HIPAA ひぱー
簡単に言うとこんな感じ!
米国の医療情報保護法のこと。アメリカの患者さんの健康情報(PHI)を扱うシステムを作る場合、厳格なセキュリティ要件を満たさないと違法になっちゃう規制だよ!
HIPAAとは
HIPAA(Health Insurance Portability and Accountability Act)は、米国の医療保険の携行性と説明責任に関する法律で、1996年に成立しました。ITシステムの観点からは、患者のPHI(Protected Health Information:保護されるべき医療情報)の取り扱いに関するセキュリティ・プライバシー規則が特に重要です。
PHIには患者の氏名・住所・生年月日・診断情報・保険情報などが含まれます。HIPAAを対象とした医療機関や保険会社(Covered Entities)だけでなく、これらに医療IT・クラウドサービスを提供する業者(Business Associates)も準拠義務があります。
主な規則
プライバシー規則(Privacy Rule)
- PHIの使用・開示に関するルール
- 患者の権利(アクセス権・訂正権・通知等)
- 最小必要情報の原則(必要最低限のPHIのみ使用)
セキュリティ規則(Security Rule)
- 電子的PHI(ePHI)の技術的・物理的・管理的セーフガードを規定
| セーフガード種別 | 主な内容 |
|---|---|
| 管理的 | リスク分析、アクセス管理ポリシー、研修 |
| 物理的 | 施設アクセス制御、ワークステーション管理 |
| 技術的 | 暗号化、監査ログ、自動ログオフ |
違反通知規則(Breach Notification Rule)
PHIの漏洩が発生した場合、60日以内に患者・HHS(米国保健福祉省)に通知が必要。500人以上の場合はメディアへの通知も必要。
罰則
| 違反カテゴリ | 最小罰金(1件) | 最大罰金(年間同種違反) |
|---|---|---|
| 知らなかった違反 | $100 | $25,000 |
| 合理的な注意があった | $1,000 | $100,000 |
| 修正した場合 | $10,000 | $250,000 |
| 悪意のある行為 | $50,000 | $1,500,000 |
歴史と背景
HIPAAは1996年にクリントン政権下で成立。当初は主に保険の携行性に関する規定でしたが、2003年にプライバシー規則、2005年にセキュリティ規則が施行。電子カルテや医療クラウドの普及とともに技術的対応が重要になり、2009年のHITECH法によりセキュリティ要件がさらに強化されました。今日では医療系SaaSやクラウドプロバイダーが「HIPAA対応」をうたうことが当たり前になっています。
クラウドでのHIPAA対応
主要なクラウドプロバイダー(AWS・Azure・GCP)はHIPAAに対応したサービスを提供していますが、Business Associate Agreement(BAA)の締結が必要です。BAAなしでPHIをクラウドに保存することはHIPAA違反となります。