HIPAA準拠のソフトウェアをSysdig Secureで自信を持って提供する

By 清水 孝郎 - SEPTEMBER 10, 2021

SHARE:

本文の内容は、2021年9月9日にAlba Ferriが投稿したブログ(https://sysdig.com/blog/hipaa-compliance-with-sysdig)を元に日本語に翻訳・再構成した内容となっております。

HIPAAコンプライアンス法(Health Insurance Portability and Accountability Actの略)は、遠隔医療に対する社会的信頼を構築・維持するために、官民の医療機関が取り組む必要のあるコンプライアンス標準の一つです。

COVID-19パンデミックの際には、病院やヘルスセンターへの過剰な流入に耐え、患者さんの不必要な暴露を避けるためのソリューションとして、遠隔医療が活用されました。

このような医療サービスの背後には、クラウド上のKubernetesやマネージドKubernetesサービスで動作するクラウドネイティブアプリケーションが存在している可能性が高いですよね?

医療従事者や患者の間で収集・伝達されるセンシティブな健康情報は、データのセキュリティと整合性に対する新たな懸念を引き起こしています。

医療サービスを提供している企業で、HIPAAコンプライアンス要件を満たす必要がある場合、Sysdig Secureは確実にお客様のセキュリティ態勢をサポートします。Sysdig Secureのコンプライアンス機能には、SOC2NIST 800-53GDPRなどのほか、HIPAAにも対応しています。:)

現時点では、データへのアクセス、使用、開示の適切な制限を保証する規制とシステムの導入が必須です。

HIPAAとは

1996年に承認されたHIPAA法は、システムが電子形式で作成、受信、維持、送信する個人を特定できる健康情報を保護するための基準を定めています。

保護されるべき健康情報(PHI)とは、お客様の個人的な医療データのことで、そこに含まれる情報は、HIPAAがPHIの非公開性と機密性を維持するためにガイドラインで取り上げているものです。

PHIにアクセスできる医療関係者としては、医師、看護師、保険会社などが対象となります。

また、HIPAA法では、ヘルスケア分野以外で対象事業者と協働する弁護士、会計士、アドミニストレーター、IT担当者もPHIにアクセスする可能性があることを考慮しています。これらはビジネスアソシエイトと呼ばれ、その多くが対象事業者としてHIPAAのコンプライアンスを維持する責任を負っています。

なぜ貴社のインフラはHIPAAに準拠する必要があるのですか?

米国保健社会福祉省(HHS)の公民権局(OCR)は、2016年から2017年にかけてOCRが実施したHIPAA監査の結果をまとめた「HIPAA Audits Industry report」を発表しました。その調査結果の一部を紹介します:
  • 対象事業者のうち、要件を完全に満たしているのはわずか2%で、3分の2は要件を満たしていないか、最小限または無視できる程度の努力しかしていませんでした。
  • 89%が、個人のアクセス権を正しく実施していることを示せていませんでした。
  • 対象事業者の約70%は、漏洩した電子個人健康情報(ePHI)の説明や、個人がさらなる被害から身を守るために取るべき手段など、規制の内容要件を満たさない漏洩通知書を使用していました。
今回の報告書は、OCRがHIPAAのコンプライアンス義務を深刻に捉えていることを示すものであり、医療機関とその業務委託先は、基本的なベストプラクティスに取り組む必要があります。もちろん、HIPAAコンプライアンス法を満たさない者には、HIPAAの罰金も科せられます。

Sysdig SecureによるHIPAAコンプライアンスの実現方法

HIPAAに準拠することを目的としたソフトウェアアプリケーションは、一定の基準を守る必要があります。

Sysdig Secureでは、ワークロードが特定のHIPAAコントロールに準拠しているかどうかを示すさまざまなコントロールを見つけることができます。

Sysdig Secure screenshot showing HIPAA-WORKLOAD compliance report
図1. HIPAA-WORKLOADコンプライアンスレポート

各コントロールには、そのコントロールに関する情報(緑のボックス)と、なぜそれが必要なのか、実際にどのようにチェックしているのかを示す小さなスニペットがあります。

次の例では、HIPAAに準拠したサービスで使用されているすべてのアプリケーションサーバ、データベース、キャッシングレイヤー、その他のコンポーネントについて、監査/システム・ログが取得されているかどうかをチェックしています。HIPAA違反が発生した場合、このデータを利用して、その間にシステムにアクセスしていたユーザを追跡することができます。また、データが漏洩したユーザを特定することができます。

Sysdig Secure detailed screenshoot showing control 164.308(a)(1)(ii)(D) Procedures to review system activity
図2 – 164.308(a)(1)(ii)(D) システムの動作を確認するための手順

Sysdig Secureでは、コントロールに合格しなかった場合に取ることのできるガイド付きの修復アクション(赤枠)を用意しています。

AWSクラウド上で動作するワークロードのHIPAAコンプライアンス

オンプレミス環境で稼働しているワークロードであっても、すでにAWSクラウドに移行しているワークロードであっても、Sysdig SecureはHIPAAコンプライアンスソフトウェアのセキュリティ態勢を支援します。

医療情報は非常にセンシティブな資産であるため、医療用ソフトウェアのアプリケーションには、避けたい重要なプライバシーとセキュリティのリスクが数多く存在します。
  • 機密データ収集時の守秘義務違反
  • デバイスに保存されているデータへの不正なアクセス
  • 患者にソフトウェアを配布する際の偽装行為
  • 医療機関のシステムに送信する際のプライバシーの侵害
Sysdig Secure screeshoot showing HIPAA-AWS compliance report
図3 – HIPAA-AWSコンプライアンス・レポート

まとめ

克服すべき落とし穴はまだありますが、テクノロジーはすでに多くの人が持っていた医療の概念を変えています。遠隔医療、電子処方箋、プラットフォームを通じた診断の共有などは、リスクを最小限に抑え、時間を節約しながら医療従事者と対話する新しい方法です。

医療機関のITリーダーにとって、セキュリティ・ガバナンスとコンプライアンスはもはや後回しにすることはできません。

Sysdig Secureは、HIPAAの罰金を回避し、HIPAAのコンプライアンス管理に合格するためのアプリケーション保護を支援します。ご自身で確かめてみませんか?今すぐ無料でご利用いただけます!