特に厳しい管理が求められる医療機関での情報管理(2) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.11.15(木)

特に厳しい管理が求められる医療機関での情報管理(2)

●医療機関に大きな影響を与えたHIPAA

特集 特集
●医療機関に大きな影響を与えたHIPAA

米国では特に医療機関で個人情報保護するための法律が、連邦政府で制定されている。そもそも、このHIPAAとは何だろう。正式名称は医療保険の携行性と責任に関する法律(The Health Insurance Portability and Accountability Act)で1996年に可決されたが、発効は2003年4月。医療情報の電子化の推進とそれにまつわるプライバシー保護、セキュリティ確保について定めた。

実は当初の目的は、団体医療保険に加入している雇用者が転職するなどで、雇用主を変更した場合、既存の条件の権利放棄を得られるようにするものだった。それが、発効までの間に法解釈がどんどん変わり、医療機関はプライバシーの権利と医療情報のセキュリティを守るという内容も追加された。例えば、セキュリティセーフガードの実装を命じた項目もあり、米国内外で医療機関などに大きな影響を与えている。

HIPAAで定義されている保護すべき情報は、個人の特定が可能な情報だ。医療機関は
  ・情報の完全・機密性の確保
  ・情報のセキュリティおよび完全性に対する脅威や危険への対策
  ・情報の認可されていない使用や開示などに対し、妥当かつ適切な管理上、技術上、および物理的な保護対策の維持
が求められる。そのため、具体的に
  ・病院等でプライバシー保護の方針を定める
  ・従業員にその方針を教育
  ・徹底を目指して、全体を監視する担当者を定める
というものだ。

読んだ限りでは常識的なものだが、法定化、そして違反の場合は罰金を課すことになったため、医療機関側にとっては非常にコストのかかるものになった。厳しく明確に規定されたことで、医療機関では担当者を新たに雇用したり、社外のサービスを利用する必要があったためだ。今回紹介したコンピュータ盗難や内部犯による情報盗難はHIPAAの違反などとは解釈されていない。

●ブログに個人情報をポスティング

これは3月11日、米国カイザー・パーマネンテの元社員が、ブログに140名の患者の極秘情報を発表したとして、通知を行ったことを『Mercury News』が報道したものだ。

ブログに掲載した女性は、安全でないウェブサイトに患者の情報をカイザーがポスティングしたと『Mercury News』に語っている。「カイザーに(連絡をして)注意を促した」が放置されていたので、さらに「(社会に事実を知ってもらうために)ブログとして出すことにより、誰もがこの情報にアクセスできるということを指摘した。(警告を無視して、カイザーは情報を)1年以上にわたり、インターネット上に放置した」というのだ。また、市民権局(Office of Civil Rights)にセキュリティ違反だと通報したという。

【執筆:バンクーバー新報 西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!11月末迄 ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。現在通常料金半額以下!!
(。・ω・)ゞ !!11月末迄 ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。現在通常料金半額以下!!

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません!

×