HIPAAの要件
-
アクセス/承認制御
-
各組織は、医療機関のコンピューターシステムへの労働力の間でアクセスを許可する手順を開発するか、テクノロジーを実装する必要があります。この規則には、従業員の役割またはランクに基づいて、アクセスのための文書化された手順が必要です。いくつかのネットワークコンポーネントヘルスケア組織が採用する場合は、インターオフィスアクセスを制御することが含まれます。イントラネットシステム(プライベートコンピューターネットワーク)、および不正アクセスをブロックするファイアウォールを確立するハードウェアまたはソフトウェア。
監査制御
-
ヘルスケア組織のセキュリティ担当者は、情報にアクセスしようとする各試みを記録する監査証跡またはログを作成するためのテクノロジーを実装できます。テクノロジーベースの監査制御は、ネットワークに入ろうとする繰り返し失敗した試みなど、運用上の不規則性を記録できます。ヘルスケア組織は、管理とネットワークのポリシー、ハードウェア、ソフトウェアの組み合わせを利用して、不正な情報アクセスを記録および対応できます。
データ認証
-
一部のヘルスケア組織は、組織とそのビジネスパートナーの間に送信されるデータのセキュリティを確保するために、暗号化技術を実装することを決定する場合があります。データ暗号化は、データを復号化するためのキーを持つ受信者以外の人には読み取り不可能なメッセージをレンダリングします。ビジネスアソシエイトとのコミュニケーションに加えて、ヘルスケア組織は暗号化を実装して臨床データとラボの結果を送信したり、患者と通信したりする場合があります。また、組織は、データを認証し、ハッカーからコンピューターシステムを保護するために、デジタル署名テクノロジーとアンチウイルスソフトウェアの実装を検討する場合があります。
エンティティ認証
-
HIPAAセキュリティルールでは、ヘルスケア組織がコンピューターシステムにログインするための「ユニークなユーザー識別子」を各従業員に提供し、ワークステーションで自動ログオフ機能を実装することを要求しています。この規制は、パスワードや個人情報番号(PIN)からThumbprintやIRISスキャンなどの生体認証識別システムに至るまで、コンピューターシステムに保存されている物理的なスペース、ターミナル、またはデータにアクセスすることを許可されたユーザーを確認するスマートカードに至るまで、ユーザー認証テクノロジーを推奨しています。
-