ほとんどのHIPAA準拠バックアップ評価は、機能一覧から始まります。HIPAA準拠のバックアップソフトウェアはすべて同じように構築されているわけではありません。AES-256暗号化と署名済みのBAAを謳う2つのソリューションでも、バックアップデータがストレージに到達する前にベンダーのインフラストラクチャを経由するかどうかという1つの要素によって、HIPAAへの対応リスクは大きく異なります。このアーキテクチャ上の決定によって、BAAの義務、暗号化キーの所有権、そしてHIPAA監査の範囲が決まります。
この記事では、HIPAA準拠のバックアップソフトウェアソリューション5つを、データアーキテクチャ、BAAの範囲、暗号化キーの所有権、不変ストレージ、監査ログのエクスポート可能性という5つの基準に基づいて評価します。BAAでカバーしなければならない内容とカバーしない内容の詳細については、完全な記事をご覧ください。 HIPAAバックアップガイドこれは、契約上の要件を詳細に網羅しています。
Zmanda ProがHIPAA準拠のバックアップ環境をどのようにサポートしているかをご覧ください。
各ソリューションをどのように評価したか
HIPAA準拠のバックアップソフトウェアを評価するには、一貫した方法論が必要です。この記事で紹介するすべてのベンダーは、同じ5つの基準に基づいて、同じ方法で評価されます。これは、以前の記事で詳しく説明したフレームワークと同じです。 契約締結前にこれらの基準を評価する方法以下の表は、各基準と、それが貴社のコンプライアンス体制にどのような影響を与えるかを定義しています。
| 基準 | それが決定するもの |
|---|---|
| データアーキテクチャ | ベンダーが電子保護医療情報(ePHI)を取り扱うかどうか、またベンダーとの事業提携契約(BAA)が必要かどうか |
| BAAの範囲 | BAAに署名しなければならない当事者は誰か、それが標準的なものか、構成依存のものか |
| 暗号化キーの所有権 | 誰が鍵を握っていて、誰がバックアップデータを復号できるのか |
| 不変ストレージ | ランサムウェアや不正な削除・改ざんに対する保護レベル |
| 監査ログのエクスポート機能 | ベンダーのUI以外でログを生成してOCRレビューに利用できるかどうか |
HIPAA準拠のバックアップソフトウェアソリューション5つを評価した。
これら5つのソリューションは、医療ITチームがHIPAA準拠のバックアップソフトウェアを選択する際に最も一般的に評価する、アーキテクチャ、価格帯、および導入モデルの範囲を表しています。
1. ズマンダプロ
最適な用途: 医療機関が、エンタープライズレベルのライセンス費用や複雑さを伴うことなく、電子医療情報(ePHI)の直接的な管理、顧客が保有する暗号化キー、およびエンタープライズグレードのバックアップ機能を実現したい場合。
データアーキテクチャ: ストレージへの直接保存。バックアップデータは、保護対象のエンドポイントから、Zmandaのインフラストラクチャを経由することなく、顧客が選択したストレージ先に直接送信されます。Zmandaは、バックアップまたは復元プロセスのどの段階においても、電子医療情報(ePHI)を取り扱いません。これは、ほとんどの医療機関で採用されている標準的な導入モデルである、セルフホスト型導入に適用されます。
BAAの範囲: セルフホスト型デプロイメントの場合、ZmandaはHIPAAに基づくビジネスアソシエイト(BAA)には該当しないため、ZmandaとのBAAは不要です。BAAの適用範囲は、お客様が選択したストレージプロバイダー(AWS、Azure、Google Cloud、Wasabi、またはBAAを提供するS3互換ストレージ)に限定されます。Zmandaホスト型またはマネージドサービス型デプロイメントの場合、BAAの要件は、特定のデプロイメントモデルに基づいてZmandaのコンプライアンスチームに確認する必要があります。これは、ベンダー提供のHIPAA準拠バックアップソフトウェアではセルフホスト環境では実現できない、コンプライアンスの簡素化です。
暗号化キーの所有権: お客様側で管理されます。Zmanda Proが初めてバックアップ先を設定する際、高エントロピーのランダムな暗号化キーが生成されます。すべてのバックアップデータはAES-256で暗号化され、データの整合性を確保するために認証されます。暗号化キーは暗号化されていない状態でクライアントから送信されることはなく、Zmandaのインフラストラクチャに送信または保存されることもありません。復号キーを保有するのは、お客様の組織またはバックアップ管理者のみです。Zmandaはいかなる状況下でもバックアップデータを復号することはできません。
不変ストレージ: S3 Object Lock のコンプライアンスモードがサポートされています。すべてのバックアップは、不正な変更、削除、暗号化を防止する WORM (Write Once, Read Many) テクノロジーを備えたセキュアな保管庫に保存されます。エアギャップストレージと 3-2-1-1-0 バックアップ戦略は、2 クリックで設定でき、ランサムウェア攻撃シナリオと §164.312(c)(1) に基づく OCR データ整合性レビューの両方で有効な保護を提供します。
監査ログのエクスポート機能: 詳細なログには、すべてのデータアクセス、変更、バックアップ、および復旧操作が記録されます。 コンプライアンスレポート 監査や調査の際に、HIPAAの文書化要件への準拠を証明するために、必要に応じてログを生成できます。ログの保持はストレージ層で管理されるため、顧客は保持期間を完全に制御でき、§164.312(b)に基づく6年間の保持要件を顧客が選択したストレージ先で確実に満たすことができます。
転送中の暗号化: TLS 1.2暗号化は、転送中のすべてのデータを保護します。 AES-256暗号化 保存されているデータを保護します。どちらもデフォルトで適用され、オプション設定ではありません。
アクセス制御: 役割ベースのアクセス制御(RBAC)とシングルサインオン(SSO)の統合により、許可された担当者のみが保護対象の医療情報にアクセスできるようになります。すべてのアクセスおよび管理操作は、監査目的でログに記録されます。
展開: Linuxファーストで、30種類以上のワークロードタイプをカバーする幅広いワークロードサポートを備えています。 Windows (NAIST) と Linux サーバー、 ヴイエムウェア, Hyper-Vの, Microsoft SQLOracleデータベース、ファイルシステム、エンドポイントデバイス。ハイブリッド環境を強力にサポート。 オンプレミス (NAIST) と 目的地。アマンダの遺産を基盤としたオープンソースの基盤。 ワークロードベースの価格設定 つまり、コストは保存されるデータ量ではなく、保護対象となるシステムの数に応じて変動するということだ。
最適な用途: 中堅規模の医療機関や企業で、エンタープライズライセンスの複雑さを伴わずに強力なバックアップ機能を必要とする場合。フルマネージドSaaSよりも、データ主権、展開制御、コスト効率を重視する組織。Linux中心またはハイブリッドインフラストラクチャを運用する医療ITチーム。
Zmanda ProがHIPAA準拠のバックアップ環境をどのようにサポートしているかをご覧ください。
2. Veeam Backup and Replication
最適な用途: 大規模なオンプレミス環境およびハイブリッド環境を持つ医療機関、特にVMware、Hyper-V、またはMicrosoftのワークロードを大規模に実行している医療機関。
データアーキテクチャ: 展開モデルによって異なります。オンプレミス展開の場合、バックアップデータはVeeamインフラストラクチャを経由しないため、Veeamはビジネスアソシエイトではありません。クラウドホスト型のVeeamサービスの場合、バックアップデータはVeeamインフラストラクチャを経由するため、Veeamはこれらのワークロードのビジネスアソシエイトとなります。
BAAの範囲: Veeamが電子医療情報(ePHI)を扱うクラウドサービスで利用可能で、該当サービスの標準サービス契約条件に含まれています。オンプレミス環境への導入の場合、Veeamとの事業提携契約(BAA)は不要です。混合モデルで運用している組織は、どのワークロードがBAAの対象となり、どのワークロードが対象外となるかを確認する必要があります。
暗号化キーの所有権: オンプレミス環境では、顧客管理キーがサポートされます。クラウドホスト型サービスの場合、キーの所有権は特定の構成によって異なるため、導入前にVeeamに確認する必要があります。
不変ストレージ: S3オブジェクトロックを含むすべての機能をサポートしています。SureBackupの自動リカバリ検証機能は、HIPAAリストアテストの文書化要件を満たす上で、大きな差別化要因となります。
監査ログのエクスポート機能: ログは保存期間を設定して利用可能です。展開前に、エクスポートの手順と形式について、ベンダーと6年間の保存期間要件との整合性を確認する必要があります。
展開: 仮想環境、物理環境、クラウド環境、SaaS、Microsoft 365など、幅広いワークロードに対応。18,000社以上の医療機関のお客様にご利用いただいています。SureBackupやベストプラクティスアナライザーなどのコンプライアンス機能は利用可能ですが、設定が必要で、デフォルトでは有効になっていません。
最適な用途: 複雑なハイブリッド環境と既存のVeeam導入実績を持つ大規模な医療機関。幅広いワークロードをカバーする必要があり、ワークロードごとのサブスクリプションライセンスを大規模に適用することに抵抗のない組織。
3. コムボルトクラウド
最適な用途: 複雑なマルチシステム環境全体にわたって、統一されたデータガバナンス、マルチクラウド対応、高度なコンプライアンスレポート作成を必要とする大規模な医療機関。
データアーキテクチャ: ベンダー経由のルーティングで、Microsoft Azureインフラストラクチャ上に構築されています。Commvault Cloudで処理されるバックアップデータは、CommvaultとMicrosoftのインフラストラクチャを経由するため、CommvaultはHIPAAワークロードのビジネスパートナーとなります。
BAAの範囲: 利用可能です。Commvaultは該当サービスについてBAA(事業提携契約)を締結します。ただし、一部の構成におけるコンプライアンス機能は、標準機能ではなくアドオン製品として提供されます。BAAの対象範囲を、お客様の具体的な導入構成と照らし合わせて確認することは、重要な調達手順となります。
暗号化キーの所有権: Commvault Cloud のデフォルトの暗号化方式は Azure Blob Storage AES-256 です。これは、ストレージ層で Microsoft が管理するキーを使用したサーバー側暗号化です。顧客がキーを管理するオプションを選択する場合は、追加の設定と、場合によっては追加のライセンス階層が必要になります。これは、顧客がキーを保有することを標準機能として提供する HIPAA 準拠のバックアップソフトウェアソリューションとは大きく異なる点です。
不変ストレージ: サポートされています。不変の保管庫とエアギャップストレージのオプションが利用可能です。
監査ログのエクスポート機能: コンプライアンス報告および監査証跡が利用可能です。導入前に、レポート形式とエクスポートプロセスがOCRの運用要件に合致していることを確認する必要があります。
展開: クラウドネイティブ、ハイブリッド、マルチクラウド、SaaS、オンプレミスといったあらゆるワークロードを単一のコントロールプレーンで網羅する包括的なプラットフォーム。FedRAMP High認証取得済み。導入の複雑さと総所有コストが高い。このプラットフォームを検討している中堅規模の医療機関にとって、価値実現までの時間短縮は共通の課題となっている。
最適な用途: 大規模な医療機関や医療システムは、複雑なマルチクラウド環境を管理する必要があり、大規模なデータ保護、ガバナンス、コンプライアンス報告のための単一プラットフォームを必要としています。
4. ルーブリック セキュリティ クラウド
最適な用途: 大規模な医療機関は、オンプレミス環境に多大なリソースを投入しており、HIPAA(医療情報保護法)遵守要件に加え、ランサムウェアからの復旧とサイバーセキュリティの回復力を最優先事項としています。
データアーキテクチャ: オンプレミス環境を優先しつつ、クラウドネイティブワークロードの対応範囲を継続的に拡大しています。オンプレミス環境への導入においては、データはRubrikインフラストラクチャを経由しません。Rubrikはアプライアンスモデルを主軸とするものではなく、クラウドネイティブソリューションと比較した場合のコストと導入の複雑さがより重要な検討事項となります。
BAAの範囲: RubrikはBAA(事業提携契約)を締結し、オンプレミスおよびクラウドのワークロード全体にわたるHIPAA(医療情報保護法)準拠プログラムをサポートします。
不変ストレージ: 堅牢性。論理的なエアギャップを備えた不変バックアップは、プラットフォームの中核機能です。バックアップデータ全体にわたるランサムウェア異常検知は、このレベルのほとんどのHIPAA準拠バックアップソフトウェアにはない、差別化された機能です。
監査ログのエクスポート機能: 監査担当者が閲覧しやすいようにフォーマットされたコンプライアンスレポートが利用可能です。プラットフォームレベルでのRBACは、本番環境管理とバックアップ管理の分離を強制します。これは、サイバー保険会社がますます要求する制御要件であり、§164.312(a)(1)に基づくHIPAAアクセス制御要件にも関連しています。
展開: クラウドネイティブな代替ソリューションと比較して、コストが高く、セットアップも複雑です。既存のRubrik導入実績のある大企業に最適です。大規模な医療システムにおける顧客事例は、規制環境におけるプラットフォームの成熟度を証明しています。
最適な用途: 複雑なオンプレミス環境、セキュリティを最優先とする姿勢、そしてHIPAA準拠に加えてランサムウェアからの復旧を主要要件とする大規模な医療機関。
5. Acronis Cyber Protect クラウド
最適な用途: 単一のコンソールから複数の医療機関の顧客をサポートするマネージドサービスプロバイダー、または既にAcronis MSPとの契約関係で運営されている医療機関。
データアーキテクチャ: ベンダー経由。バックアップデータはAcronisのインフラストラクチャを経由するため、AcronisはHIPAA準拠ワークロードのビジネスパートナーとなります。
BAAの範囲: 利用可能ですが、構成に依存します。これは、HIPAA のコンテキストで Acronis を購入する際の最も重要な検討事項です。Acronis で HIPAA に準拠するには、拡張セキュリティ モードを有効にする必要があります。さらに、HIPAA の適用範囲は製品とデータ センターによって異なります。拡張セキュリティ モードを有効にせず、正しいデータ センター構成を確認せずに Acronis を購入すると、製品の一般的なマーケティング内容に関わらず、HIPAA に準拠したバックアップ サービスを運用できない可能性があります。BAA は、単独の文書としてではなく、マスター契約と併せて扱われます。電子保護医療情報 (ePHI) を保存する前に、特定の構成を確認することは必須です。
暗号化キーの所有権: 保存時および転送時ともにAES-256暗号化を使用します。拡張セキュリティモードにおける鍵の所有権に関する詳細は、導入前にベンダーに確認し、特定の構成について確認してください。
不変ストレージ: 改ざん不可能なバックアップストレージとランサムウェア耐性のある復旧機能が利用可能です。
監査ログのエクスポート機能: コンプライアンスレポートが利用可能です。展開前に、エクスポート形式と保存設定が6年間の保存要件を満たしていることを確認してください。
展開: バックアップ、エンドポイントセキュリティ、パッチ管理、マルウェア対策を統合したオールインワンプラットフォーム。このプラットフォームの強みは、MSP(マネージドサービスプロバイダー)によるマルチテナント対応、つまり単一のコンソールから複数の医療機関クライアントを管理できる点にあります。医療機関が直接購入すると、MSPが享受できる規模の経済性を得られず、コストが増加します。
最適な用途: 複数の医療機関を管理し、単一プラットフォーム上でバックアップとエンドポイント保護を必要とするMSP。既にAcronis MSPと契約している医療機関。
並べて比較
以下の表は、一貫性のある分かりやすい表現を用いて、各ベンダーに同じ5つの基準を適用したものです。値の設定確認が必要な場合は、その旨を明示的に記載し、仮定値とはしていません。
| ベンダー | データアーキテクチャ | BAAの範囲 | 暗号化キーの所有権 | 不変ストレージ | 監査ログのエクスポート |
|---|---|---|---|---|---|
| ズマンダプロ | 直接保管 | Zmandaでは不要 | 顧客が保有する | S3オブジェクトロック準拠モード | 外部プラットフォームUIへのエクスポートが可能 |
| Veeam社 | オンプレミス:直接接続。クラウド:ベンダー経由 | 該当するクラウドサービスの標準規格 | オンプレミス:顧客管理。クラウド:確認済み | S3オブジェクトロックを含む、サポート対象 | 利用可能 - フォーマットと保存期間を確認してください |
| Commvaultクラウド | Azure経由でベンダー経由でルーティング | 利用可能 — アドオンの範囲を確認してください | サーバー側のデフォルト設定(マイクロソフト管理)。顧客管理オプションを確認してください。 | サポート付き、不変の保管庫 | 利用可能 - フォーマットと保存期間を確認してください |
| ルーブリック セキュリティ クラウド | オンプレミス優先 | 利用できます | 展開ごとに確認する | 強力 — 論理的なエアギャップを備えた不変のシステム | 監査人向け形式のレポートが利用可能です |
| Acronis Cyber Protect Cloud | ベンダー経由 | 構成に依存します — 拡張セキュリティモードと適切なデータセンターが必要です | 構成ごとに確認する | 利用できます | 利用可能 - フォーマットと保存期間を確認してください |
この比較からわかること
これら5つのHIPAA準拠バックアップソフトウェアオプションの主な違いは、機能一覧ではなく、データアーキテクチャです。ストレージ直結型ソリューションでは、ベンダーがePHIデータパスから完全に排除されるため、ベンダーレベルのBAA要件が不要になり、監査範囲が簡素化され、顧客は暗号化キーの所有権を明確に把握できます。一方、ベンダー経由型ソリューションでは、バックアップソフトウェアベンダーがコンプライアンス範囲に追加されます。これは不適格なアーキテクチャではありませんが、追加のドキュメント作成、継続的なBAA監視、およびストレージ直結型ソリューションでは回避される監査範囲の拡大が必要となります。
エンタープライズレベルのバックアップ機能を、エンタープライズレベルの複雑さやコストをかけずに実現したい中堅規模の医療機関にとって、上記の基準は選択肢を迅速に絞り込むのに役立ちます。一方、複雑なマルチクラウド環境と既存のプラットフォーム投資を抱える大企業の場合、状況は異なります。Veeam、Commvault、Rubrikは、ワークロードの幅広さ、既存の統合機能、サポート体制など、コンプライアンス基準だけでは十分に捉えきれない理由から、大規模医療機関で確固たる地位を築いています。
提案 2026年HIPAAセキュリティ規則の更新2026年6月現在、まだ提案段階にあるこの規則案では、暗号化が義務化され、BAA(ビジネス・アカウント・アグリーメント)の監視が全面的に強化される予定です。どのようなソリューションを選択するにしても、規則が最終決定に向けて進むにつれて、より厳格な技術的管理要件を満たせることを確認してください。暗号化が設定項目ではなくデフォルト設定となっており、データパスがアーキテクチャ的に明確なソリューションは、最終規則で求められる要件に対応しやすいと言えます。
最終決定を下す前に
このリストに掲載されているHIPAA準拠のバックアップソフトウェアベンダーと契約する前に、確認すべき3つの事項。
- 製品デモの前にデータフロー図を要求し、機能を評価する前にアーキテクチャを理解しておきましょう。
- 証明書やベンダー作成の要約ではなく、観察日を含む完全なSOC 2タイプIIレポートを要求してください。
- 評価期間中に、展開後ではなく、OCRレビューに必要な形式でサンプルエクスポートを要求することで、テストログのエクスポートを実施してください。
展開後に明らかになるギャップは、通常、ベンダー評価で明らかになるギャップとは異なります。OCRの調査結果で最も多い原因は、組織的な失敗です。文書化されていない復元テスト、古いBAAインベントリ、インフラストラクチャの変更後に更新されていない緊急時対応計画などが挙げられます。これらについては、以下で詳しく説明します。 ソリューション導入後も明らかになる監査上のギャップこの比較の背景にある完全な枠組みについては、次の投稿を参照してください。 契約締結前にこれらの基準を評価する方法 ベンダーへの質問方法に関する詳細な説明が含まれています。
よくあるご質問
