hipaa-banners

HIPAA | HITECH データセキュリティコンプライアンス

タレスのCipherTrust データセキュリティ プラットフォームは、組織がHIPAAおよびHITECHの要件に準拠するのに役立つデータアクセス制御および暗号化ソリューションを提供します

HIPAA

テスト

HIPAAセキュリティルールでは、医療機関が適切な保護手段を使用して、電子的に保護された医療情報(ePHI)の安全性を維持することを求めています。また、HIPAA暗号化コンプライアンス要件セットを拡張するHITECH法では、データ侵害のタイムリーな開示が求められています。

多くの医療機関にとって、HIPAAおよびHITECHに準拠するための最も困難な規定のひとつは、プライバシー規則を順守することです。定義された一連の使用を除くすべての用途から、および禁止されたEDIセット内で患者データを保護する暗号化ソリューションを適用することは、ITの重要な課題であることが証明されています。効果的な実装は、安全でこれらのトランザクション標準に準拠しているだけでなく、企業のITフレームワーク内で管理可能である必要があります。

タレスソリューションは、以下を通じてePHIの技術的保護手段を実装することにより、組織がこれらのコンプライアンスの課題に対処するのを支援します。

  • データ検出と分類
  • データアクセス制御
  • 保存データの暗号化とトークン化(仮名化)
  • 移動中データの暗号化
  • 暗号鍵管理
  • ユーザーアクセスログの保持と監視
  • ハードウェアセキュリティモジュールを使用して、暗号化プロセスを実行し暗号鍵を保護
  • 規則
  • コンプライアンス

米国における医療保険の相互運用性と説明責任に関する法令(HIPAA)

HIPAAセキュリティルールでは対象となる組織に対し、すべての電子個人医療情報(ePHI)を保護するための技術的保護手段を実装し、暗号化、アクセス制御、暗号鍵の管理、リスク管理、ePHI情報の監査と監視に具体的に対応するように求めています。HIPAAセキュリティルールは、対象となるエンティティが採用できる暗号化方法の例と、HIPAA暗号化戦略を実装する際に考慮すべき要素を列挙しています。

経済的および臨床的健全性のための医療情報技術(HITECH)法

2009年の米国再生・再投資法(ARRA)の一部として制定されたHITECH法は、HIPAA暗号化コンプライアンス要件の範囲を拡大し、提携企業、ベンダー、関連エンティティによるものを含む、「保護されていない」(暗号化されていない)個人健康記録のデータ侵害の開示を要求します。

2013年のHIPAAオムニバスルール

2013年の「HIPAAオムニバスルール」は、HIPAAセキュリティルールを遵守する責任をビジネスアソシエイトに正式に課しています。

データ検出と分類

機密データを保護するための最初のステップは、組織内のどこにあってもデータを見つけ、機密として分類し、入力する(PII、財務、IP、HHI、顧客機密など)ことです。これにより、企業は最も適切なデータ保護技術を適用できるようになります。また、データを定期的に監視および評価して、新しいデータが見落とされたり、組織がコンプライアンスに違反したりしないようにすることも重要です。

タレス CipherTrust データ検出と分類は、オンプレミスおよびクラウド内の構造化および非構造化機密データを効率的に識別します。エージェントレスとエージェントベースの両方の展開モデルをサポートするこのソリューションは、規制対象データの迅速な識別を可能にし、セキュリティリスクを強調し、コンプライアンスのギャップを明らかにするのに役立つ組み込みテンプレートを提供します。合理化されたワークフローにより、セキュリティの死角が明らかになり、修復時間が短縮されます。詳細なレポートは、コンプライアンスプログラムをサポートし、経営幹部とのコミュニケーションを促進します。

強力なアクセス管理と認証

タレスのアクセス管理および認証ソリューションは、データセキュリティ規制に準拠するために組織が必要とするセキュリティメカニズムとレポート機能の両方を提供します。当社ソリューションは、機密データが保存されたアプリケーションにユーザーがログインするときに適切なアクセス制御を適用することにより機密データを保護します。また、幅広い認証方法とポリシー主導の役割ベースのアクセスをサポートすることで、資格情報の侵害や盗難、または内部での資格情報の悪用によるデータ侵害のリスクを軽減します。

スマートシングルサインオンとステップアップ認証のサポートにより、組織はエンドユーザーの利便性を最適化し、必要な場合にのみ認証する必要があることを保証できます。また、広範なレポートによりすべてのアクセスおよび認証イベントの詳細な監査証跡を作成できるため、企業はさまざまな規制への準拠が可能になります。

保存中の機密データの保護

CipherTrust データセキュリティ プラットフォームは、データの検出、保護、および制御を1つのプラットフォームに統合する、データ中心のセキュリティ製品およびソリューションの統合スイートです。

  • 検出:組織は、データが存在する場所ならどこでもデータを検出し、分類できる必要があります。このデータは、ファイル、データベース、ビッグデータなど、さまざまな形式である可能性があり、オンプレミスのストレージ間、クラウド内、およびバックアップ間で保持できます。データのセキュリティとコンプライアンスは、ハッカーや監査人の前で公開された機密データを見つけることから始まります。CipherTrust データセキュリティ プラットフォームを使用すると、組織は、効率的なデータ検出、分類、およびリスク分析により、 オンプレミスおよびクラウド内の機密データを完全に可視化できます。
  • 保護:組織が機密データの場所を知ると、暗号化やトークン化などの保護手段を適用できます。機密データを正常に保護するための暗号化とトークン化では、暗号鍵自体を組織が保護、管理、および制御する必要があります。CipherTrust データセキュリティ プラットフォームは、アクセス制御を使用したファイルレベルの暗号化アプリケーションレイヤーの暗号化データベースの暗号化静的データマスキング、ポリシーベースの動的データマスキングを使用したボルトレストークン化、ボルト型トークン化など、幅広いデータ保護のユースケースをサポートする包括的なデータセキュリティ機能を提供します。
  • 制御:組織は、データへのアクセスを制御し、鍵管理を一元化する必要があります。すべてのデータセキュリティ規制と義務化により、組織はデータと暗号鍵への許可されたアクセスと許可されていないアクセスを監視、検出、制御、および報告できる必要があります。CipherTrust データセキュリティ プラットフォームは、複数のクラウドサービスプロバイダー(CSP)およびハイブリッドクラウド環境全体で堅牢なエンタープライズ鍵管理を提供し、暗号鍵を一元管理して、セキュリティポリシーを構成します。これにより、組織がクラウド、オンプレミス、およびハイブリッド環境全体で機密データを制御・保護できるようにします。
  • 監視:企業は機密データへのアクセスを監視して、悪意のある内部関係者、特権ユーザー、APT、およびその他のサイバー脅威からの進行中または最近発生した攻撃を特定する必要があります。CipherTrust セキュリティ インテリジェンスのログとレポートは、主要なセキュリティ情報およびイベント管理(SIEM)システムを使用して、コンプライアンスレポートを合理化し、脅威の検出を高速化します。このソリューションは、承認されていないアクセス試行に対する即時の自動エスカレーションと応答を可能にし、承認されたユーザーによる疑わしい使用の特定に必要となる動作パターンを構築するために必要なすべてのデータを提供します。

移動中の機密データの保護

タレスの高速暗号化プログラム(HSE)は、ネットワークに依存しない移動中データの暗号化(レイヤー2、3、4)を実行し、サイト間、またはオンプレミスからクラウドへの安全なデータの移動を保証します。当社のHSEソリューションを使用することで、パフォーマンスを低下させることなく手頃なコストで、データ、ビデオ、音声、メタデータを盗聴や監視、また明白且つ秘密裡の傍受からより適切に保護できます。

暗号鍵の保護

タレスのLuna HSMは安全な暗号化処理、鍵の生成と保護、暗号化などを実現する強化された耐タンパ環境を提供します。3種類のFIPS 140-2認定フォームファクタで利用可能なLuna HSMは、さまざまな展開シナリオをサポートします。

さらにLuna HSMは次の機能を発揮します。

  • ルート鍵と認証局(CA)用の鍵を生成・保護し、さまざまなユースケースでPKIをサポート
  • アプリケーションコードに署名することで、ソフトウェアが安全で改ざんされておらず、本物であることを確認
  • IoTアプリケーションやその他のネットワーク展開用の独自の電子デバイスを認証するためのデジタル証明書を作成

関連リソース

デジタル資産を保護し、規制および業界標準に準拠し、組織の評判を保護します。タレスがどのように役立つかを学びましょう。

SafeNet Trusted Access Brings Security to Authentication and Access - Product Review

SafeNet Trusted Access Brings Security to Authentication and Access - Product Review

Product review of SafeNet Trusted Access. Explore the options of authentication security that STA offers, to bridge the MFA, SSO and access management worlds in a single, well-integrated package. Discover how your business can bring security to access management.

Thales Converged Badge Solutions - Solution Brief

Thales Converged Badge Solutions - Solution Brief

In today’s ever increasing digital world, protecting critical data and ensuring the identity of those accessing data is essential. The standard measures once thought to be strong enough are simply insufficient when compared to the sophistication and persistence of today’s...

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Thales CipherTrust Data Discovery and Classification(データ検出と分類)- Product Brief

Thales CipherTrust Data Discovery and Classification(データ検出と分類)- Product Brief

プライバシーとデータ保護規制に対するコンプライアンスにおいて 極めて重要な最初のステップは、機密データの構成要素、その保 存場所、その使われ方を把握することです。所有しているデータ、デ ータの場所、データを所有している理由を知らなければ、データを 保護するための効果的なポリシーと制御を適用することはできま せん。

CipherTrust Transparent Encryption - White Paper

CipherTrust Transparent Encryption - White Paper

Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...

CipherTrust Transparent Encryption - Product Brief

CipherTrust Transparent Encryption - Product Brief

CipherTrust Transparent Encryption delivers data-at-rest encryption with centralized key management, privileged user access control, and detailed data access audit logging that helps organizations meet compliance and best practice requirements for protecting data, wherever it...

機密データ保護に必用とされる 組織の重要な柱とは - White Paper

機密データ保護に必用とされる 組織の重要な柱とは - White Paper

従来、組織のITセキュリティは主に境界防御に焦点を置き、壁 を築くことで外部からの脅威がネットワークに侵入するのを防 いでいました。これは依然として重要ではあるものの、十分では ありません。サイバー犯罪者は境界防御を頻繁に突破しており、 データはこうした防御の外側のクラウドなどに存在することが 多いため、組織は場所を問わずにデータを保護するデータ中心 のセキュリティ戦略を適用する必要があります。今日のデータ急 増や、世界と地域のプライバシー規制の進化、クラウド導入の拡 大、APT(持続的標的型攻撃)などに対応するため、データ中心...

全社レベルの情報セキュリティ戦略の 青写真 - White Paper

全社レベルの情報セキュリティ戦略の 青写真 - White Paper

企業規模の暗号化戦略の設定と実装を任されているあなたは幸運です。その戦略を使用することで、あなたが組織のモデルとして定義し示した目標とセキュリティ要件を達成するよう、各事業部門(LoB)、アプリケーションオーナー、データベース管理者(DBA)、開発者を導き、連携させることができるのですから。確かに困難な任務ではありますが、確実に達成できます。 このガイドには、セキュリティの誇大宣伝、侵害件数とそれによる財務的損失、ビジネス上の評判に対する損失を示すマーケティング記事は含まれません。こうした情報はほぼ毎週のように...

Thales Luna Network HSM - Product Brief

Thales Luna Network HSM - Product Brief

Secure your sensitive data and critical applications by storing, protecting and managing your cryptographic keys in Thales Luna Network Hardware Security Modules (HSMs) - high-assurance, tamper-resistant, network-attached appliances offering market-leading performance.

Encrypt Everything 組織が機密データを保護する ための実践ガイド - eBook

Encrypt Everything 組織が機密データを保護する ための実践ガイド - eBook

エンタープライズデータセキュリティを担うエキスパート は、組織の貴重なデータを保護するために、エンタープラ イズ規模の暗号化戦略を策定し実施することが求められ ています。しかし、重要なデータはどこにでも流れていま す。境界はもはや存在しません。データは運用システムか ら分析システムへ、オンプレミスからクラウドへ、データベ ースからデータレイクへと移行しています。データの世界 はかつてないスピードで変化しています。ビッグデータやマ イクロサービスなどの新しいテクノロジーが同時にさまざ まな形で採用されています。

High Speed Encryption Solutions - Solution Brief

タレス 高速ネットワーク暗号化 ソリューション - Solution Brief

ネットワークは絶えず攻撃を受けており、機密資産の漏洩は 繰り返し発生しています。暗号化を活用することは、データが ネットワークを通過する際にもたらされるデータへの脅威に 対処するために、これまで以上に重要な義務となっています。 タレスの高速ネットワーク暗号化ソリューションは、データセ ンターと本社間のネットワークトラフィックから、オンプレミス やクラウドのバックアップ、ディザスタリカバリサイトまで、「あ らゆる場所で暗号化」を実行する単一のプラットフォームを提 供します。

その他の主要なデータ保護とセキュリティ規制

GDPR

規制
アクティブ ナウ

これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。

PCI DSS

必須
アクティブ ナウ

クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。

データ漏えい通知法

規制
アクティブ ナウ

個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。