HIPAAセキュリティ規制基準 コンプライアンス評価
背景
1996年に制定された医療保険の相互運用性と説明責任に関する法律(HIPAA: Health Insurance Portability and Accountability Act )およびHIPAAに基づいて発行された規制は、米国の医療に関する一連の法律であり、特に保護すべき医療情報(PHI: protected health information )の使用、開示、保護に関する要件を定めています。2009年、電子カルテとそれを支える情報技術の導入を促進するために制定されたHITECH(Health Information Technology for Economic and Clinical Health)法により、HIPAAの適用範囲は拡大された。HIPAAは、PHIを次のように定義しています。健康情報とは、遺伝情報を含む、口頭か記録かを問わず、あらゆる形式や媒体に含まれる、以下のような情報を意味います。
- 医療機関、医療計画、公衆衛生当局、雇用者、生命保険会社、学校、大学、または医療照会機関によって作成または受領されたものであり、かつ
- 個人の過去、現在、または将来の身体的・精神的な健康状態、個人への医療の提供、または個人への医療の提供に対する過去、現在、または将来の支払いに関連するもの。
保護された健康情報とは、個人を特定できる健康情報を意味します。[...]
- 電子媒体で送信されるもの。
- 電子媒体で維持されること;または
- その他の形式または媒体で送信または保持されるもの。
HIPAAとHITECH法の規則を合わせると、以下のようになります。
- プライバシー規則:PHIのプライバシーを保護するために適切なセーフガードを要求し、患者の承認なしにPHIを使用・開示することに制限を課す。また、患者には、自分の健康記録を調べたり、訂正を要求する権利など、自分の健康情報に対する権利が与えられている。
- セキュリティ規則:電子的なPHIの機密性、完全性、セキュリティを確保するための管理的、技術的、物理的な保護措置の基準を定めたもの。
- Breach Notification Rule:保護されていないPHIの侵害が発生した場合に、保護された団体とそのビジネスアソシエイトに通知を提供することを義務付ける規則。
Viedocは、臨床試験に参加するためにインフォームドコンセントを与えた個人を含む臨床研究を促進するために開発されたソフトウェアプラットフォームです。HIPAAプライバシールールは、保護されるべき健康情報が研究目的のために対象事業者によって使用または開示される場合の条件を定めています。研究とは、プライバシー規則(45 CFR 164.501)において、以下のように定義されています。
[…] 一般化できる知識を開発し、それに貢献することを目的とした、研究開発、試験、評価を含む体系的な調査。Viedoc Technologiesは、顧客がViedocプラットフォームで処理するデータには洞察を持ちませんが、顧客がこれらの規制に準拠した状態を維持できるようにするための措置を実施しています。この文書では、顧客情報がViedocプラットフォームでどのように処理されるか、情報セキュリティを保護するために実施された組織的および技術的措置、45 CFR 164 subpart C(“Security Standards for the Protection of Electronic Protected Health Information”)に定義されたセキュリティ基準の実施状況について説明します。Viedoc Technologiesは通常、サービスの提供を通じて45 CFR 164 subpart Cの適用を受けることはありませんが、これは米国で最も包括的なデータセキュリティ規則であるため、Viedoc Technologiesはこの一連の基準を用いてViedocプラットフォームを評価しました。
データ処理の内容および目的
健康情報
Viedoc Technologiesは、顧客調査データの「ブラインド」プロセッサーです。したがって、処理される健康情報の詳細、およびこれが保護された健康情報に分類されるかどうかは、Viedoc Technologiesにはわかりません。
Viedocプラットフォームでの情報処理の目的は、臨床研究を含む科学的な研究を行うことであり、その必要性と比例性は研究スポンサー(ほとんどの場合、Viedoc Technologiesの顧客と同じ)の責任となります。データ収集は、通常、倫理委員会と管轄の規制当局の審査と承認を受ける試験プロトコルによって概説されます。
データ収集は、通常、次のような関係者および順序で実施されます。
データフロー
データローカリティとサブプロセッサー
ヨーロッパのインスタンス
Viedocのヨーロッパ・インスタンスの主要なインフラはフランスにあり、米国のサブプロセッサーはMicrosoftとそのAzureプラットフォームです。バックアップ・ストレージとEメール/SMSゲートウェイもヨーロッパにあり、MailJet、Elastic Email、SMS-Teknikがサブプロセッサーを担当しています。
日本インスタンス
Viedocの日本インスタンスの主要インフラは日本にあり、米国のサブプロセッサーはマイクロソフトとそのAzureプラットフォームです。バックアップストレージとEメール/SMSゲートウェイは日本とヨーロッパにあり、HENNGE、MailJet、SMS-Teknikがサブプロセッサーを担当しています。
中国インスタンス
Viedocの中国インスタンスの主要インフラは中国本土にあり、サブプロセッサーは21ViaNet、Microsoft Azureプラットフォームの国内インスタンスに設置されています。バックアップ・ストレージとEメール/SMSゲートウェイも中国にあり、サブプロセッサーはAliYunとAWS Chinaです。
米国インスタンス
Viedocの米国インスタンスの主要インフラは米国にあり、マイクロソフトとそのAzureプラットフォームをサブプロセッサとしている。バックアップ・ストレージも米国にあり、サブプロセッサーはAWSです。電子メール/SMSゲートウェイはヨーロッパにあり、MailJet、Elastic Email、SMS-Teknikをサブ・ロセッサーとしています。
リスクとリスク軽減
処理の背景
Viedocは臨床研究のためのデータ収集プラットフォームであり、研究対象者の治療のための医療機器または臨床意思決定支援システムとして使用されることを目的としていません。このことは、すべての顧客が締結する一般取引条件(GTC: General Terms and Conditions)、およびすべてのプラットフォームユーザーが締結する利用規約に記載されています。
さらに、GTCは、Viedocのアラート機能が安全対策のために利用される場合、例えば、重篤な有害事象を認識するための手段として、この機能だけに依存することはできないとも述べています。安全対策は別途実施する必要があります。
これらの記述は、プラットフォームの不適切な使用によって生じるリスクを回避するためのものです。プラットフォームの条件に従って使用される場合、Viedocの誤ったデータ、または利用不能は、プラットフォーム上で情報が処理される自然人に対して直接的な物理的リスクをもたらすものではありません。
デザインによるプライバシーとリスク回避
Viedocプラットフォーム、Viedocのサービス提供、Viedoc Technologiesの組織は、プライバシーと情報セキュリティを考慮して設計されています。デザインによるプライバシーを確保し、最悪のリスクを回避するための対策には、以下のようなものがあります。
- すべてのデータの構造化処理、詳細なデータ目録、データ処理のマッピング
- 入力前のデータを仮名化することはお客様の責任であり、要件であるというGTC声明 1)
- Viedoc Technologies の従業員が顧客データにアクセスすることを防止するための組織的・技術的なアクセス制御
1) ただし、データ処理契約の付録でこれを上書きすることが可能である。
基本的なリスクの最小化および軽減措置
Viedoc Technologies は、ISO 27001 に従って認定され、情報セキュリティへの構造的かつ継続的なアプローチを促進するリスクベースの情報セキュリティ管理システム (ISMS) を実装しています。すべてのISO 27001 annex A の controlは、当社の適用範囲に含まれており、その一部は以下のとおりです。
- 全スタッフの継続的な情報セキュリティ意識向上トレーニング
- 職務の分離
- 開発環境と本番環境の分離
- 最小特権の原則の使用
- ネットワークの細分化、ファイアウォール
- アンチマルウェアの継続的な更新
- 技術的な脆弱性の管理
- 開発ライフサイクルに組み込んだセキュリティテスト
- 継続的な脆弱性スキャン
- 第三者による定期的な侵入テスト
- 外部的および内部的な転送時のエンドツーエンドの暗号化
- 保存データの暗号化
- サブプロセッサーに対する監査およびデータ保護契約の締結
HIPAAセキュリティ基準
以下の表は、45 CFR 164のサブパートCで概説されているセーフガードのViedoc Technologiesの実施状況です。
Standards |
Subsection of §164 |
Implementation Specifications |
Status |
Administrative Safeguards |
|
||
Security Management Process |
308(a)(1) |
Risk Analysis (R) |
Implemented |
Risk Management (R) |
Implemented |
||
Sanction Policy (R) |
Implemented |
||
Information System Activity Review (R) |
Implemented |
||
Assigned Security Responsibility |
308(a)(2) |
(R) |
Implemented |
Workforce Security |
308(a)(3) |
Authorization and/or Supervision (A) |
Implemented |
Workforce Clearance Procedure |
Implemented |
||
Termination Procedures (A) |
Implemented |
||
Information Access Management |
308(a)(4) |
Isolating Health care Clearinghouse Function (R) |
N/A |
Access Authorization (A) |
Implemented |
||
Access Establishment and Modification (A) |
Implemented |
||
Security Awareness and Training |
308(a)(5) |
Security Reminders (A) |
Implemented |
Protection from Malicious Software (A) |
Implemented |
||
Log-in Monitoring (A) |
Implemented |
||
Password Management (A) |
Implemented |
||
Security Incident Procedures |
308(a)(6) |
Response and Reporting (R) |
Implemented |
Contingency Plan |
308(a)(7) |
Data Backup Plan (R) |
Implemented |
Disaster Recovery Plan (R) |
Implemented |
||
Emergency Mode Operation Plan (R) |
Implemented |
||
Testing and Revision Procedure (A) |
Implemented |
||
Applications and Data Criticality Analysis (A) |
Implemented |
||
Evaluation |
308(a)(8) |
(R) |
Implemented |
Business Associate Contracts and Other Arrangement |
308(b)(1) |
Written Contract or Other Arrangement (R) |
Implemented 2) |
Physical Safeguards |
|
||
Facility Access Controls |
310(a)(1) |
Contingency Operations (A) |
Implemented |
Facility Security Plan (A) |
Implemented |
||
Access Control and Validation Procedures (A) |
Implemented |
||
Maintenance Records (A) |
Implemented |
||
Workstation Use |
310(b) |
(R) |
Implemented |
Workstation Security |
310(c) |
(R) |
Implemented |
Device and Media Controls |
310(d)(1) |
Disposal (R) |
Implemented |
Media Re-use (R) |
Implemented |
||
Accountability (A) |
Implemented |
||
Data Backup and Storage (A) |
Implemented |
||
Technical Safeguards |
|
||
Access Control |
312(a)(1) |
Unique User Identification (R) |
Implemented |
Emergency Access Procedure (R) |
Implemented |
||
Automatic Logoff (A) |
Implemented |
||
Encryption and Decryption (A) |
Implemented |
||
Audit Controls |
312(b) |
(R) |
Implemented |
Integrity |
312(c)(1) |
Mechanism to Authenticate Electronic Protected Health Information (A) |
Implemented |
Person or Entity Authentication |
312(d) |
(R) |
Implemented |
Transmission Security |
312(e)(1) |
Integrity Controls (A) |
Implemented |
Encryption (A) |
Implemented |
2) Viedoc European and Japan instances
継続的なリスクマネジメント
リスクマネジメントは継続的な作業です。Viedoc Technologiesが活動する状況は常に変化しており、当社は継続的に新しいリスクを特定し、対処する手順を導入しています。
Viedoc Technologiesは、HealthIT.gov / Office of the National Coordinator for Health Information Technology (ONC) / Office of the Secretary for the U.S. Department of Health and Human Services (HHS) が提供するセキュリティリスク評価ツールを用いて特定のHIPAAリスク評価を行っています。顧客がViedocの欧州または日本のインスタンスを使用することを選択した場合、Viedoc Technologiesはサービス条件の一部としてMicrosoftとHIPAAビジネス関連契約を締結しており、報告されたリスクスコアは3%でした。