HIPAA コンプライアンスのMicrosoft Entra ID の構成

Microsoft Entra ID などの Microsoft サービスによって、1996 年の医療保険の携行性と責任に関する法律 (HIPAA) の ID 関連の要件を満たすことができます。

HIPAA セキュリティ規則 (HSR) は、対象となるエンティティによって作成、受信、使用、または維持される個人の電子個人情報を保護するための基準を定めます。 HSR は米国保健福祉省 (HHS) によって管理されており、電子保護された健康情報の機密性、整合性、セキュリティを確保するために適切な管理、物理、技術的セーフガードが必要です。

技術的セーフガードの要件と目標は、連邦規則集 (CDR) のタイトル 45 で定義されています。 タイトル 45 のパート 160 では一般的な管理要件を提供し、パート 164 のサブパート A と C ではセキュリティとプライバシーの要件について記述しています。

サブパート § 164.304 では、技術的セーフガードをテクノロジとして定義し、電子保護された健康情報を保護し、それに対するアクセスを制御する、その使用に関するポリシーと手続きを定義しています。 また、HHS では、医療機関が HIPAA 技術的セーフガードを実装する際に考慮すべき重要な分野の概要も示しています。 § 164.312 技術的セーフガードから:

• アクセス制御 - §164.308(a)(4) に規定されているように、アクセス権が付与されている個人またはソフトウェア プログラムにのみアクセスできるように、電子保護された健康情報を保持する電子情報システムの技術ポリシーと手続きを実装します。

• 監査制御 - 電子保護された健康情報を格納しているか使用する情報システムでアクティビティを記録および調査するハードウェア、ソフトウェア、手続き型メカニズムを実装します。

• 整合性制御 - 電子保護された健康情報を不適切な変更や破壊から保護するためのポリシーと手続きを実装します。

• 個人またはエンティティの認証 - 電子保護された健康情報へのアクセスを求める個人またはエンティティは、要求する資格があることを確認する手続きを実装します。

• 伝送のセキュリティ - 電子通信ネットワークを介して伝送される電子保護された健康情報への不正アクセスに対して保護する技術的なセキュリティ対策を実装します。

HSR では、必須のアドレス指定可能な実装仕様と共に、サブパートを標準として定義しています。 すべて実装する必要があります。 "アドレス指定可能" の指定は、仕様が理にかなっており、適切であることを示します。 アドレス指定可能とは、実装仕様が省略可能であることを意味するものではありません。 そのため、アドレス指定可能として定義されているサブパートも必須です。

このシリーズの残りの記事では、主要分野と技術的セーフガード別に整理されたガイダンスとリソースへのリンクを提供します。 主要分野ごとに、関連するセーフガードが一覧表示され、セーフガードを実現するための Microsoft Entra ガイダンスのリンクがあります。

詳細情報

• HHS Zero Trust in Healthcare pdf

• 45 CFR 160、162、および 164 で見つかったすべての HIPAA Administrative Simplification Regulations の統合された規制テキスト

• 規制の公共福祉部分を記述した連邦規則 (CFR) のタイトル 45

• タイトル 45 の一般的な管理要件を記述したパート 160

• タイトル 45 のセキュリティとプライバシーの要件を記述したパート 164 のサブパート A および C

• HIPAA セキュリティ リスク セーフガード ツール

• NIST HSR Toolkit

次のステップ

• アクセス制御のセーフガード ガイダンス

• 監査制御セーフガード コンプライアンス

• その他のセーフガード ガイダンス

• HITRUST コントロールを構成する