HIPAA | HITECHデータセキュリティコンプライアンス

米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)、ならびに経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)への準拠達成のためにThalesがお手伝いできること

医療保険の相互運用性と説明責任に関する法律

医療保険の相互運用性と説明責任に関する法律(HIPAA)は、本人の同意や認識なしに患者の健康に関する機密情報が開示されることを防ぐ国家基準を定めた米国連邦法です。米国保健福祉省(HHS)は、HIPAAの要件を施行するためにHIPAAプライバシー規則を発行しました。このHIPAAセキュリティ規則は、プライバシー規則の対象となる情報のサブセットを保護するものです。

HIPAAの規則と規制は、コンプライアンスに必要となる次の3種のセキュリティ保護措置を定めています:

  • 管理上の保護措置は、主に、保護対象保健情報(PHI)の完全性に対する潜在的な脆弱性とリスクを特定するための継続的なリスク評価を実施するという要件に関するものです。
  • 物理的な保護措置は、PHIへの不正アクセスを防止し、火災やその他の環境上の危険からデータを保護するために講じるべき措置に重点を置いています。
  • 技術上の保護措置は、PHIが電子ネットワーク上で通信される際に、データセキュリティを確保するために講じるべき管理に関するものです。
Americas

規制 | 現在有効
    経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)とは?

    経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)は、2009年の米国再生・再投資法(ARRA)の一部として制定され、HIPAAの暗号化コンプライアンス要件の範囲を拡大するものであり、ビジネスアソシエイト、ベンダー、関連する事業体によるものを含め、「保護されていない」(暗号化されていない)個人健康記録データの侵害について、開示を義務付けています。

    HIPAAの対象企業とは?

    HIPAA規則は、対象事業体とビジネスアソシエイトに適用されます:

    • 対象事業体には、保護対象保健情報(PHI)を作成、受領、維持、送信する、またはそれにアクセスするすべての医療提供者(医療計画、医療保険組織、病院、診療所、薬局、医師、歯科医師など)が含まれます。
    • ビジネスアソシエイトには、対象事業体に代わり電子PHI(ePHI)を作成、受領、維持、送信する、またはそれにアクセスする可能性があるサードパーティのサービスプロバイダーが含まれます。例として、IT請負業者やクラウドストレージベンダーなどが挙げられます。
    HIPAAの発効日は?

    HIPAAは1996年に米国議会で制定されました。同法はその後何度か更新され、2009年には、経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)が成立しました。HITECHでは、違反に対する新たな罰則体系が追加されたほか、セキュリティ規則の不遵守に起因するデータ漏えいに対し、ビジネスアソシエイトが直接的に責任を負うことが定められました。

    HIPAAに違反した場合の罰則とは?

    HIPAAに違反した場合の罰則は、過失の程度によって異なり、違反1件につき100ドルから5万ドル、最高で1暦年あたり190万ドルが科されます。また、HIPAAに違反した場合、責任者には1年から10年の懲役刑が科される場合があります。

    HIPAAへの準拠達成のためにThalesがお手伝いできること

    Thalesのソリューションは、コンプライアンスを簡素化し、セキュリティを自動化してセキュリティおよびコンプライアンスチームの負担を軽減することで、組織がHIPAAに準拠できるよう支援します。当社は、HIPAAの4つの異なるセクションに基づき、保護対象保健情報(PHI)を保護するための必須要件に対応することで、組織がHIPAAに準拠できるよう支援します:

    当社は「アプリケーションセキュリティ」、「データセキュリティ」、「IDおよびアクセス管理」のサイバーセキュリティの3つの主要分野で包括的なサイバーセキュリティソリューションを提供しています。

    Thales Compliance Solutions Diagram

    HIPAAコンプライアンスソリューション

      アプリケーションセキュリティ

      アプリケーションセキュリティ

      クラウド、オンプレミス、ハイブリッドモデルのいずれにおいても、アプリケーションとAPIを大規模に保護します。市場をリードする当社の製品ポートフォリオには、Webアプリケーションファイアウォール(WAF)、分散型サービス拒否(DDoS)攻撃や悪意のあるボット攻撃に対する防御、APIセキュリティ、安全なコンテンツデリバリーネットワーク(CDN)、ランタイムアプリケーションセルフプロテクション(RASP)などがあります。

      データセキュリティ

      データセキュリティ

      ハイブリッドIT全体で機密データを検出・分類し、暗号化、トークン化、鍵管理を使用して、保存中、通信中、使用中のどの状態でも機密データを自動的に保護します。また、Thalesのソリューションは、正確なリスク評価のために潜在的なリスクを特定、評価、優先順位付けするとともに、異常な行動を特定し、アクティビティを監視してコンプライアンスを検証します。これにより、組織はどこに注力すべきかを優先的に判断できます。

      IDおよびアクセス管理

      IDおよびアクセス管理

      顧客、従業員、パートナーに対して、アプリケーションやデジタルサービスへのシームレスで安全かつ信頼性の高いアクセスを提供します。当社のソリューションは、きめ細かなアクセスポリシーと多要素認証を使用して、役割とコンテキストに基づいて内部ユーザーと外部ユーザーのアクセスを制限し、適切なユーザーに適切なリソースへの適切なタイミングでのアクセスを許可します。

      HIPAA 164.306セキュリティ基準:一般規則

        1 | 電子PHI(ePHI)の機密性、完全性、可用性を確保する。

        Thalesがお手伝いできること:

        • ハイブリッドIT全体で機密データを特定、分類、保護、監視し、データの安全性とコンプライアンスを常に確保します。

        ソリューション:

        CipherTrust Platform

        Data Security Fabric

        HIPAA § 164.308 管理上の保護措置

          1 | PHIに対するリスク評価

          Thalesがお手伝いできること:

          • ハイブリッドIT全体でリスクにさらされている構造化機密データと非構造化機密データを特定します。
          • 潜在的なリスクを評価するために、データ資産のリスクスコアを決定します。
          • コンプライアンスの現状を把握し、ギャップを文書化します。
          • すべてのパブリックAPI、プライベートAPI、シャドーAPIの潜在的なリスクを検出・分類し、APIリスク評価を実施します。

          ソリューション:

          アプリケーションセキュリティ

          APIセキュリティ

          データセキュリティ

          データ検出と分類

          データリスクインテリジェンス

          脆弱性管理

          5, b | 悪意のあるソフトウェアからの保護

          Thalesがお手伝いできること:

          • I/Oを監視し、ランサムウェアに感染する前に不審なアクティビティをブロックします。
          • 悪意のあるソフトウェアやユーザーによる機密データへのアクセスを防ぎます。
          • シグネチャ分析、行動分析、評判分析を使用して、すべてのマルウェアインジェクション攻撃をブロックします。
          • Webアプリケーションファイアウォールでサイバー脅威を検知・防御します。
          • DDoS攻撃や悪性ボットから重要なネットワーク資産を保護します。

          ソリューション:

          アプリケーションセキュリティ

          Webアプリケーションファイアウォール

          DDoSプロテクション

          ボット保護

          データセキュリティ

          ランサムウェア対策

          データリスクインテリジェンス

          8. b. 1 | ビジネスアソシエイト/サードパーティリスクの低減

          Thalesがお手伝いできること:

          • クラウドでホストされているデータを保護する暗号鍵をオンプレミスで管理することで、サードパーティのリスクを低減します。
          • クラウドプロバイダーの管理者と組織との役割分離を実行し、機密データへのアクセスを制限します。
          • 異常を監視し警告することで、不正なアクティビティを検知し、サプライチェーンのアクティビティが阻害されるのを防ぎます。
          • アクセス権を明確に委任することで、サプライヤー、パートナー、あらゆるサードパーティユーザーとの関係管理を可能にします。
          • 関係ベースのきめ細かな承認を使用することで、権限を最小限に抑えます。
          • フィッシング攻撃を阻止するために、サードパーティユーザーのMFAを有効にします。

          ソリューション:

          データセキュリティ

          クラウド鍵管理

          透過的暗号化

          データアクティビティの監視

          ユーザー権限管理

          検出と分類

          IDおよびアクセス管理

          サードパーティアクセス制御

          ユーザー管理の委任

          外部認可

          HIPAA § 164.312 技術上の保護措置

            A, 1 | 個人またはプログラムによるPHIへのアクセスを制御する

            Thalesがお手伝いできること:

            • ポリシーにより、役割とコンテキストに基づいて、システムやデータへのアクセスを制限します。
            • リスクスコアリングに基づき、コンテキストに応じたセキュリティ対策を適用します。
            • 機密施設への物理的アクセスにスマートカードを活用します。
            • 顧客が会社のシステム内に保管された自身の情報に安全にアクセスできるようにします。
            • ポリシーにより、役割とコンテキストに基づいて、システムやデータへのアクセスを制限します。

            ソリューション:

            IDおよびアクセス管理

            ワークフォースアクセス管理

            顧客IDおよびアクセス管理

            データセキュリティ

            透過的暗号化

            データアクティビティの監視

            B | 電子PHI(ePHI)を含む、または使用するシステムの監査管理

            Thalesがお手伝いできること:

            • ハイブリッドITにおける構造化データと非構造化データのデータアクティビティを監視します。
            • 全システムへのすべてのアクセスイベントの監査証跡とレポートを作成し、ログをSIEMにストリームします。

            ソリューション:

            データセキュリティ

            透過的暗号化

            データアクティビティの監視

            D | 電子PHI(ePHI)にアクセスしようとする個人または事業体を認証する。

            Thalesがお手伝いできること:

            • 幅広いハードウェアおよびソフトウェア方式での多要素認証(MFA)を可能にします。
            • データ/アプリケーションの機密性に基づいて適応型認証ポリシーを構築し、展開します。
            • フィッシング攻撃や中間者攻撃から保護します。

            ソリューション:

            IDおよびアクセス管理

            多要素認証

            リスクベース認証

            PKIおよびFIDO認証システム

            2, ii | 保護対象の電子保健情報を暗号化および復号化する。

            Thalesがお手伝いできること:

            • オンプレミス、クラウド、ビッグデータ、コンテナ環境で保存データを暗号化します。
            • FIPS 140-2レベル3環境で暗号鍵を保護します。
            • データベース内の機密情報を仮名化します。
            • 機密コンピューティングを活用して、使用中のデータを保護します。
            • 機密データのアクティビティを完全に可視化し、誰がアクセスしているかを追跡し、その操作内容を監査して文書化します。
            • 暗号アジリティを維持するために、耐量子アップグレード向けに設計されたセキュリティ製品です。

            ソリューション:

            データセキュリティ

            透過的暗号化

            トークン化

            鍵管理

            シークレット管理

            ハードウェアセキュリティモジュール(HSM)

            データアクティビティの監視

            データガバナンス

            E. 1 | ネットワーク経由で送信されるPHIを保護する。

            Thalesがお手伝いできること:

            • 高速暗号化によって転送中データを保護します。

            ソリューション:

            データセキュリティ

            高速暗号化

            HIPAA § 164.514 保護対象保健情報の使用および開示に関するその他の要件

              A | 保護対象保健情報を非識別化する。

              Thalesがお手伝いできること:

              • 機密性の高いPHIを公開することなく集計データを分析する能力を維持しながら、本番環境またはテスト用に機密情報を仮名化およびマスキングします。

              ソリューション:

              データセキュリティ

              トークン化

              データマスキング

              関連リソース

              ソリューション概要

              HIPAAへの準拠をサポートするデータセキュリティソリューション

              HIPAAへの準拠をサポートするデータセキュリティソリューション - ソリューション概要
              電子書籍

              サイバー攻撃の大流行から医療・ライフサイエンスデータを保護

              サイバー攻撃の大流行から医療・ライフサイエンスデータを保護 - 電子ブック
              アナリストレポート

              2026年版Thales データ脅威レポート - グローバル版

              2026年版Thales データ脅威レポート

              その他の主要なデータ保護およびセキュリティ規制

              PCI HSM

              Global

              指令 | 現在有効

              PCI HSM仕様は、特に決済業界向けのHSMに関する一連の論理的・物理的セキュリティコンプライアンス基準を定義しています。PCI HSMコンプライアンス認定を取得するには、これらの基準を満たす必要があります。

              詳細を見る

              DORA

              Global

              規制 | 現在有効

              DORAは、金融機関のITセキュリティを強化し、サイバー攻撃の増大と深刻化に直面している欧州の金融セクターのレジリエンスを確保することを目的としています。

              詳細を見る

              データ侵害通知法

              Global

              規制 | 現在有効

              個人情報の紛失が発生した際のデータ侵害の通知義務は、世界各国で制定されています。通知義務の内容は法域によって異なりますが、ほぼ例外なく「セーフハーバー」条項が含まれています。

              詳細を見る

              GLBA

              Americas

              規制 | 現在有効

              グラムリーチブライリー法(GLBA)は1999年金融サービス近代化法としても知られ、金融機関に対し、情報共有の慣行についての顧客への説明と機密データの保護を求めています。

              詳細を見る

              コンプライアンス専門家に相談する

              お問い合わせ
              Partners Resources Blogs Sentinel Drivers