テクノロジーは進化し、データ管理における重要なツールとなった。企業が機密情報を含む物理的なファイルを管理していた時代は終わった。現在、テクノロジーの進歩に伴い、医療機関は電子カルテ（EHR）を採用し、個人や医療提供者が遠隔地から情報にアクセスできるようになっている。しかし、このデジタル変革は新たな脆弱性をもたらす。このような脅威に対抗し、電子化された保護されるべき医療情報（ePHI）の安全な管理を保証するために、HIPAA技術的セーフガードが開発された。.

HIPAAにおけるPHIとは？

PHI（Protected Health Information）とは、HIPAAの対象事業体または業務関係者によって使用される、特定可能なあらゆる健康情報のことである。保護されるべき健康情報とみなされるHIPAAデータは18種類あり、PHIの例としては、個人の名前、住所、医療記録などがある。

PIIとPHI：何が違うのか

個人識別情報（PII）は、PHIと密接な関係にあります。これは、特定の個人を識別するために使用できるあらゆる患者データと定義されます。これには、社会保障番号や患者識別番号などのIDが含まれます。要するに、PIIは、ある人の身元を識別または追跡するために使用される。基本的に、この2つの違いは、PHIは、この識別可能な健康情報を持つHIPAAの対象事業体に関係するということである。

5つのHIPAA技術的保護措置

HIPAA管理簡素化規則本文に定義されているように、技術的保護措置とは、「電子的な保護対象医療情報を保護し、それへのアクセスを制御する技術およびその使用に関する方針および手順」である。このセーフガードを遵守するために、対象事業体は以下の技術的セーフガードに従わなければならない。

HIPAA技術的保護措置アクセス制御

技術的セーフガードの一部であるアクセス制御は、データ漏洩を防止する上で重要な役割を果たす。ePHIへの不正アクセスを制限し、データ漏洩のリスクを低減します。HIPAAセキュリティ・ルールに準拠し、企業は医療情報へのアクセスを制御する手順を実施する。先端技術の出現により、企業はバイオメトリクスやAIベースのアクセス制御システムのようなシステムを利用できるようになり、より高度なセキュリティを提供できるようになりました。ワークステーションや情報システムの自動ログオフだけでなく、固有名や固有ユーザー識別の要求、これらのシステムの物理的な保護などのポリシーを導入する。

HIPAA技術的保護措置：監査統制

アクセス制御がパンくずを確実に残す一方で、監査制御はパンくずを追跡する責任を負う。これにはいくつかの方法がある。最も一般的な方法の一つは、電子的なPHIを含むファイルへのアクセスや使用に関連する活動 を記録することである。この情報を調べるのに、苦情が表面化するまで待たないことが重要である。積極的な組織は、セッション活動の監査タスクをITチーム、マネジャー、チームリーダ ー、あるいはこの分野を専門とする監査人に割り当てている。

優れた監査管理の仕組みは、単にデータを収集するだけではありません。要求に応じてレポートを作成することも可能でなければならない。このデータには、特定のファイルに何人がいつアクセスしたかが含まれる。また、コンプライアンス違反が疑われる特定の従業員のセッション活動を調べることもできる。コンプライアンス違反が意図的なものである場合、監査報告書は、違反が会社全体の問題やポリシーの甘さではなく、一従業員の行為であったことを示すことにより、組織を保護するのに役立つ。

監査統制は、対象事業体や調査官が脆弱性につながるパターンを発見するのに役立つかもしれない。これは意図的でないこともある。例えば、新入社員が会社のポリシーにある技術的な推奨事項を完全に理解していなかったり、従っていなかったりすることがある。

HIPAA 技術的保護：PHIとデータの完全性

HHSは、データの完全性を"不適切な改変または破壊"を経験していないデータの特徴と定義している。HHSは、このような場合の主な懸念事項の一つとして、患者の安全性の問題を挙げている。情報の欠落や改ざんは、誰かが誤った診断、治療、投薬を受ける原因となる可能性がある。

専門家は、ハッカーや医療スタッフのような他人の悪意ある行為を疑う可能性が高い。しかし、データが勝手に破損することもある。システムの不具合やファイル保存時のエラーによって、無許可で意図しない変更が加えられることがある。

データの完全性を維持する最善の方法の一つは、すべてのPHIデータを少なくとも6年間はオフサイトで保管することです。データはオリジナルの形式で保存し、変更可能であってはならない。新しいデータがあれば、新しいファイルを作成する必要があります。

HIPAA技術的保護措置個人または団体の認証

アクセス制御、監査制御、完全性を遵守するために、対象事業体は認証機能に投資する必要がある。このステップに取り組むには、いくつかの方法がある。最も一般的な方法には、電子メール、電話、アプリやウェブサイトの使用、組織を直接訪問することなどがある。

認証は、従業員と同様に患者にとっても重要である。先に述べたように、個々のログインによって、セッションの活動を簡単に追跡することができる。認証に関しては、特定の情報にアクセスすべきでない人が、システムに入るためのパスワードにアクセスできないという前提がある。

人々が電話、電子メール、または直接訪問する場合、ここでも証拠の提示が不可欠である。本人確認情報には、氏名と顔写真が記載された政府発行の身分証明書、社会保障番号、その他の個人情報が含まれる。例えば、保険会社によっては、生年月日や住所を求められることがある。

HIPAA技術的保護措置：送信セキュリティ

PHIの保護で最も難しいことの一つは、PHIが動いているときである。当事者間でデータを移動させることは、たとえその当事者双方が許可されている場合であっても、脆弱性を生む。一方の当事者は、もう一方の当事 者ほどデータを保護しないかもしれない。また、接続を提供するネットワークにも弱点があるかもしれない。伝送の弱点は、サイバー犯罪者が企業をハッキングする必要なしにデータを傍受し、盗むことを容易にする可能性がある。

HHSは、伝送中のデータを保護するために、主に2つのツールを使用することを推奨している。1つ目は完全性管理、2つ目は暗号化である。完全性管理は、送信したデータと受信したデータが同じであることを保証するのに役立つ。組織は、ネットワーク通信プロトコルを更新することで、これを実現できる。メッセージ認証コードも効果的である。

E暗号化はもう少し複雑である。これは、データを元の形から、権限のない人が理解できない形に変えることを含む。組織はまた、データの完全性を損なうことなく、これを達成しなければならない。ありがたいことに、対象事業体が使用できるデータ暗号化ツールにはいくつかの種類がある。

注意すべき重要な点は、暗号化ツールが意図したとおりに機能するためには、送信者と受信者の両方が同じソフトウェアまたは互換性のあるソフトウェアにアクセスできなければならないということです。組織全体で使用するツールは1つに絞るのがベストである。

技術的セーフガードが重要な理由

PHIの保護が重要である主な理由は2つある。つ目は倫理、2つ目は法律である。倫理的観点からは、患者にはプライバシーの権利がある。不正アクセスはこれを侵害し、非常にセンシティブな情報が悪人の手に渡ることになりかねません。データの破損は、患者の生活に悪影響を及ぼし、顧客や企業への信頼を変えてしまうかもしれません。

技術的なセキュリティ保護措置の目的とは

法的側面に関して言えば、HIPAAプライバシー規則により、PHIを取り扱う企業はこのデータをより適切に保護することが義務付けられています。HIPAAに違反した企業やその従業員は、訴えられる可能性があります。罰金は$250,000に上ることもある。また、これに該当する組織には3つのタイプがあることにも注意：

• ヘルスケア・クリアリングハウス

• 医療計画プロバイダー

• ヘルスケア・プラン・プロバイダー

AHHSによると、プライバシー・ルールは、対象事業体がデータ保護のために取るべき具体的な行動について詳述していない。HHSによれば、プライバシー・ルールは、対象事業者がデータを保護するために取るべき具体的な行動について詳述していない。それでも、上記で取り上げた5つの技術的セーフガードのほとんどは、HHSの勧告に従っている。

PHI基準の技術的セーフガードを満たす方法

HIPAAの技術的セーフガードについては、技術的なバックグラウンドがなくても、ほとんどの専門家が一般的な理解を持っています。一方、適切な実装には強力な技術的ノウハウが必要である。そのため、企業は必要なスキルを備えたパートナーを選ぶ必要があります。

PubNubでは、相互接続性を向上させるだけでなく、データの安全性を優先したAPIをクライアントのために構築しています。御社と御社の顧客や患者のニーズを満たすために、完全にカスタマイズ可能な製品を提供しています。お問い合わせフォームをご利用の上、貴社の顧客とPHIを保護するために弊社がどのようなお手伝いができるか、より詳しい情報を入手してください。

目次

HIPAAにおけるPHIとはPII vs PHI：5つのHIPAA技術的セーフガードHIPAA技術的セーフガード：アクセス・コントロールHIPAA技術的保護措置：監査コントロールHIPAA技術的セーフガード：PHIおよびデータの完全性HIPAA技術的保護措置：個人または団体の認証HIPAA技術的保護措置：送信セキュリティ技術的安全保護が重要な理由技術的安全保護の目的PHIの技術的安全保護基準を満たす方法

PubNubはどのようにお役に立ちますか？

この記事はPubNub.comに掲載されたものです。

PubNubのプラットフォームは、開発者がWebアプリ、モバイルアプリ、IoTデバイス向けにリアルタイムのインタラクティブ機能を構築、提供、管理できるように支援します。

私たちのプラットフォームの基盤は、業界最大かつ最もスケーラブルなリアルタイムエッジメッセージングネットワークです。世界15か所以上で8億人の月間アクティブユーザーをサポートし、99.999%の信頼性を誇るため、停電や同時実行数の制限、トラフィックの急増による遅延の問題を心配する必要はありません。

PubNubを体験

ライブツアーをチェックして、5分以内にすべてのPubNub搭載アプリの背後にある本質的な概念を理解する

セットアップ

PubNubアカウントにサインアップすると、PubNubキーに無料ですぐにアクセスできます。

始める

PubNubのドキュメントは、ユースケースやSDKに関係なく、あなたを立ち上げ、実行することができます。