HIPAA とは？

HIPAA（Health Insurance Portability and Accountability Act of 1996）は、健康データまたは電子的保護医療情報（ePHI）を保護するために策定されました。これは、患者の医療記録やその他の健康情報を保護するためのプライバシー基準を提供するように設計された米国の法律です。HIPAAは、ePHIの定義、ePHIの使用と共有に関するルールとポリシー、および権限のない当事者に対するePHIの悪用や漏えいに対する罰則を規定しています。当初の目的は、同意を得たアクセスによるデータプライバシーの管理とePHIのポータビリティの確保による保険プランの変更を簡素化することでしたが、HIPAAは業界のニーズの変化に合わせて基本的なポリシーを確立しました。 

ePHIはヘルスケアのほとんどの標準形式に含まれており、機微な情報へのアクセスに関心を持つすべての関係者（脅威アクターを含む）が関与しているため、この法律はこれまで以上に重要なものとなっています。米国保健社会福祉省（HHS）情報セキュリティ局の2023年のレポートによると、2012年から2021年の間にヘルスケアデータ漏えいが増加傾向にあることが示されています。このレポートでは、ヘルスケアデータ漏えいが過去3年間で倍増したことも明らかになっています。医療機関や保険などの関連機関は、保護対象の医療情報（PHI）保管者です。そのため、これらの組織はサイバー犯罪者にとって魅力的な標的となっています。ヘルスケア業界に対するサイバー攻撃には、ランサムウェアやデータセキュリティイシューによる潜在的な脅威が含まれます。このような攻撃は、多くの場合、不正アクセスや最小権限アクセス制御の欠如から始まります。 

HIPAAは1996年8月21日に制定されました。しかし、それ以来、このフレームワークにはいくつかの大きな追加がありました。これには、セキュリティルール、プライバシールール、侵害通知ルール、OMNIBUS最終ルールが含まれます。HHSはHIPAAを規制していますが、公民権局（OCR）はHIPAAを施行しています。

「管理のシンプル化」では、HIPAAは次のようないくつかのコンポーネントで定義されています。

• トランザクションとコードセットの標準
• 識別子標準
• プライバシー規定
• セキュリティルール
• 強制ルール
• 侵害通知ルール

これらのルールと標準により、ePHIの保護の基準が設定されています。

ePHIの保護は、HIPAAコンプライアンスの中核です。Akamai のセキュリティソリューションは、インテリジェンスとエンドツーエンドの保護を提供し、ePHIの漏えいや偶発的な暴露からの保護を支援します。Akamai は、従来のエンドポイント検知を超える強力なゼロトラスト・ソリューションを提供してデータのセキュリティとプライバシーを保護することで、セキュリティチームがセキュリティ投資の効果と ROI を強化できるよう支援します。 

Akamai は、以下の 3 点を提供します。

• ゼロトラスト・セキュリティを実現し、IT 環境を包括的にカバーする、グローバルなセキュリティプラットフォーム

• 資産、アクセス、ネットワークフローの詳細な可視性

• 顧客が設定したセキュリティポリシーをきめ細かく適用

医療データを扱うビジネスアソシエイトを含め、あらゆるヘルスケア組織は、HIPAAの厳格なデータセキュリティおよびプライバシールールを満たす必要があります。組織がHIPAAの傘下にある場合、PHIへのアクセスと取り扱いに影響を与える規制を遵守することが求められます。影響を受けた組織がHIPAAのセキュリティおよびプライバシールールに違反した場合、侵害通知ルールによって拘束されます。500人を超えるユーザーが侵害の影響を受けた場合、インシデントの通知をOCRに渡す必要があります。侵害の詳細は、検索可能な一般向けWebサイト「Breach Portal: 安全でない保護された医療情報の漏えいに関するHHS長官への通知」で確認できます。

HIPAAの影響を受ける組織には、次のようなタイプがあります。

_病院

HIPAA プライバシールールは、病院が患者のプライバシー権を明確に説明することを義務付けています。さらに、セキュリティは患者データの保護に不可欠な要素であり、HIPAA Rule 45 CFR 164.502(b )、164.514(d)では、対象組織が「保護対象の医療情報への不必要または不適切なアクセスと開示を制限するために、必要に応じてその慣行を評価し、保護対策を強化する」ことを明確に規定しています。 

そのため、病院には不正なデータアクセスのリスクを最小限に抑える対策が必要です。データアクセスに対するゼロトラストのセキュリティアプローチは、病院環境内でPHIへのリスクを緩和するためのフレームワークを提供します。

_{ビジネスアソシエイト}

HIPAAに基づくビジネスアソシエイトとは、対象事業体に代わって「保護対象医療情報（PHI）を作成、受信、保守、または送信する」企業を指します。これには、ソフトウェアサプライヤー、クラウド・サービス・プロバイダー、請求代理店などの企業が含まれます。ビジネスアソシエイトは、技術的な対策と安全対策を使用してPHIの機密性、完全性、アクセシビリティを保護し、維持する必要があります。リスクを特定し、PHIのセキュリティを確保するためのセキュリティ対策は、HIPAAの要件です。ゼロトラストプラットフォームは、拡張されたデータエコシステム全体を可視化し、堅牢なセキュリティ対策を適用して不正なデータアクセスを防止します。

HIPAAは、ePHIのセキュリティとプライバシーを確保するための厳格な保護対策を講じています。HIPAAの原則を適用することで、対象組織と患者に一連のメリットがもたらされます。最も重要なメリットは次のとおりです。

患者のプライバシーの向上：患者の健康に関する個人情報や機微な情報は、知る必要のある人だけに限定されます。特定の条件下では、患者は健康データの共有に同意する必要があります。

ロールベースのアクセスと最小権限の原則を適用：データは、知る必要のある人だけが利用できます。ゼロトラストのセキュリティは、これらの原則の適用に役立ちます。

堅牢な認証を要求：HIPAAでは、アクセス制御ポリシーの適用に役立つ堅牢な認証をすべての対象エンティティに実装する必要があります。

マルウェアからの防御：ランサムウェアは、病院やその他の医療機関を攻撃します。これにより、ePHIは脆弱になります。HIPAAコンプライアンスは、マルウェア感染から保護します。

Akamaiは、ゼロトラストセキュリティを提供する包括的なソリューションファミリーを提供し、HIPAAコンプライアンスの遵守と維持を支援します。Akamaiの顧客は、Akamaiの先進的なセキュリティソリューションをクラス最高のソリューションとして評価しています。ヘルスケア業界の顧客は、Akamaiを使用してePHIを保護し、最小権限と堅牢なアクセス制御の原則を適用しています。Akamai のセキュリティポートフォリオは、ポイントソリューションのコレクションから、包括的で強力なゼロトラスト・プラットフォームへと成長しました。Akamaiのワールドクラスのソリューションは、データセキュリティ、可用性、整合性、機密性、プライバシーをカバーするHIPAAのセキュリティおよびプライバシールールをサポートするためのセキュリティ制御を提供します。Akamaiは、顧客のIT環境と拡張されたインフラ全体を詳細に可視化し、ビジネスアソシエイトを含めます。

Akamai Cloud: 広範に分散したエッジおよびクラウドプラットフォームは、クラウドコンピューティング、セキュリティ、コンテンツデリバリーをサポートします。Akamai Cloudは、HIPAAの対象となる組織がクラウドコンピューティングを使用し、コンプライアンスを維持できるように設計されています。

Akamai Identity Cloud：プライバシーとセキュリティは、設計上Akamai Identity Cloudに組み込まれています。このソリューションは、非常にスケーラブルなアイデンティティ管理を提供し、複雑なユースケースに対応します。Identity Cloudは、顧客データを安全性の高い方法で保存し、最小権限の原則を適用してサイバー攻撃を緩和します。さらに、このソリューションには、HIPAA、GDPR、CCPA、PIPEDAなどの規制に準拠するための同意管理機能が組み込まれています。

HHSは、HIPAA対象エンティティを次の3つのクラスに分類します。

1. ヘルスケアプロバイダー：医師、クリニック、歯科医、薬局を含む
2. 健康プラン：健康保険会社と会社の健康プランを含む
3. ヘルスケアクリアリングハウス：別のエンティティからの非標準の健康情報を処理する組織 

PHIの保護は、OMNIBUSルールによって拡張され、健康データを処理するビジネスアソシエイトが含まれます。

HIPAA規制に基づく電子保護医療情報（ePHI）とは、個人の特定が可能な健康データまたは個人の健康情報を指します。HIPAAには18の「識別子」が含まれています。これらの識別子は、HIPAAがカバーするさまざまなタイプの識別データを表します。情報の種類には、患者名、メールアドレス、社会保障番号、電子カルテ（EHR）、医療記録、生体認証データなどがあります。このデータを含むレコードをリリースするためには、患者の認可が必要です。

ePHIは、HIPAAプライバシー規則のHIPAAセクション164.514(a)にある「匿名化基準」を使用して匿名化できる場合、HIPAAコントロールから除外されます。

PHIを作成、受信、使用、または維持するHIPAA対象エンティティは、HIPAAセキュリティルールを遵守する必要があります。このルールには、ePHIの機密性、完全性、セキュリティを確保するための管理上、物理的、技術上の保護が明示的に含まれています。HIPAAへの準拠とPHIの保護に役立つ技術的な保護対策には、次のものがあります。

• ePHIへのアクセス制御
• 個人またはエンティティの認証
• 伝送セキュリティ（暗号化など）

その他のセキュリティ対策には、従業員のコンプライアンストレーニングと意識向上、物理的なアクセス保護などがあります。

HIPAAプライバシールールは2000年12月に追加され、2002年8月に更新されました。対象組織による個人の特定が可能な健康情報を保護し、保護された健康情報の開示を管理するためのプライバシーフレームワークを提供します。関連データにはプライバシールールも適用されます。たとえば、

• 過去、現在、および将来の身体的または精神的状態
• 疾患に対する治療
• 治療に関する支払い情報

HIPAAおよびHITECH法（Health Information Technology for Economic and Clinical Health Act）は、ePHIの保護に関連しています。しかし、HITECHは、HIPAA暗号化コンプライアンス要件と、「保護されていない」（暗号化されていない）PHIのデータ漏えいの開示を拡大しています。つまり、患者は自分のPHIの開示について通知を求めることができます。

HIPAAには、HIPAA違反で侵害通知をトリガーするものを定義する漏えい通知ルールがあります。漏えい通知の基本ルールは次のとおりです。

• 500人以上の個人に影響を与える侵害：対象組織は、侵害後60日以内に不合理な遅延なく長官に通知しなければなりません。
• 500人未満の個人に影響を与える侵害：対象組織は、毎年、ただし侵害が発生した年の末日から60日以内に、長官に通知できます。

HIPAA漏えい通知ルールは、HIPAA 45 CFR §§ 164.400-414に記載されています。

HIPAA違反に対する罰則には、最大でHIPAA違反ごとに$50,000 の罰金が科せられ、刑事罰が含まれる場合があります。