アクロニスによる HIPAA コンプライアンスの確保

医療保険の相互運用性と説明責任に関する法律、つまり HIPAA コンプライアンスでは、医療機関に患者の保護対象医療情報（PHI）におけるプライバシーとセキュリティの保護を義務付けています。アクロニスがこれらのコンプライアンス要件の達成をどのように支援するのかをご確認ください。

HIPAA とサイバーセキュリティの関係性

HIPAA は、米国全体にわたり、患者の PHI におけるプライバシーと保護を保証しています。この規制により、個人が自身の情報を管理できるだけでなく、医療データの取り扱い方法が標準化されます。

HIPAA サイバーセキュリティの柱

プライバシーおよびセキュリティの規則

電子的な PHI の保護に対して、管理的、物理的、技術的な保護措置が確立されている。患者が自身の情報にアクセスし、管理する権利を有している。

違反の通知

企業は、未保護の PHI に対して侵害が発生した場合、影響を受ける個人、米国保健福祉長官、およびメディア（該当する場合）に通知する義務を負う。

罰則の執行

米国 HHS により、コンプライアンス違反が調査され、罰則（民事制裁金など）が課される。

従業員トレーニング

人的エラーは侵害の主な原因となる。 HIPAA は、プライバシー、セキュリティ、フィッシング、PHI の取り扱いに関する定期的な従業員トレーニングを義務付けることで、インサイダー脅威や不慮の情報漏えいを抑止する。

HIPAA の罰金および罰則

HIPAA に違反した場合、多額の罰金、規制当局による調査、法的措置の対象となる可能性があります。金銭的な影響に加え、医療機関の評判が損なわれ、患者の信頼を失うおそれもあります。マネージドサービスプロバイダー（MSP）においても、医療機関がシステムや患者データのコンプライアンスを確保するうえで MSP に期待を寄せることがあるため、規制上のプレッシャーが高まる可能性があります。

違反 1 件につき最大 7 万 1,000 ドル
階層 1～階層 3
違反 1 件につき最大 210 万ドル
階層 4

医療機関が HIPAA 要件の達成に至らない主な要因

多くの組織が HIPAA 要件の達成に苦慮する原因として、以下のようなセキュリティ上、運用上の戦略に関するギャップが挙げられます。

リスク分析の失敗
脆弱なアクセス制御
不十分な技術上の保護対策
限られたリソース
包括的な従業員トレーニングの欠如

アクロニスは HIPAA 遵守をどのように支援するのか

アクロニスは、コンプライアンス対応ソリューションが組み込まれたネイティブ統合の保護により、組織が HIPAA の主な要件を達成できるよう支援します。

データ管理の簡素化

信頼性の高い暗号化で患者データを常時保護します。データがローカルに保存されていても、クラウドに保存されていても、不正アクセスやデータ侵害を阻止できます。アクロニスは、自動バックアップやワンクリックリカバリなどの機能により、組織がデータのインテグリティと可用性を保持できるようにします。

HIPAA 対応のディザスタリカバリ

アクロニスのソリューションは、安全なデータレプリケーション機能とフェイルオーバー機能を備えており、患者データを損なうことなく災害からシステムを復旧できます。

詳細な監査とレポート

データアクセス、バックアップ操作、セキュリティ事象に関する詳細なログとレポートにより、明確な監査証跡を容易に保持できます。これらの機能により、厳格な規制要件の達成に求められる透明性を確保し、説明責任を果たすことができます。

Acronis Compliance Navigator

アクロニスが HIPAA コンプライアンス達成をどのように支援できるか、マッピング全体を確認

HIPAA のリソース

サポート情報

よくあるご質問（FAQ）

HIPAA とは何ですか？
HIPAA（ 医療保険の相互運用性と説明責任に関する法律 ）は、機密性の高い患者データを保護するための基準を定めた米国法です。この法律は、医療提供者、医療保険制度、医療情報処理機関といった対象事業者に適用されます。また、対象事業者の業務を代行し、保護対象医療情報（PHI）を取り扱う外部委託先にも適用されます。 HIPAA は、PHI の保護に関する国家基準を定めた プライバシールール 、電子的な PHI（ePHI）の保護基準を定めた セキュリティルール 、未保護の PHI の侵害報告を義務付けた 侵害通知ルール といった主要ルールで構成されています。これらのルールは、PHI を扱う IT プロバイダー、マネージドサービスプロバイダー（MSP）、クラウドベンダーにも適用されます（HIPAA が定める外部委託先と見なされるため）。
HIPAA を重視すべき理由は何ですか？
HIPAA は、金銭的にも法的にも大きな影響を及ぼす極めて重要な規制であるため、重視する必要があります。 HIPAA に違反すると、違反カテゴリごとに 年間最大 150 万ドルの罰金 という厳格な罰則が科される可能性があります。この法律は、電子的に保護された医療情報（ePHI）の保管方法、アクセス方法、送信方法に厳格なルールを課しており、強固なセキュリティ対策を講じる必要性を示しています。同法は、社内業務だけでなく、提携するサードパーティベンダーにも適用されます。
さらに、 MSP やその他のベンダーは、HIPAA で定められた外部委託先として責任を負う ため、ベンダーの過失が原因で侵害が発生した場合でも、直接罰金を科される可能性があります。医療業界は、医療データの機密性と価値の高さから、近年サイバー犯罪者にとって格好の標的となっています。電子カルテからネットワーク接続された医療機器に至るまで、攻撃対象領域が拡大している現在、事業と患者の双方を守るためには、コンプライアンスの徹底と強固なサイバーセキュリティ対策がこれまで以上に重要になっています。
HIPAA は、個人の医療情報におけるプライバシーとセキュリティを保護するための国家基準を定めた連邦法です。同法の遵守は、このような機密データを扱う特定の事業体に義務付けられます。
保護対象医療情報（PHI）には何がありますか？
PHI には、個人の健康状態、医療提供、または特定の個人に紐づけることが可能な医療料金の支払いに関する全情報が該当します。たとえば、以下の情報が対象となります。
- 氏名、住所、その他の連絡先情報
- 社会保障番号および医療記録番号
- 医療保険情報
- 患者の画像
- 個人に関連する日付（生年月日、入院日など）
- 過去、現在、将来にわたる身体的・精神的な健康状態に関する全データ
HIPAA を遵守すべき組織の条件は何ですか？
HIPAA コンプライアンスは、主に次の 2 グループに適用されます。
- 対象事業体: 医療提供者、医療計画、医療事務処理会社が対象です。たとえば、医師、診療所、病院、歯科医、医療保険会社などが該当します。
- 外部委託先: 対象事業体の代理で PHI の取り扱いや開示などのサービスを行うサードパーティ組織が対象です。これには、請求書発行会社、データストレージプロバイダー、IT サービスなどが該当します。
組織または個人が上記のいずれかのカテゴリに該当し、PHI を取り扱う場合、HIPAA 規則の遵守が義務付けられます。

申し訳ありません。ご利用のブラウザはサポートされていません。

現在ご利用のブラウザのバージョンは、弊社の新しいウェブサイトと互換性がないようです。ただし、この問題は簡単に解決できます。ウェブサイトを正しい状態でご覧になるには、ブラウザをアップデートしてください。