HIPAA では「保存中」か「移動中」かによって、暗号化ソフトウェアの要件が異なります。
保存中 :はアクティブではなく、ハードドライブや SSD か、タブレットのようなデバイスに保存されています。データは、高度な暗号、フルディスク/仮想ディスクセキュリティ、モバイルデバイス暗号化(適用可能な場合)などを使用して保護する必要があります。
移動中 :メール経由、クラウドへの転送、サーバーとモバイル間の伝送などによって、送信者と宛先の間をアクティブに移動しています。
HIPAA には、 AES-256 などの手法を用いて準拠できます。AES-256 は米国政府から機密データ処理の認可を受け、総当り攻撃をほぼ不可能にします。TLS(転送レイヤーセキュリティ)は、HTTPS、メール、IM などのデータ転送を保護するもうひとつのプロトコルです。これにも AES-256 が、他のセキュリティ手法と組み合わせて使用されます。OpenPGP(かなり良好なプライバシー保護)と S/MIME も HIPAA に準拠していますが、公開鍵管理の要件もあり、AES-256 や TLS 1.2 と比較して労力がかかると多くの人が感じています。
一般的なおすすめは、保存中のデータに AES-256 暗号化、移動中データに TLS を使用してシステムを保護することです。しかし、これはセキュリティ対策として万能の解決方法ではありません。お使いの HIPAA 対応セキュリティの弱点を洗い出し、軽減することが大切です。
スタッフと研修(ソーシャルエンジニアリング) :昔から繰り返し語られている真理ですが、サイバーセキュリティの最大の弱点は人であり、それはヘルスケア業界でも変わりません。デバイスの紛失と盗難 :上で述べたとおり、ePHI の入ったノートパソコン、フラッシュドライブ、電話などのデバイスを紛失した場合、何百万ドルも支払わなければならなくなることがあります。サードパーティパートナー :ePHI を取り扱うサードパーティのクラウドや IT ベンダは、提携する医療提供者やサービスと同程度の技術セキュリティ標準に準拠する必要があります。保護されていないメールシステム/サーバー :組織内でまだ保護されていないメールクライアントやサーバーを使用している人がいたら、シャットダウンしてください。脆弱な暗号化 :特に量子コンピューティングなどのコンピュータ技術の革新によって、これまで長い間十分に安全だと考えられていた旧式の暗号化標準が、実際には最近のサイバー犯罪者にとって危険なまでに穴だらけになっています。更新されていない暗号化鍵や証明書 :NIST 推奨の有効期限が切れた後や、データ漏洩の後にも使用されている暗号化鍵は、組織内に侵入される原因になります。
HIPAA 技術セーフガードでは、暗号化要件が「Addressable(対応可能な)」と呼ばれているため、混乱する場合があります。PHI 暗号化の用語はあいまいです。「…entities should implement a mechanism to encrypt PHI whenever deemed appropriat(事業体は、適切と思われる場合はいつでも PHI を暗号化する仕組みを実装する必要があります)」
この文脈で「Addressable」とは、セーフガードまたは同等の代替策を実装する必要があり、セーフガードを実装しない場合は文書に正当化の理由を記載しなければならないことを意味します。たとえば、ファイアウォールで保護された内部サーバーを経由した内部通信では、外部から PHI の整合性を損なわれるリスクはありません。しかし ePHI を含む通信が、ファイアウォールで保護された事業体を離れる場合、今度は実効性のあるセーフガードを使用して処理しなければなりません。
事業体は、情報が適切に保護されている場合のみ、オープンネットワークを通じてメールで ePHI を伝送できます。リスク管理計画を策定して、ePHI の機密性、整合性、可用性に対するリスクを適切なレベルにまで軽減できるように、リスク解析を行ってそれらのリスクを探す必要があります。
全メッセージの暗号化はリスク管理の一般的手法ですが、同等のレベルの保護も、暗号化の代わりに使用できます。
ノートパソコンやフラッシュドライブの紛失と同じように、個人所有のモバイル機器を職場で使用しても、PHI の整合性を損なうことがあります。医療専門職の 5 人に 4 人がワークフロー管理にタブレットを使用しています 。 医療機関内で暗号化されていないデバイスの使用を禁止した場合、コミュニケーションや他の医療業界関連の活動に多大な混乱を引き起こすおそれがあります。
セキュアなメッセージングプラットフォームでは、保存中と移動中の PHI を両方とも暗号化することで HIPAA 暗号化要件に対応しているため、この問題のソリューションとなる可能性があります。PHI を含む通信は、不正な傍受やアクセスをされた場合でも、復号されるおそれがありません。セキュアなメッセージングソリューションは、HIPAA のメール暗号化要件だけでなく、アクセス管理、監査管理、完全性管理、ID 認証などの要件にも適合します。このソリューションでは、(画像を含む)医療情報を安全に共有できるため、ポケットベルよりも有用です。
技術の進歩やサイバー犯罪の巧妙化に従って、患者の医療情報を移動中にも保護するための HIPAA や他の法令などの規制対応は、ますます厳しくなっていくでしょう。
#KingstonIsWithYou
