ここからは、HIPAA上、適用対象主体(CE)からさまざまな業務を受託する事業提携者(BA)で発覚したデータ侵害インシデントの事例を紹介する。
事業提携者(BA)に対するプライバシー/セキュリティ要件は、2013年9月23日に施行されたHIPAA/HITECH総括規則に規定されている。前述の適用対象主体(CE)と同様に、事例8〜9を見ると、事前のリスク分析が不十分または未実施である点が指摘されている。また、科せられた民事制裁金も7万5000米ドルおよび17万5000米ドルと、医療機関と同等レベルになっている。
本連載第115回の中で触れた「電子保護対象保健情報のセキュリティ強化のためのHIPAAセキュリティ規則制定案告示(NPRM)」(関連情報)は、第2次トランプ政権下の2025年3月7日にパブリックコメント募集を締め切り、現在、最終規則化に向けた作業が行われている。
これに先立ち、国立標準技術研究所(NIST)は2024年2月14日、現行のHIPAAセキュリティ規則(関連情報)と、「NIST Cybersecurity Framework (CSF) 2.0」(関連情報、PDF)および「NIST SP 800-53 Rev. 5 組織と情報システムのためのセキュリティおよびプライバシー管理策」(関連情報)をマッピングした「NIST SP 800-66 Rev. 2 HIPAAセキュリティ規則の実装:サイバーセキュリティリソースガイド」(関連情報)を公開している。新たな改正HIPAAセキュリティ規則が制定されれば、それに合わせてNIST側の改正作業も進行することになる。
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.
コーナーリンク