HIPAA

HIPAA（Health Insurance Portability and Accountability Act：医療保険の携行性と責任に関する法律）とは、1996年に米国で制定された連邦法で、医療情報の保護と電子医療取引の標準化を目的としています。保護対象医療情報（PHI：Protected Health Information）の取り扱いに関する包括的な規制を定めており、医療機関、健康保険会社、医療情報処理業者（ヘルスケアクリアリングハウス）などの対象事業者（Covered Entities）に遵守が義務付けられています。

HIPAAは複数の規則で構成されていますが、特に重要なのがPrivacy Rule（プライバシー規則）とSecurity Rule（セキュリティ規則）です。Privacy Ruleは、PHIの使用・開示に関する権利と制限を定め、患者が自身の医療情報へのアクセス権を持つことを保証します。Security Ruleは、電子PHI（ePHI）の機密性・完全性・可用性を保護するための管理的・物理的・技術的な安全管理策を規定しています。

2009年に制定されたHITECH Act（経済的および臨床的健全性のための医療情報技術に関する法律）により、HIPAAの執行が大幅に強化されました。違反に対する罰則が引き上げられ、最大で年間約200万ドル（重大な違反の場合）の民事制裁金が科されるほか、刑事罰の対象ともなります。また、HITECH Actは対象事業者だけでなく、その業務委託先（Business Associates）にもHIPAA遵守を直接義務付けました。

Privacy Rule（プライバシー規則）

Privacy Ruleは、PHI（保護対象医療情報）の使用と開示に関する基準を定めています。PHIには、個人を特定できる医療情報（氏名、生年月日、社会保障番号、医療記録番号、診断情報など18種類の識別子）が含まれます。PHIの開示は原則として治療（Treatment）、支払い（Payment）、医療運営（Healthcare Operations）の目的（TPO）に限定されます。

患者には、自身のPHIへのアクセス権、修正請求権、開示記録の取得権、PHIの使用制限を要求する権利が保障されています。また、最小必要原則（Minimum Necessary Standard）により、業務遂行に必要な最小限のPHIのみを使用・開示することが求められます。マーケティング目的や研究目的での使用には、原則として患者の書面による同意が必要です。

Security Rule（セキュリティ規則）

Security Ruleは、電子PHI（ePHI）を保護するための安全管理策を3つのカテゴリに分類して規定しています。管理的安全管理策には、セキュリティ管理プロセス、リスク分析、従業員のセキュリティ意識向上、アクセス管理、インシデント対応手順が含まれます。

物理的安全管理策には、施設へのアクセス制御、ワークステーションの使用とセキュリティ、デバイスとメディアの管理が含まれます。技術的安全管理策には、アクセス制御（ユニークユーザーID、緊急アクセス手順、自動ログオフ、暗号化）、監査統制、完全性管理、伝送セキュリティが規定されています。Security Ruleでは、要件を「必須（Required）」と「アドレス可能（Addressable）」に分類しており、アドレス可能な要件は代替策の実施も認められます。

PHIとePHIの範囲

PHI（Protected Health Information）は、対象事業者が作成・受領した個人を特定できる健康情報です。ePHIはPHIのうち電子的に作成・保存・伝送されるものを指します。PHIには18種類の識別子が定められており、氏名、住所（州以下）、日付（年を除く）、電話番号、FAX番号、電子メールアドレス、社会保障番号、医療記録番号、保険加入者番号、口座番号、車両識別番号、URL、IPアドレス、生体認証情報、顔写真、その他の固有識別番号が含まれます。

これらの識別子を除去した情報は非特定化情報（De-identified Information）としてHIPAAの規制対象外となります。非特定化には、統計的手法による「エキスパート判定法」と、18種類の識別子をすべて除去する「セーフハーバー法」の2つの方法が認められています。

HITECH Actと執行強化

2009年のHITECH Actは、HIPAAの規制を大幅に拡大・強化しました。最も重要な変更点は、Business Associates（業務委託先）に対するHIPAA規制の直接適用です。従来はCovered Entitiesのみが直接的な遵守義務を負っていましたが、HITECH Act以降は、クラウドサービスプロバイダー、ITベンダー、法律事務所など、PHIを取り扱う委託先も直接的に罰則の対象となりました。

また、500人以上の患者に影響するデータ侵害が発生した場合、HHS（保健福祉省）のOCR（市民権局）への通知に加えて、影響を受けた個人への通知、メディアへの通知が義務付けられています（Breach Notification Rule）。OCRは「Wall of Shame」と呼ばれる公開ポータルで大規模な侵害事件を公表しています。

BAA（Business Associate Agreement）

BAA（Business Associate Agreement：業務委託契約）は、Covered EntityとBusiness Associateの間で締結が義務付けられる契約です。PHIの使用・開示の制限、安全管理策の実施義務、データ侵害発生時の通知義務、契約終了時のPHI返却または破棄などが規定されます。

クラウドサービスの利用においても、PHIを取り扱う場合はBAAの締結が必要です。AWS、Google Cloud、Microsoft Azureなどの主要クラウドプロバイダーはHIPAA対応サービスを提供しており、BAAの締結に対応しています。ただし、BAAを締結しただけではHIPAA準拠とはならず、共有責任モデルに基づく適切なセキュリティ設定を利用者側でも実施する必要があります。

• 01
  包括的なリスク分析の実施と文書化：ePHIの作成・受領・保存・伝送に関わるすべてのシステムとプロセスを対象として、定期的なリスク分析を実施してください。脅威と脆弱性を特定し、リスクの影響度と発生可能性を評価した上で、適切なリスク軽減策を文書化しましょう。リスク分析はHIPAA Security Ruleの最も基本的な要件です。
• 02
  ePHIの暗号化と安全な伝送：保存中のePHI（at rest）にはAES-256等の暗号化を、伝送中のePHI（in transit）にはTLS 1.2以上を適用してください。暗号化はSecurity Ruleでは「アドレス可能」な要件ですが、暗号化を実施しない場合はリスク分析に基づく文書化された代替策が必要です。実務上は暗号化の実施が強く推奨されます。
• 03
  アクセス制御と認証の強化：ePHIへのアクセスには、一意のユーザーIDとロールベースのアクセス制御を実装し、最小権限の原則を適用してください。多要素認証（MFA）の導入、自動ログオフの設定、緊急時のアクセス手順の策定も重要です。アクセスログを監査証跡として保管し、定期的にレビューしましょう。
• 04
  インシデント対応計画とデータ侵害通知手順の整備：PHI侵害発生時の検知・報告・調査・通知の手順を明確に定義し、Breach Notification Ruleの要件（個人通知、HHS通知、メディア通知）を満たせる体制を構築してください。500人以上に影響する侵害は60日以内にHHSとメディアへの通知が必要です。
• 05
  従業員トレーニングとセキュリティ意識向上：すべての従業員を対象に、HIPAA Privacy RuleとSecurity Ruleに関する定期的なトレーニングを実施してください。特にPHIを日常的に取り扱う職員には、最小必要原則、フィッシング対策、物理的セキュリティ、デバイス管理に関する実践的な教育を行いましょう。
• 06
  Business Associate管理の徹底：PHIを取り扱うすべてのBusiness AssociateとBAAを締結し、契約にHIPAA準拠要件を明記してください。定期的にBusiness Associateのセキュリティ体制を評価し、サブコントラクターの管理状況も含めて監視しましょう。BAAの締結漏れはHIPAA違反の一般的な原因です。