセキュリティ要件を達成するよう、各事業部門(LoB)、アプリケーションオーナー、データベース管理者(DBA)、開発者を導き、連携させることができるのですから。確かに困難な任務ではありますが、確実に達成できます。 このガイドには、セキュリティの誇大宣伝、侵害件数とそれによる財務的損失、ビジネス上の評判に対する損失を示すマーケティング記事は含まれません。こうした情報はほぼ毎週のように...
Luna Network HSM - プロダクトブリーフ
タレスLuna Network HSM(ハードウェアセキュリティモジュール)で暗号鍵を保管、保護、管理することで、機密デー タや重要なアプリケーションを保護できます。Luna Network HSMは、高保証の、耐タンパ性を備えたネットワー ク接続アプライアンスであり、市場で最高クラスのパフォーマンスとクリプトアジリティ(暗号の俊敏性)を提供します。
Encrypt Everything 組織が機密データを保護する ための実践ガイド - eBook
エンタープライズデータセキュリティを担うエキスパート は、組織の貴重なデータを保護するために、エンタープラ イズ規模の暗号化戦略を策定し実施することが求められ ています。しかし、重要なデータはどこにでも流れていま す。境界はもはや存在しません。データは運用システムか ら分析システムへ、オンプレミスからクラウドへ、データベ ースからデータレイクへと移行しています。データの世界 はかつてないスピードで変化しています。ビッグデータやマ イクロサービスなどの新しいテクノロジーが同時にさまざ まな形で採用されています。
タレス 高速ネットワーク暗号化 ソリューション - Solution Brief
ネットワークは絶えず攻撃を受けており、機密資産の漏洩は 繰り返し発生しています。暗号化を活用することは、データが ネットワークを通過する際にもたらされるデータへの脅威に 対処するために、これまで以上に重要な義務となっています。 タレスの高速ネットワーク暗号化ソリューションは、データセ ンターと本社間のネットワークトラフィックから、オンプレミス やクラウドのバックアップ、ディザスタリカバリサイトまで、「あ らゆる場所で暗号化」を実行する単一のプラットフォームを提 供します。
その他の主要なデータ保護とセキュリティ規制
GDPR
規制
アクティブ ナウ
これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。
PCI DSS
必須
アクティブ ナウ
クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。
データ漏えい通知法
規制
アクティブ ナウ
個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。
