HIPAA コンプライアンス レポートについて

米国の 医療保険の携行性と責任に関する法律 (HIPAA) の安全規則には、米国の組織が保護されるべき電子医療情報 (EPHI) の機密性を確認するために従わなければならない、管理的、技術的および物理的な一連の安全保障措置が含まれています。医療機関は、課金、支払、臨床的意思決定、およびワークフロー管理などに、さまざまな IT アプリケーションを日常的に使用します。ネットワーク全体にわたって、および医療サービス提供業者間、雇用主間、および保険会社間で個人の機密情報が通過するため、組織はこのデータを保護して HIPAA コンプライアンスを維持する必要があります。

HIPAA の対象となるすべての団体は、安全規則を遵守する必要があります。一般に、HIPAA の基準、要件および実装仕様は、これらの対象となる団体に適用されます。

  • 医療サービス提供業者 — 医療またはその他の保健サービスの提供業者あるいは HHS が基準を採用したトランザクションに関連して、電子形式で保健関連情報を転送する業者。
  • 保険会社 — 医療費用の提供または支払いを行う、あらゆる個別または団体の保険 (例: 医療保険会社、メディケアおよびメディケイド プログラム)

HIPAA の対象となる団体の詳細については、以下を参照してください。

HIPAA 安全規則は、さまざまな分野における多数の安全保証措置で構成されています。

  • 管理的
  • 物理的
  • 技術的

安全保障措置の各セットには、一般に必須または対処可能な多数の実装仕様を含む、多くの基準が含まれています。実装仕様が必要とされる場合、対象となる団体は、実装仕様の要件を満たすポリシーおよび/または手順を実装する必要があります。実装仕様が対処可能である場合、対象となる団体はその団体の環境においてそれが合理的かつ適切な安全保障措置であるかどうかを評価する必要があります。

安全規則は、対象となる団体が安全に関する決定事項の多くに関する論拠を文書化することを要求しています。

HIPAA 管理的および技術的安全保障措置の多くは、文言が広範で一般的であり、ユーザー認証、定期監査およびレポート、インシデント管理および対応などの、優れた安全慣行以外の技術実装を指定しません。HIPAA の原点はプライバシーであるため、安全保障措置はデータ暗号化を大いに強調します。

WatchGuardは、これらの特定の HIPAA コンプライアンス基準に対処します。

一意のユーザー識別の実装仕様では、対象となる団体は「ユーザーのアイデンティティーを特定し追跡するための一意の名前や番号を割り当てること」を実行する必要があると述べています。ユーザー識別は、一般的に名前および/または番号により、情報システムの特定のユーザーを検索する方法です。一意のユーザー識別子により、団体はユーザーが情報システムにログインしている場合にそのユーザーの特定のアクティビティを追跡できます。それにより、団体は、ユーザーが情報システムにログインしている場合に、EPHI を含む情報システムで実行される機能に対してユーザーが説明できるようにすることができます。

この実装仕様が対象となる団体にとって合理的かつ適切な安全保障措置である場合、対象となる団体は「電子的に保護された医療情報を暗号化および解除するメカニズムを実装すること」を実行する必要があります。

Fireware は、ユーザーを認証し、ユーザーおよび IP アドレス別にネットワークアクティビティを追跡するオプションを提供しています。Active Directory によるシングル サインオンは、オプションの一つです。使用可能な認証方法の詳細については、次を参照してください:ユーザー認証について および 認証サーバーの種類

監査管理基準は、対象となる団体が「電子的に保護された医療情報を含むまたは使用する情報システムにおいて、アクティビティを記録および調査する、ハードウェア、ソフトウェア、および/または手順メカニズムを実装すること」を実行することを必要としています。

安全規則が監査管理により収集される必要のあるデータを識別しないこと、および監査レポートが見直される頻度を指摘していないことは重要な点です。対象となる団体は、リスク分析、および現在の技術インフラストラクチャ、ハードウェアおよびソフトウェアのセキュリティ機能などの組織的要素を考慮し、EPHI を含むまたは使用する情報システムの合理的かつ適切な監査管理を決定する必要があります。

すべてのユーザーがセキュリティ ポリシーを遵守していることを確認するには、最もアクティブなクライアント、およびセキュリティ ポリシーに違反するアクションからブロックされているクライアントを定期的に監視すると便利です。

Branch Office VPN を使用して、さまざまなロケーション間のトラフィックを暗号化できます。Mobile VPN を使用して、遠隔地の従業員が安全にオフィスまたは医療ロケーションに接続されていることを確認できます。Firebox の構成を定期的に見直して、会社のセキュリティ ポリシーで指定されたすべてのロケーションに VPN が構成されていることを検証する必要があります。使用可能な VPN ソリューションの詳細については、次を参照してください:手動 IPSec Branch Office VPN について管理対象 Branch Office VPN トンネル (WSM)Mobile VPN with IPSec、および Mobile VPN with SSL について

1. 電子的に保護された医療情報を認証するメカニズム (A) — § 164.312(c)(2)

「電子的に保護された医療情報へのアクセスを求める人物または団体が、主張される通りの人物または団体であることを検証する手順を実装すること。」概して、認証は、人々に EPHI へのアクセス権を許可する前にその人々が主張している人物であることを確認します。

1. 完全性の管理 (A) — § 164.312(e)(2)(i)

この実装仕様が対象となる団体にとって合理的かつ適切な安全保障措置である場合、対象となる団体は「セキュリティ措置を実装し、電子的に送信される電子的に保護された医療情報が破棄されるまで検出されることなく不適切に修正されていないことを確認すること」を実行する必要があります。

2. 暗号化 (A) — § 164.312(e)(2)(ii)

この実装仕様が対象となる団体にとって合理的かつ適切な安全保障措置である場合、対象となる団体は「適切とみなされる場合はいつでも電子的に保護された医療情報を暗号化するメカニズムを実装すること」を実行する必要があります。

ロケーション間の接続を確保するための VPN の使用に加えて、HIPAA 規則を遵守する必要のある組織は、TLS に対応する 2 つの電子メール サーバー間で送信される電子メールが暗号化されていることを確認するために使用可能な SMTP TLS 機能を検討しなければなりません。SMTP および TLS 暗号化の詳細については、次を参照してください:SMTP プロキシ:STARTTLS 暗号化

対象となる団体は、「セキュリティ インシデントに対処するポリシーおよび手順を実装すること」を実行する必要があります。

ネットワーク上で発生したセキュリティ イベントに応じて通知およびアラームを送信するように、Fireware を設定できます。詳細については、次を参照してください:通知について

応答およびレポーティング実装仕様は、対象となる団体は「疑わしいまたは既知のセキュリティ インシデントを特定して対処し、対象となる団体が把握しているセキュリティ インシデントの弊害を現実的な範囲内で緩和して、セキュリティ インシデントおよびその結果を文書化すること」を実行する必要があると述べています。

WatchGuard Report には、ネットワークが HIPAA 基準に準拠していることを確認するために役立つ情報を提供する、複数の事前定義されたレポートが含まれています。これらのレポートは、準拠レポート グループに含まれています。

標準 関連レポート レポートの説明
一意のユーザー識別 (R) — § 164.312(a)(2)(i) 拒否されたユーザー認証 認証失敗の日付、時間、および理由を含む

認証が拒否されたユーザーの詳細リスト
基準 § 164.312(b) — 監査管理 監査証跡 各変更を行ったユーザーの名前が示されている、監査された Firebox の構成変更の詳細なリスト
電子的に保護された医療情報を認証するメカニズム (A) — § 164.312(c)(2) 拒否されたユーザー認証 認証拒否されたユーザーの詳細リスト
認証失敗の日付、時間、理由が含まれる
セキュリティ インシデント手順 — § 164.308(a)(6)
応答およびレポーティング (R) — § 164.308(a)(6)(ii)		 アラーム すべてのアラーム レコード

Dimension で HIPAA コンプライアンス レポートを確認する

WatchGuard Dimension から HIPAA コンプライアンス レポートを確認したり、PDF ファイルとして定期的にエクスポートすることができます。詳細については、レポートを表示する および Dimension レポートのスケジュール設定 を参照してください。

WatchGuard Cloud で HIPAA コンプライアンス レポートを確認する

WatchGuard Cloud から HIPAA コンプライアンス レポートを確認したり、PDF ファイルとして定期的にエクスポートすることができます。詳細については、HIPAA コンプライアンス レポート および WatchGuard Cloud レポートをスケジュールする を参照してください。

Report Manager から HIPAA コンプライアンス レポートを生成する

ネットワークを監視してそれが HIPAA に準拠していることを検証するために、各要件について関連レポートを作成できます。

  1. WSM Report Server から、必要なコンプライアンス レポートを含むレポート スケジュールを作成します。

    詳細な手順については、次を参照してください: レポート作成の設定を構成する
  2. WatchGuard WebCenter に接続して Report Manager で コンプライアンス レポートを表示する する。

関連情報:

事前に定義されたレポートの一覧

レポートを Report Manager で表示する