HIPAAコンプライアンスチェックリストと使用するツール

医療業界にいる場合、またはその業界のITに何らかの形で関わっている場合は、HIPAAについて聞いたことがあるかもしれません。医療保険の相互運用性の説明責任に関する法律は、患者の個人データを保護するために20年前から存在しています。本日は、HIPAAについて詳しく見ていき、HIPAA認定の取得または維持に役立つ可能性のあるいくつかのツールを確認します。

まず、HIPAAとは何かを簡単に説明してから、標準の最も重要な側面のいくつかを深く掘り下げ、その主要なルールのいくつかについて説明します。次に、HIPAAコンプライアンスチェックリストを紹介します。HIPAAコンプライアンスを達成および維持するために実行する必要のある3つのステップのリスト。最後に、HIPAAコンプライアンスの取り組みを支援するために使用できるいくつかのツールを確認します。

HIPAAの説明

医療データの取り扱いを規制するために、医療保険の相互運用性と説明責任に関する法律（HIPAA）が1996年に導入されました。根本的な原則は、医療システムのユーザーに関する個人データを保護することでした。より正確には、保護された健康情報（PHI）と電子的に保護された健康情報（ePHI）を扱います。制定されると、データ処理、サイバーセキュリティ、および電子請求に関する業界全体の標準が導入されました。

その主な目標は、個人の医療データの機密を保持し、それにアクセスする必要のある人だけがアクセスできるようにすることでした。具体的には、医療機関が保持するすべての患者記録は、許可されていない個人またはグループによるアクセスから保護する必要があることを意味します。HIPAAに関連する唯一のルールではありませんが、これははるかに重要であり、その背後にある考え方は、医療データを悪意のあるまたは不正な使用から保護することです。

分散システムとクラウドコンピューティングの時代では、医療データへの潜在的なアクセスポイントが多数あるため、その保護は複雑な問題になっています。一言で言えば、患者データを完全に保護するために、すべての物理的および仮想的なリソースとシステムを潜在的な攻撃から完全に保護する必要があります。この規格は、どのような慣行を実装する必要があるかを指定していますが、さらに重要なことに、水密ネットワークインフラストラクチャの構築が必要です。

さらに、保護されたデータを安全に保つことができない組織は、深刻な経済的影響に直面します。悪い慣行に対して1日あたり最大50,000ドルの罰金が、年間150万ドルの上限で適用される可能性があります。これは、組織の予算に大きな穴を開けるのに十分です。さらに複雑なことに、規制を遵守することは、いくつかのフォームに記入するだけの問題ではありません。データを効果的に保護するには、具体的な手順を実行する必要があります。たとえば、脆弱性の予防的な管理を実証する必要があります。

次のセクションでは、HIPAAコンプライアンスの主な要素について詳しく説明し、この複雑な問題を可能な限り理解できるようにします。

プライバシールール

情報技術の文脈では、HIPAAの最も重要な部分はプライバシールールです。ePHIにアクセスして処理する方法を指定します。たとえば、対象となる事業体のすべての医療機関、医療計画プロバイダー、およびビジネスアソシエイト（これについては後で詳しく説明します）が、患者データのプライバシーを積極的に保護するための手順を実施することを義務付けています。つまり、元のプロバイダーからデータを保持するデータセンター、およびデータを処理するクラウドサービスプロバイダーまでのすべてのエンティティがデータを保護する必要があります。しかし、それだけではありません。ビジネスアソシエイトは、前述の組織にサービスを提供する請負業者もHIPAAに準拠している必要があることを参照できます。

HIPAAの基本的な要件が患者データを保護することであることは明らかですが、それには別の側面があります。組織はまた、患者がそのデータに対して持つ権利をサポートする必要があります。具体的には、HIPAAには、保持しなければならない3つの特定の権利があります。1つ目は、sPHIの開示を許可する（または許可しない）権利です。2つ目は、いつでも健康記録のコピーを要求（および取得）する権利です。そして最後に、彼らの記録の訂正を要求する患者の権利があります。

さらに細かく分類すると、HIPAAプライバシールールでは、ePHIデータを開示するには患者の同意が必要であると規定されています。患者が自分のデータへのアクセスを要求した場合、組織は30日以内に応答します。時間通りに応答しないと、企業は法的責任と罰金の可能性にさらされる可能性があります。

セキュリティルール

HIPAAセキュリティルールは、前のルールのサブセクションです。ePHIをセキュリティの観点から管理する方法の概要を説明します。基本的に、このルールは、企業が患者データを保護するために「必要な保護手段を実装する」必要があることを示しています。このルールを管理および準拠するのに最も複雑なものの1つにしているのは、「必要な保護手段」という用語に起因するあいまいさです。管理と準拠をいくらか簡単にするために、このHIPAA規則はさらに、管理上の保護、技術的な保護、物理的な保護の3つの主要なセクションに分けられます。それぞれが何を伴うのか見てみましょう。

管理上の保護

HIPAAセキュリティルールでは、管理上の保護手段は、「電子健康情報を保護するためのセキュリティ対策の選択、開発、実装、および保守を管理するための管理アクション、およびポリシーと手順」として定義されています。さらに、規則は、労働力の行動を管理することもこの責任の一部であると述べています。これにより、組織は従業員の行動に責任を持つことができます。

管理上の保護措置は、組織が患者データへのアクセスを制御するための管理プロセスを実装する必要があること、および従業員が情報と安全に対話できるようにするためのトレーニングを提供する必要があることを示しています。従業員の行動を管理するために、HIPAAのポリシーと手順を管理する従業員を任命する必要があります。

物理的な保護手段

管理上の保護手段は手順とプロセスに関係していましたが、物理的な保護手段の要件は異なります。それはすべて、患者データが処理または保存される施設と、そのデータにアクセスするリソースを保護することです。アクセス制御は、HIPAA仕様のこのセクションの最も重要な側面です。

一言で言えば、必要なのは、患者データが処理および保存される場所へのアクセスを制御するための対策を講じることです。また、データが処理および保存されるデバイスを、たとえば2要素認証などの方法を使用して、不正アクセスから保護する必要があります。また、施設内外へのデバイスの移動を制御および/または移動する必要があります。

技術的保護

このセクションでは、患者データの保護に関連する技術ポリシーと手順について説明します。このデータを保護する方法はいくつかありますが、これらには、認証、監査制御、監査レポート、記録保持、アクセス制御、自動ログオフなどがありますが、これらに限定されません。さらに、データがデバイスに保存されているか、システム間または場所間で移動されているかに関係なく、データが常に安全に保たれるようにするための対策を講じる必要があります。

ePHIデータのセキュリティに対するリスク要因と脅威を特定するには、リスク評価の演習を完了する必要があります。そしてそれだけでなく、特定されたリスクや脅威に対処するために具体的な対策を講じる必要があります。HIPAAの技術的保護の側面はおそらく最も複雑であり、資格のあるHIPAAコンプライアンスコンサルタントの支援が、あらゆる組織が石を回さないようにするのに役立つ領域です。

違反通知ルール

HIPAA仕様の次の重要なルールは、違反通知ルールです。その目的は、組織がデータ侵害やその他のセキュリティイベントにどのように対応するかを指定することです。特に、データ侵害が発生した場合、組織は個人、メディア、または保健福祉長官に通知する必要があると述べています。

役割は、違反を構成するものも定義します。これは、「保護された健康情報のセキュリティまたはプライバシーを危険にさらすプライバシー規則の下での許可されない使用または開示」として説明されています。この規則では、組織が必要な関係者に通知するのに最大60日かかることも規定されています。さらに、上記の通知に、公開された個人ID、公開されたデータを使用した個人、およびデータが単に表示されたか取得されたかを示すように要求することによってさらに進んでいます。さらに、通知には、リスクまたは損害が軽減されたかどうか、およびその方法も指定する必要があります。

違反通知ルールのもう1つの不可欠な部分は、レポートを扱います。500人未満の個人に影響を与える小さな違反は、毎年、Health and HumanServicesのWebサイトから報告する必要があります。500人以上の患者に影響を与えるより大きな違反もメディアに報告されなければなりません。このような要件があるため、HIPAAコンプライアンスの取り組みを成功させる秘訣は、違反を綿密に監視することであることがすぐに明らかになります。

HIPAAコンプライアンスチェックリスト

わかった。HIPAAとは何か、およびその主な要件は何かの基礎を説明したので、コンプライアンスステータスを達成または維持するために組織が実行する必要のあるさまざまな手順のチェックリストをまとめました。前に示したように、経験豊富なHIPAAコンプライアンスの専門家の支援を求めることを強くお勧めします。プロセスがはるかに簡単でストレスが少ないだけでなく、セキュリティの実践とプロセスを徹底的に監査し、改善の恩恵を受ける可能性のある領域を特定できる必要があります。

1.リスク評価を完了する

この短いチェックリストの最初の項目である、HIPAAコンプライアンスの準備をするときに誰もが最初にすべきことは、現在のリスクと準備状況の完全な評価です。最初にそれを行う必要がある理由は、現在のステータスによって、コンプライアンスを達成するためにさらにどのような手順を実行する必要があるかが決まるためです。PHIおよびePHIデータの処理方法を決定するグローバルリスク評価により、セキュリティポリシーと手順のギャップを明らかにすることができます。

これは、外部コンサルタントが不思議に思う最初の場所です。まず、彼は通常、HIPAAコンプライアンスの準備に関する幅広い専門知識を持っていますが、おそらくもっと重要なことに、彼は別の視点から物事を見るでしょう。さらに、そのコンサルタントは、HIPAAのさまざまな要件と、それらが特定の状況にどのように適用されるかを完全に理解します。

リスク評価フェーズが完了すると、コンプライアンスの達成に役立つ推奨事項のリストが残ります。そのリストは、次のステップのやることリストと考えることができます。このステップがどれほど重要かを強調することはできません。それは何よりも成功の​​最も決定的な要因となるでしょう。

2.コンプライアンスリスクを修正し、プロセスを改善する

2番目のステップは最初のステップよりもはるかに簡単です。次に行う必要があるのは、最初のステップからすべての推奨事項を取得し、それらに対処することです。これは、プロセスと手順を変更する必要があるステップです。これは、ユーザーからの抵抗が最も多い場所である可能性があります。もちろん、抵抗の程度は、最初にどれだけ近かったか、何回変更する必要があるか、そしてそれらの変更の正確な性質によって異なります。

小さなコンプライアンスの問題に最初に対処することをお勧めします。たとえば、基本的なサイバーセキュリティの実践についてスタッフをトレーニングしたり、2要素認証の使用方法を教えたりするなどの基本的な対策を実装するのは簡単で、かなり迅速かつスムーズに開始できます。

簡単なタスクを完了したら、残りのタスクに優先順位を付けるのに役立つ修復ターゲットを設定する必要があります。たとえば、最初のステップの結果が、何らかの形式のコンプライアンスレポートを配置する必要があることを示している場合、ここから自動コンプライアンスレポートを備えたツールの購入を開始します。これは、外部コンサルタントがコンプライアンスを達成するために実装する必要のある変更についての貴重な洞察を提供することにより、多くの苦痛を軽減できるもう1つの領域です。

3.継続的なリスク管理

HIPAAコンプライアンスの達成は1回限りの取引であり、一度取得すれば取得できると考えたくなるかもしれません。残念ながら、これは真実から遠くなることはできません。コンプライアンスの達成は1回限りの取り組みですが、それを維持することは日常の努力です。リスクを継続的に管理し、患者データが安全であり、不正な方法でアクセスまたは改ざんされていないことを確認する必要があります。

具体的には、定期的な脆弱性スキャンを実行する必要があります。また、手遅れになる前に疑わしいアクティビティの兆候を検出するために、システムログを注意深く監視する必要があります。これは、自動化されたシステムが最も役立つ場所です。最初の2つのフェーズでは外部コンサルタントが最高の資産でしたが、今ではソフトウェアツールが必要です。そして、ソフトウェアツールについて言えば、私たちがお勧めしたいことがいくつかあります。

HIPAAコンプライアンスを支援するためのいくつかのツール

さまざまな種類のツールが、HIPAAコンプライアンスの取り組みを支援します。それらのうちの2つは特に役立ちます。まず、構成管理および監査ツールは、システムの構成がHIPAAまたはその他の規制フレームワークの要件を満たしていることを確認できます。ただし、機器の構成を常に監視し、許可された変更がコンプライアンスに違反しないように、許可されていない変更が実行されないようにすることもできます。私たちのリストには、これらのツールがいくつか含まれています。

HIPAAコンプライアンスのコンテキストで役立つ別のタイプのツールは、データ侵害の検出を扱います。その目的のために、セキュリティ情報およびイベント管理（SIEM）システムは、あなたにふさわしい安心を提供し、疑わしいことが起こった場合に迅速に通知されることを保証します。リストには、いくつかのSIEMツールも含まれています。

1. SolarWindsサーバー構成モニター（無料トライアル）

サーバー構成の監視と監査に関しては、SolarWindsサーバー構成モニターまたはSCMが必要です。これは、ネットワーク内のサーバーとアプリケーションの変更を追跡できるように設計された、強力で使いやすい製品です。トラブルシューティングツールとして、構成の変更とパフォーマンスの低下との相関関係に関する必要な情報を提供できます。これは、構成の変更によって引き起こされるいくつかのパフォーマンスの問題の根本的な原因を見つけるのに役立ちます。

• 無料トライアル：SolarWindsサーバー構成モニター
• 公式ダウンロードリンク：https：//www.solarwinds.com/server-configuration-monitor/registration

SolarWindsのサーバの設定・モニタは、監視されている各サーバーにデプロイエージェントとエージェントベースのツールです。このアーキテクチャの利点は、サーバーがネットワークから切断されている場合でも、エージェントがデータを収集し続けることができることです。サーバーがオンラインに戻るとすぐに、データがツールに送信されます。

機能面では、この製品には何も望まれていません。すでに述べたことに加えて、このツールは監視の対象となるサーバーを自動的に検出します。最も一般的なサーバー用のすぐに使用可能な構成プロファイルが付属しています。このツールを使用すると、ハードウェアとソフトウェアのインベントリを表示して、それらについてレポートすることもできます。SolarWindsのOrionPlatformのおかげで、SCMをシステム監視ソリューションに簡単に統合できます。これは、オンプレミスの物理サーバーと仮想サーバー、およびクラウドベースの環境を監視するために使用できる優れたツールです。

SolarWindsサーバー構成モニターの価格はすぐには入手できません。SolarWindsに正式な見積もりをリクエストする必要があります。ただし、30日間の評価版をダウンロードできます。

2. SolarWindsセキュリティイベントマネージャー（無料トライアル）

セキュリティ情報とイベント管理に関しては、SolarWindsセキュリティイベントマネージャー（以前はSolarWinds Log＆Event Managerと呼ばれていました）が必要です。このツールは、エントリーレベルのSIEMツールとして最もよく説明されています。ただし、これは市場で最高のエントリーレベルシステムの1つです。このツールには、SIEMシステムに期待できるほとんどすべてのものが含まれています。これには、優れたログ管理と相関機能、および優れたレポートエンジンが含まれます。

• 無料トライアル：SolarWindsセキュリティイベントマネージャー
• 公式ダウンロードリンク：https：//www.solarwinds.com/security-event-manager/registration

このツールは、何も望まれない優れたイベント応答機能も備えています。たとえば、詳細なリアルタイム応答システムは、あらゆる脅威に積極的に対応します。また、署名ではなく動作に基づいているため、未知または将来の脅威やゼロデイ攻撃から保護されます。

その印象的な機能セットに加えて、SolarWinds Security EventManagerのダッシュボードはおそらくその最高の資産です。シンプルなデザインで、ツールの周りを見つけて異常をすばやく特定するのに問題はありません。約4500ドルから、このツールは手頃な価格以上のものです。また、試してみて、ご使用の環境でどのように機能するかを確認したい場合は、完全に機能する30日間の無料試用版をダウンロードできます。

3. WindowsServer用のNetwrixAuditor

次のリストは、WindowsServer用のNetwrixAuditorです。これは、WindowsServer構成に加えられたすべての変更を投稿できる無料のWindowsServerレポートツールです。ソフトウェアとハ​​ードウェアのインストール、サービスの変更、ネットワーク設定、スケジュールされたタスクなどの変更を追跡できます。この料金は、各変更の前後の値を含む、過去24時間のすべての変更の詳細を示す毎日のアクティビティの概要を送信します。

Netwrixは、WindowsServer用のNetwrixAuditorは、「あなたが探していた無料のWindowsServer監視ソリューション」であると主張しています。この製品は、ネイティブネットワーク監視およびWindowsパフォーマンス分析ソリューションを補完します。これには、WindowsServerで使用可能な組み込みの監査ツールに比べていくつかの利点があります。特に、セキュリティが向上し、より便利な監査データの取得、統合、および表現が提供されます。また、はるかに少ない時間と労力で継続的なIT監査を簡単に実現し、変更をより効率的に制御できることも理解できます。

良いとしてのWindows ServerのNetWrixの監査役であり、それはやや限定された機能セットを持つ無料のツールです。より多くの機能が必要な場合は、Netwrix Auditor StandardEditionをお試しください。これは無料のツールではありませんが、大幅に拡張された機能セットが付属しています。良い点は、WindowsServer用の無料のNetwrixAuditorをダウンロードすると、最初の30日間はその兄貴のすべての機能が含まれ、それを味わうことができるということです。

4. SplunkEnterpriseのセキュリティ

Splunk Enterprise Security（通常はSplunk ESと呼ばれます）は、最も人気のあるSIEMツールの1つである可能性があります。分析機能で特に有名であり、データ侵害の検出に関しては、これが重要です。Splunk ESは、システムのデータをリアルタイムで監視し、脆弱性や異常なアクティビティや悪意のあるアクティビティの兆候を探します。

優れたモニタリングに加えて、セキュリティレスポンスはSplunkESの最高の機能の1つです。このシステムは、55を超えるセキュリティベンダーの機器と統合するAdaptive Response Framework（ARF）と呼ばれる概念を使用しています。ARFは自動応答を実行し、手動タスクを高速化します。これにより、すぐに優位に立つことができます。それに、シンプルで整頓されたユーザーインターフェイスを追加すれば、優れたソリューションが得られます。その他の興味深い機能には、ユーザーがカスタマイズ可能なアラートを表示するNotables機能や、悪意のあるアクティビティにフラグを付けてさらなる問題を防止するためのAssetInvestigatorが含まれます。

Splunk ESは真にエンタープライズグレードの製品であるため、エンタープライズサイズの値札が付いてくることが期待できます。残念ながら、価格情報はSplunkのWebサイトからすぐに入手できないため、見積もりを取得するには、会社の営業部門に連絡する必要があります。Splunkに連絡すると、製品を試してみたい場合に無料トライアルを利用することもできます。

5.クエスト変更監査人

Quest Softwareは、ネットワーク管理およびセキュリティツールの有名なメーカーです。そのサーバー構成の監視および監査ツールは、適切にはQuest Change Auditorと呼ばれ、MicrosoftWindows環境のリアルタイムのセキュリティとIT監査を提供します。このツールが提供するのは、Microsoft Active Directory、Azure AD、Exchange、Office 365、Exchange Online、ファイルサーバー、およびもっと。Quest Change Auditorは、組織全体のログオン、認証、およびその他の主要なサービスの詳細なユーザーアクティビティも追跡し、脅威の検出とセキュリティの監視を強化します。複数のIT監査ソリューションの必要性と複雑さを排除する中央コンソールを備えています。

このツールの優れた機能の1つは、プロアクティブな脅威検出テクノロジーであるQuest Change Auditor ThreatDetectionです。異常なアクティビティを分析して組織内で最もリスクの高いユーザーをランク付けし、潜在的な脅威を特定し、誤検知アラートからのノイズを減らすことで、ユーザーの脅威の検出を簡素化できます。このツールは、特権グループ、グループポリシーオブジェクト、機密性の高いメールボックスなど、AD、Exchange、およびWindowsファイルサーバー内の重要なデータへの変更からも保護します。GDPR、SOX、PCI-DSS、HIPAA、FISMA、GLBAなど、セキュリティのベストプラクティスと規制コンプライアンスの義務に関する包括的なレポートを生成できます。また、多数のシステムやデバイスからの異種データをインタラクティブな検索エンジンに関連付けて、セキュリティインシデントへの迅速な対応とフォレンジック分析を行うこともできます。

Quest Change Auditorの料金体系は、監視対象の各プラットフォームを個別に購入する必要があるため、かなり複雑です。プラス面として、サポートされているプラ​​ットフォームごとに製品の無料トライアルを利用できます。

結論は

HIPAAコンプライアンスを達成することは深刻な課題ですが、それは決して不可能ではありません。実際、それは、いくつかの単純でありながら手の込んだ手順に従い、可能な限り簡単にするために適切な人材と適切なテクノロジーであなたを取り巻くだけの問題です。HIPAAの要件の一部は非常にあいまいに見える場合があることに注意してください。そのため、専門のコンサルタントと専用のソフトウェアツールの形でのみサポートを受けることをお勧めします。これにより、移行が可能な限りスムーズになります。