[US] ヘルスケアサービス (HIPAA) コンプライアンスレポート
<ph>この</ph> <uicontrol>[US] ヘルスケアサービス (HIPAA) コンプライアンスレポート</uicontrol> <ph>は、米国医療保険の携行性と責任に関する法律 (HIPAA) のセキュリティルールに対するウェブアプリケーションのセキュリティを評価するのに役立ちます。</ph>.
HIPAAのセキュリティおよびプライバシー規制について
<ph>医療保険の携行性と責任に関する法律 (HIPAA) は、1996年に制定された米国の連邦法です。</ph>.<ph>この法律は、個人の健康情報のプライバシーとセキュリティを保護し、医療システムの効率を向上させることを目的としています。</ph>.
<ph>HIPAAにはいくつかの主要な目的があります:</ph>:
- <ph>プライバシー: 個人の健康情報 (PHI) の使用と開示を管理することで患者の権利を保護します。</ph>.
- <ph>セキュリティ: 電子保護健康情報 (ePHI) を不正アクセス、改ざん、または紛失から保護するための基準を設定します。</ph>.
- <ph>携行性: 個人が職を変えたり失ったりした場合でも、健康保険の継続を保証します。</ph>.
- <ph>行政の簡素化: 電子医療取引とコーディングを標準化し、効率を向上させ、コストを削減します。</ph>.
<ph>HIPAAにはいくつかの主要なルールが含まれています:</ph>:
- <ph>プライバシールール (2003年): 保護された健康情報 (PHI) を定義し、その使用と開示に制限を設け、患者に記録への権利を与えます。</ph>.
- <ph>セキュリティルール (2005年): 電子PHI (ePHI) を保護するための管理的、物理的、および技術的な保護策を要求します。</ph>.<ph>これにはリスク評価とアクセス制御が含まれます。</ph>.
- Breach Notification Rule (2009): データ侵害が発生した場合、影響を受けた個人、保健福祉省 (HHS)、および場合によってはメディアへの通知を要求します。
- Enforcement Rule: 調査プロセスと不遵守に対する罰則を概説しており、これには重大な罰金や刑事告発の可能性が含まれる場合があります。
HIPAAは1996年8月21日に制定されました。主なコンプライアンスの期限は以下の通りです:
- プライバシー規定: 2003年4月14日
- セキュリティ規定: 2005年4月21日
- Breach Notification Rule: 2009年9月23日
対象となる事業体
以下の組織は通常、HIPAAに準拠する必要があります:
- 健康保険、医療提供者、および医療クリアリングハウス。
- PHIを扱うベンダーや請負業者などのビジネスアソシエイト(例:クラウドプロバイダーや請求サービス)。
AppScan Enterprise HIPAAコンプライアンスレポート
AppScan EnterpriseのHIPAAコンプライアンスレポートは、HIPAAセキュリティ規則への全体的なコンプライアンスに影響を与える可能性のあるウェブ環境内の潜在的な問題を自動的に特定します。このレポートは、HIPAAセキュリティ規則の実施に関するNISTリソースガイドに記載されている関連活動も参照しています。
レポート用語
- 対応可能な問題
- このレポートにおいて、これは対象となる事業体が以下を行う必要があることを意味します:
- 各実施仕様が、その環境において合理的かつ適切な保護手段であるかどうかを評価し、事業体の電子保護健康情報を保護する可能性のある貢献を考慮して分析します
- エンティティに適用される場合:
- 実装仕様を合理的かつ適切であれば実施する; または
- 実装仕様を実施することが合理的かつ適切でない場合:
- 実装仕様を実施することが合理的かつ適切でない理由を文書化する; そして
- 合理的かつ適切であれば、同等の代替措置を実施する。
- 可能な問題
- このレポートに表示されるように、検出された結果は、必要な実装仕様が満たされていないことを示唆している可能性があります。
HIPAAコンプライアンスレポートの脆弱性
次の表は、評価される特定のHIPAAセキュリティルールの要件を一覧表示しています。アプリケーションで見つかった脆弱性は、これらのセクションにマッピングされています。
| ID | 名前 (Name) |
|---|---|
| S.Rule - Part 164, Subpart C, 164.308(a)(3)(i) | 対処可能な問題 - [情報アクセス管理基準]に基づいて、すべての従業員が電子保護健康情報に適切にアクセスできるようにするためのポリシーと手順を実施し、[情報アクセス管理基準]に基づいてアクセス権を持たない従業員が電子保護健康情報にアクセスするのを防ぐ。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(3)(ii)(A) | 対処可能な問題 - 電子保護健康情報を扱う、またはアクセスされる可能性のある場所で働く従業員の認可および/または監督のための手順を実施する。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(4)(i) | Possible Issue - 電子保護医療情報へのアクセスを許可するためのポリシーと手順を実施し、このパートのサブパートEのプライバシールールの適用要件と一致させる。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(4)(ii)(B) | Possible Issue - 例えば、ワークステーション、トランザクション、プログラム、プロセス、または他のメカニズムを通じて、電子保護医療情報へのアクセスを許可するためのポリシーと手順を実施する。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(5)(ii)(D) | Addressable Issue - パスワードの作成、変更、および保護のための手順を実施する |
| S.Rule - Part 164, Subpart C, 164.312(a)(1) | Possible Issue - 電子保護医療情報を維持する電子情報システムのための技術的なポリシーと手順を実施し、164.308(a)(4)で指定されたアクセス権を付与された者またはソフトウェアプログラムのみがアクセスできるようにする。 |
| S.Rule - Part 164, Subpart C, 164.312(a)(2)(iv) | Addressable Issue - 電子保護医療情報を暗号化および復号化するためのメカニズムを実施する。 |
| NIST Resource Guide - Section 4.14, Activity 8 | Addressable Issue - 一定時間の非活動後に電子セッションを終了する電子手順を実施する。 |
| S.Rule - Part 164, Subpart C, 164.312(c)(1) | 可能な問題 - プライベートな健康情報が不適切に変更または破壊されるのを防ぐためのポリシーと手順を実施する |
| S.Rule - Part 164, Subpart C, 164.312(d) | 可能な問題 - プライベートな健康情報へのアクセスを求める人物または団体が主張されているものであることを確認する手順を実施する |
| S.Rule - Part 164, Subpart C, 164.312(e)(1) | 可能な問題 - 電子通信ネットワークを介して送信される電子保護健康情報への不正アクセスを防ぐための技術的なセキュリティ対策を実施する。 |
| S.Rule - Part 164, Subpart C, 164.312(e)(2)(ii) | 対応可能な問題 - 適切と判断される場合に電子プライベート健康情報を暗号化するメカニズムを実施する |