HIPAA 準拠のクラウドストレージソリューション:医療コンプライアンスの維持

病院、診療所、その他の医療機関は、過去数年間、クラウドの採用に向けて険しい道のりを歩んできました。パブリッククラウドの使用やサードパーティのサービスプロバイダーとの連携に伴う暗黙のセキュリティリスクにより、医療業界でのクラウドの採用が大幅に遅れました。

医療機関の 84% がクラウドサービスを使用している今日でも、適切な HIPAA 準拠のクラウドプロバイダーを選択することは頭の痛い問題です。

クライアントのデータが米国に保存されているすべての医療機関は、HIPAA コンプライアンスとして知られる一連の規制の対象となります

現在、患者の機密データを扱う組織は、HIPAA ストレージ要件を順守する必要があります。

HIPAA コンプライアンスとは

HIPAA 規格は、医療データの保護を提供します。ヘルスケア組織または健康ファイルを扱う企業と協力しているベンダーは、HIPAA プライバシー規則に従う必要があります。医療データや患者データにアクセスできる場合、ガイドラインを遵守しなければならない多くの補助産業もあります。ここで、HIPPA 準拠のクラウドストレージが重要な役割を果たします。

1996 年、「米国保健福祉省（「HHS」）は、1996 年の医療保険の携行性と説明責任に関する法律（HIPAA）の要件を実装するためのプライバシールールを発行しました。」プライバシー規則は、患者の「電子的に保護された健康情報」と、プライバシー規則の対象となる組織または「HIPAA 対象事業体」がどのように遵守しなければならないかについて説明しています。

ほとんどの医療機関は、何らかの形の電子機器を使用して医療を提供しています。これは、情報が紙のチャートではなく、コンピューターまたはクラウドに存在することを意味します。一般的な企業やほとんどの営利団体とは異なり、医療機関は最も信頼性の高いデータバックアッププラクティスを採用することが法的に義務付けられています。

では、これはクラウドプロバイダーの選択にどのように影響しますか?

クラウドコンピューティングへの移行を計画する際、医療機関はベンダーが特定のセキュリティ基準を満たしていることを確認する必要があります。

これらの基準は、企業が HIPAA 対応になるために満たして維持する必要がある要件としきい値に変換されます。これらは、一連の認定、SOC の監査と報告、暗号化レベル、および物理的なセキュリティ機能に帰着します。

HIPAA クラウドストレージソリューションは、準拠をシンプルかつ簡単にするために機能する必要があります。このようにして、医療機関は心配事が 1 つ減り、重要なプロセスの改善に集中できます。

HIPAA クラウドストレージとデータバックアップの要件

HIPAA-HITECH 法の規則に基づいて運営されている企業と取引を行うクラウドサービスプロバイダーは、ビジネスアソシエートと見なされます。そのため、クラウドコンプライアンス基準内にあり、関連する基準に準拠していることを示す必要があります。ベンダーは患者情報を直接処理しませんが、保護された医療情報（PHI）を受け取り、管理し、保存します。この事実だけでも、HIPAA-HITECH 法のガイドラインに従って保護する責任があります。

HIPAA に準拠するということは、同法が提案するすべての規則と規制を実装することを意味します。この法律の対象となるサービスを提供するベンダーは、適合を証明する文書を提供する必要があります。この文書は、クライアントだけでなく、Office for Civil Rights (OCR) にも送信する必要があります。 OCR は、米国教育省の下位機関であり、医療および福祉プログラムへの平等なアクセスを推進しています。

HIPAA 準拠のクラウドストレージとの連携を検討している医療業界の組織プロバイダーは、自らを守るためにコンプライアンスの証明を要求する必要があります。プロバイダーがすべての標準に従っている場合、適切なドキュメントをあなたと共有することに何の不安もありません。

クラウドホスティング組織の HIPAA 要件は、ビジネスアソシエイトの要件と同じです。それらは、管理上、物理的、および技術的なセーフガードの 3 つのカテゴリに分類されます。

行政上の保護措置: これらのタイプのセーフガードは、ビジネスが運用上の観点からどのように準拠するかを概説する透過的なポリシーです。運用には、セキュリティリスク評価の管理、適切な手順、災害および緊急時の対応、パスワードの管理が含まれます。
物理的な保護: 通常、物理的な保護手段は、顧客データを保護するために設置されているシステムです。これには、適切な保管、データバックアップ、およびデータセンターでのメディアの適切な廃棄が含まれる場合があります。ハードウェアまたはソフトウェアストレージデバイスが存在する施設の重要なセキュリティ対策も、このカテゴリの一部です。
技術的な安全対策: このセーフガードグループは、データリスクを最小限に抑え、保護を最大化するために実装された技術的機能を指します。一意のログイン情報、自動ログオフポリシー、PHI アクセスの認証を要求することは、導入すべき技術的な保護措置のほんの一部です。

HIPAA 認定のクラウドプロバイダが準拠している理由

HIPAA 準拠のファイルストレージハードウェアまたはソフトウェアを提供することは、スイッチを切り替えるほど単純ではありません。企業が準拠するには、膨大な時間と労力がかかります。

HIPAA 認定のクラウドストレージプロバイダーを探す際に重要な要素は、ビジネスアソシエイト契約を結ぶ意思があることです。 BAA として知られるこの契約は、PHI の送信、処理、または受信を計画している 2 つの当事者間で締結されます。その主な目的は、保護された健康情報の悪用につながる法的な影響から両当事者を保護することです。

ビジネスアソシエイト契約の BAA は、HIPAA の全体的な基準を追加、削除、または矛盾してはなりません。ただし、両当事者が同意する場合は、特定の用語を補足することは許容されます。また、準拠したビジネスアソシエート契約の基礎を構成し、契約が法的拘束力があると見なされるために残されなければならないいくつかの主要な条件もあります。

クラウドプロバイダーによって有効にされた暗号化のレベルには、適切な注意が必要です。会社は、転送中だけでなく保管中もファイルを暗号化する必要があります。 Advanced Encryption Standard (AES) は、ファイルの保存と共有に使用する必要がある最小レベルの暗号化です。 AES は Data Encryption Standard (DES) の後継であり、1997 年に National Institute of Standards and Technology (NIST) によって開発されました。これは、さまざまなセキュリティインシデントに対する防御を強化する高度な暗号化アルゴリズムです。

準拠しているクラウドストレージベンダーの選択

HIPAA 準拠のプロバイダーを選択するときは、前のセクションで概説した対策を満たす HIPAA ウェブホスティングを探します。 PHI データの安全性を確保するために、データストレージのセキュリティプラクティスについて彼らに尋ねてください。

潜在的なベンダーはサービスレベルアグリーメントを提供していますか?

SLA 契約は、通常 24 時間以内に脅威に対応することが保証されていることを示しています。 PHI を送信する企業として、インシデントが発生した場合にプロバイダーがどれだけ迅速に通知できるかを知る必要があります。違反通知を早く受け取るほど、より効率的に対応できます。

クラウドベースの電子医療記録は安全なデータセンターに保管する必要があることを忘れないでください。

インシデントが発生した場合のセキュリティ対策はどのようなものですか?施設へのアクセスはどのように決定されますか?物理的なセキュリティを実装および実施する方法の詳細な概要を尋ねます。データ侵害が発生した場合の対応方法を確認してください。データを危険にさらす前に、関連するすべての詳細を取得してください。

選択したベンダーは、災害復旧および継続計画も実施している必要があります。

継続計画は、自然災害、データ侵害、およびその他の予期しないインシデントによる損失を予測します。また、そのようなイベントが発生した場合に必要なプロセスと手順も提供します。データ損失防止のベストプラクティスに関しては、提案された方法が厳密なテストを受ける頻度を決定することも不可欠です。

ヘルスケア医療記録のセキュリティ – どうすれば確実に確認できますか?

コンプライアンスを真剣に考えているクラウドプロバイダーは、認定が最新であることを保証します。標準や関連する規制に従っているかどうかを確認するには、いくつかの方法があります。

1 つの方法は、独立した第三者を使用して潜在的なプロバイダーを監査することです。監査により、潜在的なリスクに注意が向けられ、ベンダーのセキュリティ戦術が明らかになります。医療記録プロバイダーのクラウドストレージは、コンプライアンスを維持するために脅威を保護するために、システムと環境を定期的に監査する必要があります。「定期的に」という用語は法律で定義されていないため、少なくとも四半期ごとに文書と情報を要求することが不可欠です。また、最新の監査の詳細が記載されたレポートやドキュメントに常にアクセスできるようにする必要があります。

会社が準拠しているかどうかを判断する別の方法は、従業員の資格を評価することです。すべてのスタッフは、最新の基準について教育を受け、特定の保護手段に慣れる必要があります。これらが整っていなければ、組織はコンプライアンスを達成できません。

潜在的なベンダーの厳しい質問をしてください。 PHI にアクセスできる人は誰でも、安全なデータ転送方法に関する適切なトレーニングを受ける必要があります。トレーニングには、保存場所に関係なく、患者情報を安全に暗号化する機能を含める必要があります。

HIPAA 準拠の企業は、データにアクセスするためのバックドアや、アクセス管理プロトコルをバイパスする許可を求めることはありません。このようなベンダーは、追加の認証またはアクセスポイントが必要になるリスクを認識しています。認証プロトコルとパスワード要件へのアクセスを侵害することは重大な違反であり、決して起こるべきではありません。

クラウドバックアップとストレージに関するよくある質問

潜在的なクラウドベンダーに、HIPAA コンプライアンスを評価するためにどの方法を使用しているか尋ねてください。

HIPAA ポリシーテンプレートは使用できますか?プロバイダーはコンプライアンスに関するガイダンスとフィードバックを提供していますか?セキュリティの規則や規制を最新の状態に保ち、認識していることをどのように確認していますか? HIPAA 準拠のメールを提供していますか?

会社には常勤の従業員がオンプレミスにいますか?

現場に常駐し、24 時間体制で利用できることは、高度なセキュリティを確保するためのメカニズムです。対応可能な担当者は、PHI セキュリティの信頼性を高め、必要に応じて迅速な対応を保証します。また、データ保護を担当する会社が必要な基準に精通していることを知っていると安心できます。

また、適切なプロバイダーは、変更に迅速に対応し、PHI や PHI へのアクセスに直接影響することを通知する必要があります。

データの削除は、適切な HIPAA ビジネスアソシエートを選択する上で重要な要素です。情報が消去されるまでの期間はどのくらいの期間保持されますか?サーバーが停止または消去された場合、どのようにデータ漏洩を防ぎますか?データは削除前に提供されていますか?この法律は、必要な時間の長さに関するガイドラインを提供していませんが、あなたとあなたのプロバイダーが一緒に到達しなければならない合意です.

あなたの知識に加えて、潜在的なプロバイダーが HIPAA 規制にどれだけ精通しているかを判断してください。クラウド企業は最新の規制変更に対応できないことが多いため、一貫して献身的に取り組んでいる企業を探す必要があります。

買い物をする。最初の引用に満足しないでください。

多くの企業は、HIPAA セキュリティを宣伝していますが、測定基準に達していないことに気づきました。調査を行い、質問をして、ニーズに最適なベンダーを決定してください。