医療機器におけるHIPAA準拠の確保。知っておくべきこと

フリーランスの技術系ライターであるKayla Matthewsが、医療技術製品を HIPAAコンプライアンスt. 

Rendering competent and high-quality aid to those in need is the top priority in the ヘルスケア sector. These days, data security and integrity comes in at a very close second.  HIPAA（Health Information and Portability and Accountability Act）は、患者の医療情報を保護するために制定された法律であり、技術やセキュリティへの期待が成熟するにつれ、何度も更新されてきました。

このうち、2009年のHITECH法と呼ばれる改正は、HIPAAを強化するものでした。 抜け穴をなくすことで 医療機関のために、電子医療記録（EHR）への移行を促進するインセンティブを創出します。現代の医療は、過去と最近の患者記録を含め、モバイル性、安全性、医師や施設間で患者を追跡できることが必要です。

医療に携わるということは、デューディリジェンスを実践し、HIPAAと正確な患者データの主権と重要性を尊重する文化を確立することを意味します。医療界が患者データを収集し、活用する新たな方法を見出すにつれ、その期待は年々厳しくなっています。

医療技術（メドテック）を、日々進化するHIPAAの要件に準拠させるために必要なことをご紹介しています。

医療技術において、なぜHIPAAコンプライアンスが不可欠なのか？

HIPAAの遵守は、医療サービス提供者（Covered Entity）にとってオプションではありません。健康データがあらゆる種類の介護環境において中心的な役割を果たすようになったため、事業者は、患者の記録を取得、保存、伝送、伝達するために使用する技術を見直す必要が出てきたのです。

Financial concerns are the first and probably most significant worry for ヘルスケア providers. In 2018, Fresenius Medical Care North America was $3.5百万円の罰金を科す。 は、市民権局と保健社会福祉省によるものです。FMCNAは、複数のHIPAA違反を是正するためのフルスコープ行動計画の策定を要求されるなどの条件に同意しました。

医療機関がHIPAA要件の厳格な遵守を保証しなければならない理由の大きな部分を占めるのは、金銭的損失です。また、評判が損なわれることもその一つです。 

FMCNAは、17万人の患者さんに製品とサービスを提供し、複数の拠点と施設タイプで6万人以上の従業員を抱えています。このような罰金は、必ずと言っていいほど、信頼の失墜とビジネスの喪失につながります。

医療機関にとって必要不可欠な理由がわかったところで、なぜ患者さんにとって医療技術やHIPAAが必要不可欠なのでしょうか？

そもそも、保護されるべき健康情報とは いちじょう クレジットカード番号などの財務データよりも多く出回っています。PHIの漏洩は、財務データの損失よりも発見するのに時間がかかることがありますが、サイバー犯罪者にとって有用であることに変わりはありません。

PHIがあれば、ハッカーは他人名義で医療機器や処方箋を注文したり、保険金詐欺を行ったり、患者や介護施設に多大な損害を与える犯罪を行うことができます。

Consider some of the specific requirements that ヘルスケア organizations must adhere to as they adopt medical technologies and seek new ways to improve patient outcomes.

1.データのバックアップは完全かつ暗号化されたものでなければならない

HIPAAでは、医療機関は患者データのバックアップの方法、頻度、期間について一貫性を保つ必要があります。これらの要件は、医療機関のデータバックアップ計画と必要な保存期間の2つのカテゴリーに分類されます。

HIPAAは、医療機関に対し、すべての電子患者健康記録の完全かつ検索可能で暗号化されたバックアップを保持することを義務付けています。その他の詳細は以下の通りです。 

• 暗号化:静止データは256ビットAES暗号で暗号化する必要があります。
• 冗長性:少なくとも2～3箇所に分けて保管する。
• 転送中のデータ:公衆回線で転送するデータは、256ビットAESで暗号化する必要があります。
• モニタリング:組織は、データのバックアップとバックアップ計画のエラーとバックアップの失敗を監視する必要があります。

さらに、物理的なデータ保管場所（サーバールームなど）には、資格や権限のある人しか立ち入れないよう、強固なアクセス制御が必要です。

保存期間に関しては、少し複雑になっています。医療機関が医療記録を保存しなければならない期間については、州ごとに独自の法律が定められています。フロリダ州では、患者との最後の接触から5年間です。しかし、HIPAAでは、医療機関がHIPAA関連の文書を6年間安全かつ確実に保管することを義務付けています。

• PHI開示権限付与
• PHI更新・記録ログ
• リスク分析・評価ファイル
• 違反通知に関する文書
• セキュリティレビュー、システム変更または監査 
• 組織のプライバシー慣行に関する通知

メディケアとメディケイドの管理下にある医療機関には、それぞれ5年間と10年間の費用報告書の保管などのさらなる要件があります。

2.通信経路の確保

医療の維持 コンプライアンス HIPAA の下では、対象事業者が使用する通信手段にも適用されます。電話、電子メール、ファックス、テキストメッセージなど、現代のコミュニケーションチャネルは、HIPAA医療コンプライアンスに準拠する上で、すべて少し異なっている。

HIPAAは、PHIを送信するためにテキストメッセージを使用することを禁じていない。対象事業者が患者にリスクに関する通知を行い、患者が同意した場合、ヘルスケア・ プロバイダーは、PHIをその人にテキスト送信することができ、他の人にはできない。HIPAAは、PHIの作成と送信について監査管理を要求しているが、使用されている通信ツールやオペレーティング・システムの数を考えると、これは困難なことである。

ほとんどの場合、他の方法を使用することが最善です。使用するコミュニケーションツールが何であれ、対象事業者は以下を考慮する必要があります。

• テキストを送受信するデバイスへの強力なアクセスコントロール
• エンド・ツー・エンドの暗号化 - HIPAAで対処可能な懸念事項
• 置き忘れや盗難に遭いやすいデバイスの紛失対策

医療現場において、ファックスは古くから利用されてきました。実は、こんなものが すべての通信の75% 米国の医療業界では、FAXを介したやり取りが行われています。クラウドベースの電子ファックスシステムは、この種の情報を当事者間で安全に交換するために必要な、構造化され、安全で暗号化されたエコシステムを提供します。

従来のファクスシステムでは、すべての記録が手元に残り、盗難のリスクもありましたが、電子ファクスでは、すべての記録が手元に残り、盗難のリスクもありません。 アクセスセキュリティと監査可能性を提供する 対象事業者向け。E-FAXシステムは、メッセージそのものとそれに付随するすべての履歴データを含むすべての通信情報を、ベンダーの安全な二次的場所にオフサイトで保存します。

対象事業者は、記録を伝達する際に、以下のようないくつかの基本的な保護に留意しなければならない。

• 強力なパスワードまたは生体認証 
• 業界標準のオンデバイス暗号化機能
• 機器からPHIを除去するための包括的な計画（機器廃棄前
• Wi-FiネットワークやITインフラの物理的・デジタル的保護
• すべてのデバイスのファームウェアとソフトウェアのアップデートが可能です。

3.医療機関は包括的なリスク分析を実施する必要がある

組織全体のリスク分析を行わなかったことは、医療機関がHIPAA違反で罰金を科される最大の理由の1つです。対象事業者は、デジタル・インフラが変更されるたびに、リスク分析を定期的に実施する必要があります。Cancer Care Group、Lahey Hospital & Medical Center、Cardionet、Oregon Health & Science Universityは、いずれも罰金を課されました。 $75万円以上$270万円未満 このような見落としがないように

のです。 methodology and results of the risk analysis will look a little different to varying organizations, but the mission and the reasons are always the same:

• PHIが組織内をどのように流れるかを定義する:PHIはどのようにシステムに入るのか？どこに保管されているか？どのように外に出るのか?漏洩の可能性がある場所はあるか?
• PHIのライフサイクル全体に関する説明:どのような第三者がPHIに接触するのか？他のビジネス・パートナー？リサイクルまたはシュレッダー会社?コンピュータの修理または管理サービス?
• 自分特有の脆弱性を知る:医療機関には、まったく同じものはありません。弱点は、社内の過失、フィッシング回避のための従業員教育の不完全さ、低品質のパスワード、停電や異常気象などデータ保管場所への物理的脅威、意図的なサイバー攻撃など、さまざまです。
• 脅威の可能性と影響度による優先順位付け:すべての組織の脆弱性に対して、脅威レベル「低」「中」「高」を設定し、チームが適切に資金を配分し、会社がデータ損失の原因となるトレーニング、雇用、手続きの不備について掘り下げることができるようにします。

HIPAAにおけるリスク分析の要求事項の詳細については、政府の はワークシートが用意されています 医療機関にとって、抜けがないようにするためのものです。このワークシートは、業界や技術の変化に伴い、定期的に改訂されます。

より健康な未来のために、コンプライアンスを遵守する医療サービスプロバイダー

Good public health should be a priority for any civilized society. These days, however, health goes hand-in-hand with cybersecurity. The three areas above are the most frequently cited in terms of organizational non-compliance. To fix this problem, organizations must ensure they promote ongoing learning and attention to details.

HIPAAとその変遷は、患者さんにとっても、データ窃盗犯にとっても、健康データがいかに貴重なものであるかを思い知らされます。

困ったときは HIPAAコンプライアンス または医療技術製品の開発ですか？フリーランスの専門家に相談する コラブツリー.あなたのプロジェクトを投稿して、見積もりをもらうのは無料です。