HIPAA に準拠したバックアップおよびリカバリ計画は組織の義務です。 持っている場合は、 データのバックアップと災害復旧計画 最も重要なインフラストラクチャとデータを保護することで、あらゆる危機的な状況でも組織の業務をスムーズに実行し続けることができます。医療保険の相互運用性と説明責任 (HIPAA) とその プライバシーとセキュリティのルール 患者の個人的な健康データを保護する上で重要な役割を果たします。 保健福祉省 (HHS) が HIPAA 準拠を規制し、公民権局がそれを執行します。
HIPPA コンプライアンスとは何ですか?
HIPAA と呼ばれる 1996 年の医療保険の相互運用性と責任に関する法律は、保護された医療情報 (PHI) の合法的な使用と公開を計画する一連の規制基準です。 現在、PHI は、HIPAA の恩恵を受ける団体の人口統計情報 (名前、住所、財務情報、医療報告書、社会保障番号) です。
医療記録、財務諸表、組織の重要なデータなど、あらゆる種類の情報において、そのようなすべてのデータの基本要件は、堅牢なバックアップとバックアップです。 ディザスタリカバリソリューション。 さらに、組織または医療機関が HIPAA に準拠している場合は、重要な情報について心配する必要はありません。 どのような組織が HIPAA に準拠する必要があるかを見てみましょう。
HIPAA に準拠する必要があるのはどのタイプの組織ですか?
対象となるエンティティ:
HIPAA 規制によれば、対象となる組織は、PHI を電子的に収集、作成、送信する組織です。 たとえば、医療機関は、医療提供者、健康保険提供者、医療情報交換所などを含む対象事業体です。
ビジネスパートナー:
業務提携者とは、対象事業体内で、または対象事業体に代わって行われる業務中に、あらゆる形態で PHI に遭遇する組織であり、これは HIPAA 規制によって管理されます。
ビジネス関係者の例は数多くありますが、HIPAA 規則の影響を受ける例もあります。 これらには、物理ストレージ プロバイダー、IT プロバイダー、 プロバイダー、診療所管理会社、サードパーティ コンサルタント、EHR プラットフォーム、FAX 会社、請求会社、シュレッダー会社、電子メール ホスティング サービス、弁護士、会計士など。
HIPAA 準拠の要件
HIPAA 規制が対象となる事業体および取引先に対して概説する一連の国家基準を見てみましょう。
自己監査
対象となる事業体およびビジネス関係者は、組織の年次監査を実施して、HIPAA プライバシーおよびセキュリティ基準への準拠に関する技術的、物理的、および管理上のギャップを評価する必要があります。 セキュリティ リスク評価は、単に準拠するための要件ではありません。 これは、HIPAA の恩恵を受ける組織にとって重要な監査の XNUMX つにすぎません。
改善計画の実施
自己監査を通じてコンプライアンスのギャップを特定した後、対象となる企業および取引先は、コンプライアンス違反を逆転するための是正計画を実施する必要があります。 この修正を文書化し、ギャップが改善されるカレンダーの日付を含める必要があります。
ポリシー、手順、スタッフのトレーニング
対象となる事業体およびビジネス関係者は、HIPAA 規則で概説されている HIPAA 規制基準に準拠したポリシーと手順を策定する必要があります。 これらのポリシーと手順を定期的に更新する必要があります。 また、スタッフがすべてのポリシーと手順を正しく理解できるように、毎年スタッフ研修を実施する必要があります。
HIPAA に準拠するためのドキュメント
HHS OCR による HIPAA 調査では、厳格な HIPAA 監査に合格することが重要であるため、HIPAA に準拠する組織は、HIPAA に準拠するためのすべての取り組みを文書化する必要があります。
ビジネスアソシエイトマネジメント
対象となる事業体および取引先は、PHI を共有するすべてのベンダーを文書化し、PHI が安全に扱われ、責任が軽減されることを保証するために取引先契約 (BAA) を締結する必要があります。 ベンダーとの組織的関係の性質の変化を考慮して、BAA を毎年レビューする必要があります。 PHI を共有する前に BAA を実行する必要があります。
インシデント管理
HIPAA 侵害通知規則によると、データ侵害が発生した場合、対象となる企業または取引先は侵害を文書化し、データが侵害されたことを患者に通知するプロセスを用意する必要があります。
組織は、受信、管理、作成、転送されるすべての PHI の完全性、可用性、機密性を確保するために、上記の HIPAA セキュリティ ルールに従う必要があります。 HIPAA ではバックアップが必須であり、そのようなリスクから保護するために不可欠な手段です。 この場合、ユーザーデータを保存する機関とビジネスパートナーの両方が法規制を遵守する必要があります。 たとえば、教育機関がクラウド ストレージを使用している場合、クラウド サービス プロバイダーがパートナーとなり、HIPAA にも準拠している必要があります。
HIPAA 法の対象となる医療従事者は、重要なサービスの提供が IT システムの可用性とセキュリティに依存しているため、IT システムの可用性とセキュリティに自信を持っている必要があります。 HIPAA 準拠は一連の要件に基づいて構築されており、これにはセキュリティ ルール、違反通知ルール、プライバシー ルールが含まれます。 HIPAA 準拠に違反すると、医療データ情報センターや医療提供者などの対象事業体 (CE) に対して懲役刑、さらには数千ドル、さらには数百万ドルの罰金が科せられる可能性があります。 そのようなケースの XNUMX つを見てみましょう。
4月2017で、保健福祉省(HHS)は、バージニア州とノースカロライナ州にサービスを提供する非営利団体であるセンタラ病院に関する苦情を受け取りました。 訴状は、センタラが別の患者の保護された医療情報(PHI)を含む請求書を個人に送ったというものだった。 米国公民権局による調査の結果、病院が577人の患者にPHIを郵送していたことが判明した。 Sentara は、HIPAA 法の違反通知およびプライバシー規則に違反したとして、2.175 万 XNUMX ドルの罰金を科されました。
テクノロジーが進化し続けるにつれて、医療業界では患者のプライバシーが大きな話題になっています。 電子的に転送される患者情報の大部分は、特定のリスクにさらされる傾向があります。 これらのリスクには、患者に関する情報を保存するコンピューターやサーバーへの物理的損傷を引き起こす可能性のある災害が含まれます。 組織ができる最善のことは、システムを評価してから、 安全で堅牢なバックアップおよびリカバリ ソリューション HIPAA 規格に準拠するため。 また、対象となる企業は、患者データが最初の感染後でも安全であることを保証する、明確に定義された緊急時対応計画を持っていることを確認する必要があります。 データ損失。 簡潔に言えば、情報セキュリティとは、情報またはデータの XNUMX つの属性 (機密性、完全性、可用性) を確保することです。
コンクルーシオn
組織はこれまで以上に厳しい監視下に置かれています。 患者データに対する脅威が増大しているため、企業は適切なソリューションを選択することが不可欠です。 バックアップとリカバリのソリューションを選択するときは、これらすべての要素を必ず考慮してください。これは、ビジネスが HIPPA 規制に準拠しているかどうかを大きく変える可能性があるためです。
