[米国] 医療サービス (HIPAA) コンプライアンスレポート
[米国] 医療サービス (HIPAA) コンプライアンスレポートは、米国医療保険の相互運用性と説明責任に関する法律 (HIPAA) のセキュリティ規則に対する Web アプリケーションのセキュリティを評価するのに役立ちます。
HIPAA のセキュリティおよびプライバシー規制について
医療保険の相互運用性と説明責任に関する法律 (HIPAA) は、1996年に制定された米国の連邦法です。個人の健康情報のプライバシーとセキュリティを保護し、医療システムの効率を向上させることを目的としています。
HIPAA にはいくつかの主要な目的があります。
- プライバシー: 個人の健康情報 (PHI) の使用および開示方法を管理することで、患者の権利を保護します。
- セキュリティ: 電子保護対象健康情報 (ePHI) を不正アクセス、改ざん、または損失から保護するための基準を設定します。
- 相互運用性 (ポータビリティ): 個人が転職または失業した際に、健康保険の適用が維持されることを保証します。
- 管理の簡素化: 電子医療取引とコーディングを標準化し、効率を向上させコストを削減します。
HIPAA にはいくつかの主要な規則が含まれています。
- プライバシー規則 (2003年): 保護対象健康情報 (PHI) を定義し、その使用と開示に制限を設け、患者に自分の記録に対する権利を付与します。
- セキュリティ規則 (2005年): 電子 PHI (ePHI) を保護するために、管理的、物理的、および技術的な安全管理措置を義務付けています。これにはリスク評価とアクセス制御が含まれます。
- 侵害通知規則 (2009年): データ侵害が発生した場合に、影響を受ける個人、保健福祉省 (HHS)、および場合によってはメディアへの通知を義務付けています。
- 施行規則: コンプライアンス違反に対する調査プロセスと罰則を概説しています。これには多額の罰金や刑事告発が含まれる可能性があります。
HIPAA は1996年8月21日に制定されました。主なコンプライアンス期限は以下の通りです。
- プライバシー規定: 2003年4月14日
- セキュリティ規定: 2005年4月21日
- 侵害通知規則: 2009年9月23日
対象事業者
以下の組織は通常、HIPAA に準拠する必要があります。
- 健康保険プラン、医療提供者、および医療クリアリングハウス。
- PHI を取り扱うビジネスアソシエイト(ベンダーや請負業者など。例:クラウドプロバイダーや請求サービス)。
AppScan Enterprise HIPAA コンプライアンスレポート
AppScan Enterprise の HIPAA コンプライアンスレポートは、HIPAA セキュリティ規則への全体的なコンプライアンスに影響を与える可能性のある Web 環境内の潜在的な問題を自動的に特定します。また、このレポートは、 HIPAA セキュリティ規則の実装に関する NIST リソースガイドに概説されている関連アクティビティも参照しています。
レポートの用語
- 対処可能な問題 (Addressable Issue)
- 本レポートに表示される場合、対象事業者が以下を行う必要があることを意味します。
- 各実装仕様が、組織の電子保護対象健康情報の保護への貢献度を参照して分析された際に、 その環境において合理的かつ適切な安全管理措置であるかどうかを評価すること。および、
- 組織に適用される場合、以下を行うこと。
- 合理的かつ適切な場合、その実装仕様を実装する。または、
- その実装仕様の実装が合理的かつ適切でない場合、以下を行う。
- その実装仕様を実装することが合理的かつ適切でない理由を文書化する。かつ、
- 合理的かつ適切な場合、同等の代替措置を実装する。
- 可能性のある問題 (Possible Issue)
- 本レポートに表示される場合、検出された結果が、必須の実装仕様が満たされていないことを示唆している可能性があることを意味します。
HIPAA コンプライアンスレポートの脆弱性
以下の表は、評価される特定の HIPAA セキュリティ規則の要件を示しています。アプリケーションで見つかった脆弱性は、これらのセクションにマッピングされます。
| ID | 名前 |
|---|---|
| S.Rule - Part 164, Subpart C, 164.308(a)(3)(i) | 対処可能な問題 - [情報アクセス管理基準] の規定に基づき、すべての従業員が電子保護対象健康情報への適切なアクセス権を持つようにするため、また [情報アクセス管理基準] に基づくアクセス権を持たない従業員が電子保護対象健康情報へのアクセスを取得することを防ぐためのポリシーと手順を実装する。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(3)(ii)(A) | 対処可能な問題 - 電子保護対象健康情報を扱う従業員、またはそれがアクセス可能な場所で働く従業員の承認および/または監督のための手順を実装する。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(4)(i) | 可能性のある問題 - 本パートのサブパート E であるプライバシー規則の適用要件と整合する、電子保護対象健康情報へのアクセスを承認するためのポリシーと手順を実装する。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(4)(ii)(B) | 可能性のある問題 - 電子保護対象健康情報へのアクセスを付与するためのポリシーと手順を実装する(例:ワークステーション、トランザクション、プログラム、プロセス、またはその他のメカニズムへのアクセスを通じて)。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(5)(ii)(D) | 対処可能な問題 - パスワードの作成、変更、および保護のための手順を実装する。 |
| S.Rule - Part 164, Subpart C, 164.312(a)(1) | 可能性のある問題 - 電子保護対象健康情報を維持する電子情報システムについて、セクション 164.308(a)(4) で指定されたアクセス権を付与された人物またはソフトウェアプログラムのみにアクセスを許可するための技術的なポリシーと手順を実装する。 |
| S.Rule - Part 164, Subpart C, 164.312(a)(2)(iv) | 対処可能な問題 - 電子保護対象健康情報を暗号化および復号するメカニズムを実装する。 |
| NIST Resource Guide - Section 4.14, Activity 8 | 対処可能な問題 - 所定の非アクティブ時間が経過した後に電子セッションを終了させる電子手順を実装する。 |
| S.Rule - Part 164, Subpart C, 164.312(c)(1) | 可能性のある問題 - 個人の健康情報が不適切に改ざんまたは破棄されないように保護するためのポリシーと手順を実装する。 |
| S.Rule - Part 164, Subpart C, 164.312(d) | 可能性のある問題 - 個人の健康情報へのアクセスを求める人物または実体が、主張通りの人物または実体であることを検証するための手順を実装する。 |
| S.Rule - Part 164, Subpart C, 164.312(e)(1) | 可能性のある問題 - 電子通信ネットワーク上で送信されている電子保護対象健康情報への不正アクセスを防ぐための技術的なセキュリティ対策を実装する。 |
| S.Rule - Part 164, Subpart C, 164.312(e)(2)(ii) | 対処可能な問題 - 適切と判断される場合は常に、電子的な個人の健康情報を暗号化するメカニズムを実装する。 |