HIPAAセキュリティルール

1996年の医療保険の相互運用性と説明責任に関する法律 (HIPAA) に基づいて、Security Standards for the Protection of Electronic Protected Health Informationが制定されました。これは、セキュリティルールとも呼ばれ、電子形式の個人保護対象保健情報 (PHI) の保護を目的としています。

PHIは、個人の特定に使用可能な医療情報で構成されています。また、人口統計情報、病歴、物理的および電子的な健康記録、詳細な保険情報も含まれています。

HIPAAセキュリティルールとは

HIPAAセキュリティルールは、対象事業者とその協力企業によって受信、使用、維持、または送信される個人の電子保護対象保健情報 (ePHI) を保護するためのセキュリティ基準を規定したものです。

対象事業者と協力企業は、HIPAAセキュリティルールに加え、個人を特定できる医療情報のプライバシー基準（HIPAAプライバシールール）も遵守する必要があります。これら両方の法律への遵守を怠ると、民事または刑事のさまざまな罰則が科せられる可能性があります。

HIPAAセキュリティルール要件を満たすには、データ損失防止においてヘルスケアプロバイダーを支援し、電子保護対象保健情報 (ePHI) の機密性を維持するための管理上、技術的、物理的な保護対策が導入されている必要があります。それぞれの保護対策をさらに詳しく見ていきましょう。

管理上の保護対策

管理上の保護対策では、内部アクション、ポリシー、手順など、ePHI保護を制御する数多くの側面に対処します。従業員が個人の医療情報をどのように扱うべきかも規定します。以下に示すように、従うべき基準が9つあります。

セキュリティ管理プロセス

セキュリティ管理プロセスは、ポリシーを実装することで、セキュリティ違反を防止および修正することを目的としています。以下の事項を扱います。

• リスク分析
• リスク管理
• 制裁ポリシー
• 情報システムアクティビティレビュー

担当セキュリティ責任

担当セキュリティ責任とは、HIPAAセキュリティルールを実装し、そのために必要なすべてのポリシーと手順を策定するサイバーセキュリティ担当者の責任のことです。担当者となった職員は、セキュリティ責任者とプライバシー責任者の両方の役割を果たすことがあります。

従業員セキュリティ

このポリシーにより、対象となるすべての従業員がePHIにアクセスできるようになります。また、各人の個人情報の管理に関する許可手順と終了手順も規定します。ユーザーとコンピューターシステムにePHIを表示する権限を許可します。

情報アクセス管理

従業員セキュリティと同様に、情報アクセス管理により従業員にePHIへのアクセスが許可されます。最小特権の原則に従って、検証された責任者のみが限られた時間にデータにアクセスできます。

セキュリティ意識向上トレーニング

管理上の保護対策やその他のサイバーセキュリティポリシーを策定しても、それを運用する知識がなければ効果がありません。セキュリティ意識向上に関するトレーニングを実施すると、医療スタッフは関連するサイバーセキュリティ手順について常に最新の情報を把握できるようになります。また、HIPAAセキュリティルールを実施するにあたっての従業員の責任も定義できます。トレーニングで扱う内容は一般に次のとおりです。

• セキュリティに関する注意事項
• 悪意のあるソフトウェアから安全を確保する方法
• ログインのモニタリング
• パスワード管理

セキュリティインシデント手順

インシデントは、「情報システム内の情報にアクセスを試みるか、アクセスに成功して情報を使用、開示、改ざん、破棄したり、システム運用を妨害したりすること」であると定義されています。この基準では、セキュリティインシデントを特定して封じ込めるための手順を定義します。

コンティンジェンシープラン

コンティンジェンシープランとは、緊急事態（つまり、火事、破壊行為、自然災害、システム障害）が発生したときでもePHIデータを利用できるようにする管理上の保護対策のことです。コンティンジェンシープランには次のものがあります。

• データバックアッププラン
• 障害復旧プラン
• 緊急モード運用プラン
• テストおよび修正手順
• アプリケーションとデータの重要度分析

評価

セキュリティルールに基づいてシステムをモニタリングして評価するためのプロセスを評価と呼びます。これは、ePHIのセキュリティに影響を与える環境をモニタリングする継続的なプロセスです。

協力企業契約およびその他の取り決め

HIPAAセキュリティとプライバシールールを遵守する組織の協力企業は、ePHI保護についての書面による保証の提示が求められる場合があります。

物理的保護対策

物理的保護対策は、HIPAAセキュリティルールの情報セキュリティの側面を管理します。保護対策の対象となるのは、ePHIを保存する物理構造とデバイスです。具体的な物理的対策は、組織の規模と医療行為の性質によって異なるため、画一的なアプローチではありません。一般に、物理的保護対策で扱われるの数個の領域です。

施設のアクセス制御

患者情報が物理的に存在する場所へのアクセスを管理する施設が必要です。この要件では、物理的な施設へのアクセスを制御する担当者、手段（ドアロック、セキュリティ責任者、ビデオモニタリングなど）、緊急事態対応オペレーションを特定します。このポリシーでは次のものに対処します。

• 施設セキュリティ計画
• アクセス制御と検証の手順
• メンテナンス記録

ワークステーションの使用状況とデバイスのセキュリティ

ワークステーションのセキュリティでは、ePHIを保存するためのコンピューターとワークプレイスツールの使用状況とセキュリティを検討します。HIPAAセキュリティ要件では、ePHIにアクセスできる従業員の環境、ワークフロー、タイプ（オンサイトまたはオフサイト）を検討します。

同様に、デバイス基準では職場の内外でePHIが記録されている電子メディアとハードウェアシステムを扱う方法について説明します。デバイスセキュリティで主要な要件となるのが、電子メディアの廃棄と再利用の管理です。メディアの廃棄ではデータを消去する方法を規定し、メディアの再利用ではePHIを保存する電子メディアを再利用するための手順を定義します。

この他のデバイスセキュリティ要件は次のとおりです。

• 説明責任（ハードウェアと電子メディアに関する記録）。
• バックアップと保管（ePHIのアクセス可能なコピーを作成すること）。

技術的保護対策

これは、HIPAAセキュリティルール保護対策の技術的な側面です。技術的保護対策は、患者データを保存するテクノロジーを保護します。事業者がどのテクノロジーソリューションを使用しなければならないかを規定するのではなく、テクノロジーツールが保護しなければならない具体的な側面を示します。

技術的保護対策を実装するには、以下の基準に対応する必要があります。

アクセスおよび監査の制御

アクセス制御では、アクセス権が付与された個人/ソフトウェアプログラムへのアクセスのみを許可します。この基準により、組織はユーザーのアクティビティを特定して追跡できます。アクセス制御には、ePHIを取得するための緊急手順も含めます。アクセス制御を構成する要件にはこのほか、自動ログオフ（電子セッションの終了に関するポリシー）と、暗号化と復号化のプロセスがあります。

監査制御では、ePHIに関連するソフトウェアとハードウェアのアクティビティについて包括的なレポートが提供され、これにより、組織は特定のユーザーが特定のファイルにいつアクセスしたかを把握できます。

認証と整合性の制御

技術的保護対策は、認証と整合性にも対応します。認証はユーザーのアイデンティティや認証情報が正しいことを保証するものであり、整合性は許可のない変更、破棄、破損からePHIを保護するものです。

組織が患者データを扱う場合は、チェックサム検証やデジタル署名など、データ整合性を自動的に確認するテクノロジープラットフォームを実装する必要があります。この基準ではこのほか、内部システムへのアクセスを許可する前に、ユーザーのアイデンティティを二重チェックする手段として多要素認証 (MFA) を実施する必要があります。

送信セキュリティ

送信セキュリティは、移動中のePHIを保護します。保護の対象となるのは、Eメール、ブラウザ、エンドポイントネットワークです。その際の主なHIPAAセキュリティ要件は、整合性制御と暗号化です。前者はデータの使用中にデータが改ざんされるのを防ぎ、後者はシークレットコードを使用して送信中のデータを保護します。

クラウドストライクとHIPAA

HIPAAセキュリティルールの実装には多くの利点がある一方で、医療機関やその他の対象事業者にとってコンプライアンスの維持はたいへんな作業であることがあります。その要因として、HealthITSecurityによる2016年の調査で強く指摘されているように、内部と外部の脅威があります。

インサイダーや従業員は通常、特にリモートワークのときに生産性を高められるように、システムとアプリケーションへのアクセスについて暗黙的に信頼されています。ただし、制限のないアクセスは、悪用可能なサイバーセキュリティギャップにつながる可能性があります。さらに言うと、脅威には、単なるエラーであり悪意の伴わないものもあります。例えば、Verizonが先ごろ発表したデータ漏洩/侵害調査報告書によると、悪意をもってアクセス権を誤用するというよりも、本来アクセスすべきでないデータに誤ってアクセスしてしまう可能性が、ヘルスケア業界の従業員においては2.5倍高いとのことです。

CrowdStrike Falcon^®などのソリューションを実装すると、医療機関はサイバーセキュリティインシデントを防御、検知、対応して、持続的標的型攻撃 (APT攻撃) やランサムウェアなどの脅威からePHIを保護できるようになります。Falconは、次世代アンチウイルス (NGAV) とEDR（エンドポイント検知・対応） を組み合わせて、データを保護します。加えて、Falcon^® Device Controlを使用すると、デバイスの安全な利用と説明責任を強化することができます。デバイスコントロールにより、USBデバイスのコンテキストを可視化して、ePHIの不要な開示や操作を防ぐことができます。さらに、デバイス自体をブロックすることもできるため、データへの不正アクセスや悪意のあるソフトウェアの導入を防ぐことができます。Falcon Fusionは、CrowdStrike Falcon^®プラットフォームに搭載されており、複雑なインシデント対応ワークフローを自動化して、インシデント修復の平均時間を短縮できます。企業は、ネットワークを効果的にモニタリングできるよう、HIPAA準拠のファイアウォールと暗号化ポリシーの導入も検討します。

内部のサイバーセキュリティポリシーにかかわらず、セキュリティインシデントは避けられないものです。そのため、ePHIが関わるセキュリティインシデントと侵害をすばやく軽減できるよう、インシデント対応計画を策定する必要があります。CrowdStrike Falcon^®では、インシデント対応 (IR) 計画を策定し、HIPAA原則に沿ってePHIが関わるインシデントと侵害を特定し、封じ込めて対応できます。また、SIEM（セキュリティ情報およびイベント管理）ツールをCrowdStrike Falcon^®と統合するためのコネクターも備えているため、データを追跡してリアルタイムにセキュリティの異常を検知できます。

全体的に、会社の目的とビジネス目標を断念することなくすべての要件と保護対策を維持できるよう、HIPAAセキュリティルールの遵守に向けたアプローチは包括的なものでなければなりません。