HIPAA / HITECH

要約

米国の医療データを扱うソフトウェアを構築していますか？HIPAAコンプライアンスは必須です。

セキュリティ規則 = ePHIの暗号化、アクセス制限、すべてのログ記録。

プライバシー規則 = 誰が何を見るかを制御する。

侵害通知規則 = 迅速な開示。

HITECH法のおかげで、貴社（ベンダーとして）は直接的な責任を負います。BAAに署名し、セキュリティ対策を厳重にしてください。

HIPAA / HITECH スコアカード概要：

• 開発者の労力: 高い（厳格な技術的保護策（アクセス制御、監査ログ、暗号化）の実装、PHIの慎重な取り扱い、医療データリスクに対するセキュアコーディング、BAA要件のサポートが必要です）。
• ツール費用: 中程度から高い（暗号化ツール、堅牢なロギング/SIEM、強力なIAM/MFA、脆弱性スキャナー。HIPAAコンプライアンスに特化したプラットフォームも必要となる可能性あり）。
• 市場への影響: 非常に重要（PHIを取り扱う米国のヘルスケアソフトウェア/サービスに義務付けられています。非遵守は市場アクセスを阻害し、重い罰則を伴います）。
• 柔軟性: 中程度（ルールは保護すべき内容を定義しますが、リスク分析、規模、複雑性に基づいて安全対策をどのように実装するかについては柔軟性を許容します。「addressable」対「required」の仕様）。
• 監査の厳格度: 高（HHS公民権局 (OCR) による監査は、侵害または苦情によって引き起こされる可能性があり、実装された保護措置と文書化されたポリシー/手順の実証が必要です）。

HIPAA / HITECHとは何ですか？

HIPAA (Health Insurance Portability and Accountability Act of 1996) は、主に以下の目的で制定された米国の連邦法です。

1. 労働者とその家族が転職または失業した際に、健康保険の適用範囲を保護します（ポータビリティ）。
2. 電子医療取引およびコードセットに関する国家標準を確立します（行政簡素化）。
3. 個人を特定できる健康情報、すなわち保護対象保健情報（PHI）のプライバシーとセキュリティを保護します。

開発者およびテクノロジー企業にとって、重要な部分は、いくつかの規則を通じて実施されるAdministrative Simplificationの規定です。

• HIPAA Privacy Rule: PHIがいつ使用および開示されるかに関する国家基準を定めています。また、個人に自身の健康情報に対する権利（例：アクセス、修正）を付与します。「対象事業者」（医療保険プラン、医療情報交換所、ほとんどの医療提供者）およびその「ビジネスアソシエイト」に適用されます。
• HIPAA Security Rule: 対象事業者またはビジネスアソシエイトが作成、受信、維持、または送信する電子PHI（ePHI）の機密性、完全性、可用性を保護するための国家基準を定めています。特定の管理上、物理的、および技術的な保護措置を義務付けています。
• HIPAA Breach Notification Rule: 対象事業者およびビジネスアソシエイトに対し、保護されていないPHIの侵害が発生した場合に通知を提供することを義務付けています。

PHIには、氏名、日付、診断、治療、診療記録番号、画像、SSNなど、健康状態、医療提供、または医療費の支払いに関連するあらゆる識別可能な保健情報が含まれます。（重複する部分もありますが、範囲が異なるGDPRの個人データの定義については、セクション2.7.2を参照してください。）」

HITECH（Health Information Technology for Economic and Clinical Health）法（2009年）は、HIPAAを以下の点で大幅に修正しました。

• 罰則の強化: HIPAA違反に対する罰金の増額、責任の程度に応じた段階的な罰則構造の導入。
• ビジネスアソシエイトへの規則適用: ビジネスアソシエイト（ソフトウェアベンダー、対象事業体のPHIを扱うクラウドプロバイダーなど）に対し、HIPAAセキュリティ規則の保護措置および特定のプライバシー規則条項の遵守について直接責任を負わせました。
• ヘルスIT導入の促進: 電子カルテ（EHRs）の使用を奨励しました。
• 侵害通知の強化: PHI侵害の個人およびHHSへの通知要件が強化されました。

合わせて、HIPAAとHITECHは、米国における健康情報のプライバシーとセキュリティを保護するための法的根拠を形成します。

なぜそれらが重要ですか？

米国でPHIを取り扱う者にとって、HIPAA/HITECHへの準拠は不可欠です。

• 法的な義務です：米国保健福祉省（HHS）公民権局（OCR）によって執行され、違反には重大な民事罰および刑事罰が科される可能性があります。
• ヘルスケアビジネスの要件: 対象事業体（病院、診療所、保険会社）は、PHIを扱う技術ベンダー（ビジネスアソシエイト）に対し、HIPAAに準拠し、事業提携契約（BAA）を締結することを義務付けています。コンプライアンスがなければBAAもなく、ビジネスもできません。
• 患者のプライバシーを保護: 機密性の高い健康情報に関する患者の基本的権利を擁護します。
• データセキュリティの確保: ePHIを侵害から保護するための特定の安全対策を義務付けます。これは医療分野で非常に一般的で損害が大きいものです。
• Avoids Massive Fines: 罰則は、過失のレベルに応じて、違反あたり100ドルから年間最大150万ドル（違反カテゴリごと）に及ぶ可能性があります。意図的な怠慢には最高額の罰金が科されます。
• 評判の損害を防止: HIPAA違反は患者の信頼を損ない、Covered EntitiesとBusiness Associatesの両方に重大な評判の損害を与えます。
• 医療データ交換の実現: 電子医療情報交換に必要なセキュリティとプライバシーの基盤を提供します。

PHIを扱うソフトウェアやサービスを開発する開発者にとって、米国医療分野での市場参入と事業運営には、HIPAA/HITECHへの準拠が基本的な要件となります。

何を、どのように実装するか (技術的側面とポリシー側面)

HIPAA/HITECHの導入には、プライバシー規則、セキュリティ規則、および侵害通知規則の要件を満たすことが含まれます。セキュリティ規則は開発者にとって最も技術的に関連性が高く、特定の技術的保護措置 (「必須」および「対応可能」の両方の仕様) を義務付けています。

1. アクセス制御 (必須および対処可能)：
   
   • ユニークユーザー識別（必須）: ユーザーの行動を追跡するためにユニークIDを割り当てます。
   • 緊急時アクセス手順（必須）: 緊急時にPHIへのアクセスを確保します。
   • Automatic Logoff (Addressable): ePHIにアクセスするワークステーションにセッションタイムアウトを実装します。
   • 暗号化と復号化（対応可能）: 合理的かつ適切である場合にePHIを暗号化してください（保存データ/転送データに対しては、実務上必須と見なされることがよくあります）。証拠：RBAC設定、緊急アクセス文書、自動ログオフ設定、暗号化実装の詳細。
2. 監査管理（必須）：
   
   • ePHIを含むシステムでの活動を記録および調査するための、ハードウェア、ソフトウェア、または手順によるメカニズムを導入します。ログは、誰が、何を、いつアクセスしたかを追跡する必要があります。証拠: 監査ログ構成、ログレビュー手順。
3. 整合性管理（必須および対応可能）：
   
   • ePHIを認証するメカニズム（対応可能）: ePHIが不適切に改ざんまたは破壊されていないことを保証するための対策（チェックサム、デジタル署名など）を実装します。証拠: 完全性検証方法。
4. 個人またはエンティティ認証（必須）：
   
   • ePHIへのアクセスを求める個人またはエンティティが、主張する本人であることを検証する手順を導入します（例：パスワード、PIN、生体認証、MFA）。証拠: 認証ポリシー、MFAの実装。
5. 送信セキュリティ（必須および対処可能）：
   
   • 完全性コントロール（対処可能）：送信されたePHIが検出されずに不適切に改変されることを防ぎます。
   • 暗号化（対応可能）: 電子ネットワークを介してePHIを送信する際は、合理的かつ適切である場合に暗号化してください（例：転送中のデータにはTLSを使用）。証拠：ネットワークセキュリティ設定、TLS実装、データ転送ポリシー。

技術的保護措置を超えて、実装には以下が必要です。

• リスク分析: ePHIに対する潜在的なリスクと脆弱性について、正確かつ徹底的な評価を実施します。
• 管理上の保護措置: ポリシー、手順、従業員トレーニング、セキュリティ担当者の指定、緊急時計画、事業提携契約（BAA）。
• 物理的保護措置: 施設アクセス制御、ワークステーションセキュリティ、デバイス/メディア制御。
• プライバシールールへの準拠: PHIの使用／開示に関するポリシー、プライバシー慣行の通知、患者の権利要求（アクセス、修正）の処理を実装します。
• 侵害通知: 侵害を検出し、リスクを評価し、必要な期間内（通常60日）に個人およびHHS/OCRに通知する手順を持つこと。

導入には、セキュアコーディング、堅牢なインフラセキュリティ (特にクラウドを使用する場合、CSPとのBAAが必要)、包括的なロギング、強固なアクセス制御、暗号化、および広範な文書化が不可欠です。

避けるべきよくある間違い

HIPAA/HITECHコンプライアンス違反は頻繁に発生し、費用がかかります。

1. 不完全なリスク分析: ePHIがどこに存在し、どのような脅威に直面しているかを特定するための、徹底した組織全体のリスク分析を実施しないこと。
2. 「対処可能」な保護措置の無視: 「対処可能」を「オプション」と誤解すること。対処可能な仕様が実装されていない場合、その決定は正当な理由とともに文書化され、合理的な場合は同等の代替措置が実装されなければなりません。今日では、暗号化はほとんど常に合理的であると見なされます。
3. 監査ログの不足/レビューの欠如: 不適切なアクセスや侵害を検出するために、十分なロギングを実装しない、または監査ログを定期的にレビューしないこと。
4. 不適切なPHI廃棄: PHIを含む紙の記録または電子媒体を、シュレッダーにかける、ワイプする、または物理的に破壊することなく廃棄すること。
5. 脆弱なアクセス制御: 共有ログインの使用、最小特権の実装の失敗、または終了/役割変更時のアクセスの迅速な失効の失敗。
6. 暗号化されていないPHI: 適切な暗号化なしにePHIを送信または保存すること。特にモバイルデバイスやラップトップ上でその傾向が見られます。
7. ビジネスアソシエイト契約（BAA）がない（または不十分な）場合: ベンダー（クラウドプロバイダー、ソフトウェアツール）とPHIを共有する際に、その責任を明記した署名済みのBAAがないこと。
8. 不十分な従業員トレーニング：HIPAAポリシーおよびセキュリティ意識に関する定期的かつ文書化されたトレーニングの不足により、ヒューマンエラー（例：フィッシング）が発生します。
9. 遅延した侵害通知: 侵害通知規則で義務付けられている60日以内に侵害を報告しなかった場合。
10. ポリシー/手順の未更新: セキュリティポリシー、リスク分析、および緊急時対応計画を定期的に見直し、更新しないこと。

監査人/規制当局が尋ねる可能性のあること (開発者向け)

HHS OCR調査官がHIPAA監査（多くの場合、侵害や苦情によって引き起こされる）を実施する際、開発に影響を与える技術的保護措置を精査します。

• (Access Control) 「ePHIを含むシステムへのアクセスが、許可された開発者のみに限定されていることをどのように保証していますか？ロールベースのアクセス制御とレビュープロセスを示してください。」
• (Access Control) 「本番環境のePHIとやり取りする際の開発者のアクセスは、どのようにログに記録されていますか（許可されている場合）？」
• (Audit Controls) 「アプリケーション内のePHIへのアクセスを示す監査ログを提示してください。これらのログはどのように保護され、レビューされていますか？」
• (整合性) 「アプリケーションデータベース内のePHIの整合性を確保するメカニズムは何ですか？」
• (Authentication) 「ユーザー（患者、プロバイダー、開発者）はアプリケーションに対してどのように認証されますか？MFAは使用されていますか？」
• (Transmission Security) 「アプリケーション、API、およびユーザー間の伝送中にePHIがどのように暗号化されるかを実演してください（例：TLS設定）。」
• (暗号化) 「アプリケーションによって保存されるePHI（データベース、バックアップ）が、保存時にどのように暗号化されているかを示してください。」
• (セキュア開発) 「ePHIを公開する可能性のある脆弱性を防ぐために、どのようなセキュアコーディングプラクティスとテスト（SAST/DAST）が使用されていますか？」
• (最小限の必要性) 「アプリケーションの設計は、ユーザーロールとコンテキストに基づいてPHIへのアクセス/表示をどのように制限していますか？」

それらは、保護措置が実装され効果的であることを証明する、文書化されたポリシー、手順、リスク分析、トレーニング記録、BAA、および技術的証拠（ログ、構成、スキャンレポート）を要求します。

開発チームのためのクイックウィン

ヘルスケアアプリを開発する開発チームは、これらのHIPAA準拠の迅速な成果に注力できます：

1. PHIの特定と最小化: アプリケーション内でPHIがどこを流れるかを正確にマッピングします。必要最小限のPHIのみを収集し、保存します。
2. すべてを暗号化: 転送中（TLS 1.2+）および保存中（データベース暗号化、ファイルシステム暗号化）のePHIに対して強力な暗号化を実装します。独自の暗号化方式を使用しないでください。
3. 強力な認証とアクセス制御の強制: 固有のID、強力なパスワードポリシー、およびMFAを使用してください。最小権限の原則に基づいた厳格なロールベースアクセス制御（RBAC）を実装してください。
4. 詳細な監査ロギングの実装: ePHIに関連するすべてのアクセス、作成、変更、および削除イベントをログに記録します。ログが改ざん防止され、一元的に保存されることを確認します。
5. Secure Coding Practices: 開発者に対し、OWASP Top 10と特定の医療データリスクについてトレーニングします。SAST/SCAツールを使用して脆弱性を発見します。
6. HIPAA準拠のクラウドサービス（BAA付き）を利用する: クラウドプラットフォーム（AWS、Azure、GCP）を利用する場合、HIPAA準拠として指定されたサービスのみを使用し、プロバイダーと事業提携契約（BAA）を締結します。サービスを安全に構成してください。
7. データ廃棄計画: 必要に応じて特定の患者データを安全に削除できるシステムを設計します。

これを無視すると...（非準拠の結果）

HIPAA/HITECH規則に違反すると、深刻な結果を招く可能性があります。

• 民事制裁金（CMPs）： HHS OCRは、責任の度合いを反映した段階的な構造に基づいて罰金を科します。
  
  • 過失の場合: 違反ごとに100ドル～5万ドル（同一違反に対する年間最大2万5千ドル）。
  • 合理的な理由がある場合: 違反ごとに1千ドル～5万ドル（年間最大10万ドル）。
  • 意図的な怠慢（修正済み）: 違反ごとに1万ドル～5万ドル（年間最大25万ドル）。
  • 意図的な怠慢（未修正）: 違反ごとに5万ドル以上（年間最大150万ドル以上）。注: 年間最大額はインフレに合わせて調整されます。
• 刑事罰： 司法省（DOJ）は、故意にPHIを不適切に取得または開示した場合の刑事事件を処理します。罰則には以下が含まれます。
  
  • 故意の場合: 最大5万ドルの罰金、最大1年の懲役。
  • 詐欺的行為: 最大10万ドルの罰金、最大5年の懲役。
  • 利益/損害目的での販売/譲渡/使用の意図: 最大25万ドルの罰金、最大10年の懲役。
• 是正措置計画（CAPs）: OCRはしばしば、組織に対し、罰金と並行して詳細かつ監督された是正措置計画の実施を要求します。
• 評判の損害: 侵害や多額の罰金は、患者の信頼と世間の認識に深刻な損害を与えます。
• 訴訟: 侵害によって損害を受けた個人は、民事訴訟を提起する可能性があります。
• 事業の喪失: 対象事業体は、非準拠のビジネスアソシエイトとの関係を終了します。

よくあるご質問

誰がHIPAAに準拠する必要がありますか？

対象事業体（医療保険プラン、医療情報交換所、特定の電子取引を行う医療提供者）およびそのビジネスアソシエイト（対象事業体に対して機能の実行またはサービスの提供を行い、PHIへのアクセスを伴う個人または事業体。例：ソフトウェアベンダー、クラウドプロバイダー、請求サービス、弁護士）。

PHIとePHIの違いは何ですか？

PHI（Protected Health Information：保護対象保健情報）は、あらゆる形式（口頭、紙、電子）の個人識別可能な保健情報です。ePHIは、電子形式で作成、受領、維持、または送信されるPHIです。HIPAAセキュリティ規則は、特にePHIに適用されます。

ビジネスアソシエイト契約（BAA）とは何ですか？

BAAは、HIPAAによって義務付けられている、対象事業体と事業提携者間（または2つの事業提携者間）の書面による契約です。これは、セーフガードの実施や侵害の報告を含め、HIPAA規則に従ってPHIを保護するための事業提携者の責任を概説します。BAAなしでベンダーとPHIを共有することは、HIPAA違反となります。

セキュリティ規則における「Required（必須）」と「Addressable（対応可能）」の仕様の違いは何ですか？

• 必須: 記載どおりに実装する必要があります。
• 対応可能: 評価される必要があります。妥当かつ適切と判断された場合、実装される必要があります。そうでない場合、その根拠が文書化され、妥当であれば同等の代替措置が実装される必要があります。対応可能はオプションを意味しません。

HIPAA違反の報告までにどのくらいの期間がありますか？

500人以上の個人に影響を与える侵害は、発見後、不当な遅延なく、かつ60日以内にHHS OCRに報告されなければなりません。影響を受けた個人にも60日以内に通知する必要があります。500人未満の個人に影響を与える侵害は、記録され、HHS OCRに毎年報告されなければなりません（暦年末から60日以内）。州法によっては、より厳格な報告期限が定められている場合があります。

HIPAA認証はありますか？

いいえ、HHS OCRは、ソフトウェア、組織、または個人向けの公式なHIPAA認証を提供または推奨していません。企業は「HIPAA準拠」を主張したり、第三者による証明書/レポート（SOC 2 + HIPAAなど）を取得したりする場合がありますが、政府発行のHIPAA証明書は存在しません。

HITECHはHIPAAをどのように変更しますか？

HITECHは、罰則の強化、ビジネスアソシエイトへのコンプライアンスの直接的な責任付与、EHR導入の促進、および侵害通知規則の強化により、主にHIPAAを強化しました。これは実質的にHIPAAの執行力を強化しました。