HIPAA機能ネットワークシステムの要件
-
一般的なルール
-
HIPAAセキュリティルールセクションにリストされている「セキュリティ基準:一般規則」は、EPHIを送信するネットワークシステムが、作成、受信、または送信するEPHIの機密性、完全性、および可用性を確保する必要があると規定しています。さらに、セキュリティまたは整合性に対する合理的に予想される脅威または危険に対する保護、ならびにプライバシールールによって許可されていないEPHIの合理的に予想される使用または開示に対する保護も保証する必要があります。
管理、物理的、技術的な保護策
-
管理保護手段は、EPHIを保護するためのセキュリティ対策の選択、開発、実装、および保守を管理するための行動、ポリシー、および手順を規定し、対象のエンティティの労働力の実施を管理する必要があります。
物理的な保護手段は、対象のエンティティのEPHIを保護するために必要な物理的尺度、ポリシー、および手順として説明されています。さらに、関連する建物や機器は、自然および環境の危険からも保護する必要があります。
技術的な保護は、EPHIを保護し、それを制御するためのテクノロジーと、その使用のためのポリシーと手順を含み、それを不正な侵入から保護します。
組織およびドキュメントの要件
-
セキュリティルールは、ポリシーと手順のドキュメントが、標準、実装仕様、その他の要件に準拠するための規則と規制の実装を示すことを義務付けています。
組織の要件には、ビジネスアソシエイト契約やその他の取り決めの基準の設定が含まれます。これらは適切に文書化されています。すべての従業員が実装された標準を認識していることを示すプロセスも文書化する必要があります。両方のエンティティが政府組織である場合、対象のエンティティとビジネスアソシエイトの間の理解のすべてのメモ、およびグループヘルスケアプランの要件も、雇用主が定めた規則および規制の従業員による承認を示さなければなりません。
書面によるドキュメント(電子的かもしれません)および/または、セキュリティルールで必要なポリシー、手順、アクション、活動、または評価を含む記録を維持する必要があります。最後に、従業員を含むすべての人に関連する保持、可用性、更新要件。
-