コンプライアンスとフレームワーク
HIPAA
別称: 医療保険の相互運用性と説明責任に関する法律
定義
個人を特定可能な医療情報の保護に関する国家基準を定めた米国の医療保険の相互運用性と説明責任に関する法律。
1996 年制定の Health Insurance Portability and Accountability Act(HIPAA)は、Privacy Rule、Security Rule、Breach Notification Rule を通じて、保護対象保健情報(PHI)を保護するための米国の国家基準を定めています。健康保険プラン、電子取引を行う医療提供者、医療クリアリングハウスなどの「Covered Entity」と、その代理で PHI を扱う「Business Associate」に適用されます。Security Rule は、アクセス制御、監査ログ、伝送のセキュリティ、リスク分析など、管理的・物理的・技術的セーフガードの実装を要求します。米国保健福祉省公民権局(OCR)が執行を担い、民事罰、故意違反の場合には刑事罰を科すことができます。
例
- 病院が Security Rule に対応するため PHI を保存時・伝送時に暗号化する。
- SaaS ベンダーが医療プロバイダーと Business Associate Agreement(BAA)を締結する。
関連用語
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
GDPR
EU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。
暗号化
アルゴリズムと鍵を用いて平文を暗号文に変換し、認可された当事者のみが元のデータを復元できるようにする処理。
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。