医療アプリを HIPAA に準拠させる方法

とりわけ、HIPAA は患者の健康情報を保護します。

米国最大の保険会社である Anthem は、これを身をもって学びました。 ハッカーは7900万人の患者のデータを盗みました。 その情報には、患者の名前、社会保障番号、医療IDが含まれていました。

激怒した患者はAnthemを訴え、1億1500万ドルの和解金を勝ち取ったのです。 同社は規制当局の罰金を免れたものの、セキュリティを改善するために最大2億6000万ドルを費やさなければなりません。

HHS Office for Civil Rights (OCR) は、HIPAAコンプライアンスを監督しています。 2017年だけでも、米国の医療機関に約2000万ドルの罰金を科しました。

たとえ小さな組織であっても、HIPAA要件を怠ると、深刻な問題につながることがあります。

2013年にFresenius Medical Care North Americaは5件のデータ漏洩を経験しました。 合わせて、わずか525人の患者のデータを流出させた。 しかし、同社はセキュリティリスクを適切に分析しなかったため、350万ドルという途方もない罰金を支払わなければなりませんでした。

過失の度合いに応じて、HIPAA罰金のタイヤは4つあります。

HIPAA glossary

HIPAA要件に取り組む前には、以下の3つの重要な用語を理解しておく必要があります。

• Protected Health Information (PHI) – 患者を特定するために使用できるすべてのデータ。

PHI は、健康情報と個人識別子の 2 つの部分から構成されています。 後者には、患者の名前、住所、生年月日、社会保障番号、医療記録、写真などが含まれます。 個人が医療サービスを受けたという事実自体がPHIです。

何がPHIとみなされるのですか。 完全なリストです。

• 対象事業者 – 医療サービス／業務を提供する、またはそれに対する支払いを受け入れる組織および個人。

すべての医療提供者（例：病院、医師、歯科医師、心理学者）、医療計画（例：保険業者、HMO、Medicare や Medicaid など政府プログラム）、クリアリングハウス（医療提供者と保険会社の間で中間業者として働く組織）などが含まれます。

• Business Associate – 対象事業者に代わってPHIを取り扱う第三者。

このカテゴリには、ヘルスケアアプリの開発者、ホスティング/データ保存プロバイダ、メールサービスなど。

HIPAAによると、PHIにアクセスできる各関係者とBAA (Business Associate Agreement) を締結しなければなりません。 BAAに署名しないと決めても、HIPAA要件から解放されるわけではありません。

機密データがシステムに入るには、意図しない方法がたくさんある可能性があります。 このアプリは、ユーザーを特定できないので、PHIを扱いません。 しかし、写真にその人の名前や住所を追加した途端、PHIになります。

アプリケーションがPHIを収集、保存、または対象事業者に送信する場合、HIPAAに準拠する必要があります。

HIPAA準拠になるには？

HIPAA準拠になるには、健康情報保護の取り組みについて技術面と非技術面の評価を定期的に行い、それを徹底的に文書化しなければならないでしょう。 規制当局は、HIPAA遵守の評価に役立つ監査プロトコルのサンプルを公開しています。

独立した監査人を雇って、評価を依頼することも可能です。 HITRUST など、そのようなことを専門に行う組織がたくさんあります。 HIPAA 準拠のソフトウェアを開発する場合、セキュリティ規則で概説されている技術的および物理的な保護対策に対処する必要があります。 ログイン、暗号化、緊急アクセス、アクティビティログなどのセキュリティ対策。 法律では、PHI を保護するためにどのような技術を使用すべきかは指定されていません。

Physical Safeguards は、PHI を保管する施設やデバイス（サーバー、データセンター、PC、ラップトップなど）を保護することを目的としています。

最新のクラウド型ソリューションでは、このルールはほとんど HIPAA 準拠のホスティングに適用されています。

法律は、幅広い医療用ソフトウェアに適用されます。 病院管理システム (HMS) は、リモート診断アプリとは根本的に異なります。 しかし、すべての HIPAA 準拠アプリに不可欠な機能がいくつかあります。

そこで、HIPAA 準拠ソフトウェアに必要な機能の最小限のリストを以下に示します。 アクセス制御

PHI を保存するすべてのシステムは、機密データを表示または変更できる人を制限する必要があります。 HIPAA プライバシー規則によると、誰も自分の仕事をするために必要な以上の患者情報を見てはならないことになっています。 この規則ではまた、非識別化、自分自身のデータを見る患者の権利、自分の PHI へのアクセスを与えたり制限したりする能力も規定しています。

これを達成する一つの方法は、各ユーザーに固有の ID を割り当てることです。

次に、各ユーザに特定の情報を閲覧または修正できる特権のリストを与える必要がある。 個々のデータベース エンティティや URL へのアクセスを規制できます。

最も単純な形では、ユーザー ベースのアクセス制御は 2 つのデータベース テーブルで構成されます。 1つのテーブルは、すべての特権とそのIDのリストを含んでいます。

この例では、医師 (ユーザー ID 1) は医療記録を作成、表示、および変更できますが、放射線技師 (ユーザー ID 2) は更新しかできません。
役割ベースのアクセス制御は、この要件を実装するもう 1 つの方法です。 これを使えば、ユーザーの立場（医師、検査技師、管理者など）に応じて異なるグループに特権を割り当てることができます。

2. 個人または団体の認証

特権を割り当てた後、システムは、PHIにアクセスしようとする人が本人であることを確認できるようにする必要があります。

パスワードは最も単純な認証方法の一つです。 悲しいことに、パスワードは最も簡単に解読できる方法の一つでもあります。 Verizon によると、データ侵害の 63% は、弱いパスワードや盗まれたパスワードが原因で起こっています。 一方、本当に安全なパスワードは、

• 大文字、数字、特殊文字を含む少なくとも 8 ～ 12 文字で構成されていること、
• よく使われる組み合わせ（例. 「
• ユーザー名のあらゆるバリエーションを無効にする。

あるいは、コンクリートのアイスキャンディーのように、ランダムに組み合わせた単語の文字列にすることも可能です。

アプリケーションはサインアップ画面でこれらの要件を確認し、弱いパスワードのユーザーへのアクセスを拒否することができます。

過剰なセキュリティということはありません。 出典: mailbox.org

組織によっては、90日ほどごとにパスワードを変更するよう従業員に強制しているところもあります。 これをあまり頻繁に行うと、セキュリティの取り組みに実際に害を及ぼしかねません。 パスワードを変更させられると、人々はしばしば独創性のない組み合わせ (例: パスワード ⇒ pa$$word) を思いつきます。

さらに、ハッカーは悪いパスワードを数秒で解読し、すぐに使用できます。

そのため、二要素認証の使用を検討すべきです。 このようなシステムでは、安全なパスワードと 2 つ目の認証方法を組み合わせます。 これは、生体スキャナーから SMS 経由で受信する 1 回限りのセキュリティ コードまで、何でも可能です。

考え方は簡単で、ハッカーが何らかの方法でパスワードを入手したとしても、PHI にアクセスするには、デバイスまたは指紋を盗む必要があります。 一部の攻撃者は、ユーザーのデバイスとサーバーの間に入り込むかもしれません。 この方法では、ハッカーは、アカウントを侵害することなく、PHIにアクセスすることができます。 これは、中間者攻撃の一種であるセッションハイジャックとして知られています。

セッションハイジャックの考えられる方法の1つ。 出典はこちら。 Heimdal Security

このような攻撃を防御する方法のひとつに、デジタル署名があります。 文書に署名する際にパスワードを再入力すれば、ユーザーの身元を証明できます。

システム内の役割がより複雑になると、HIPAA 認証が患者を支援する妨げになる可能性があります。 緊急アクセスを実装することは理にかなっています。 このような手順により、許可されたユーザーは、状況が必要とするときに、必要なデータをすべて見ることができます。 同時に、システムは自動的に他の数人に通知し、レビュー手順を開始します。

3 送信セキュリティ

ネットワーク上やシステムの異なる層間で送信するPHIを保護する必要があります。

そのため、すべての通信でHTTPSを強制するべきです（少なくとも、サインアップ画面、PHIや承認Cookieを含むすべてのページで）。 この安全な通信プロトコルは、SSL/TLSでデータを暗号化します。 特別なアルゴリズムを使って、PHI を復号化キーなしでは意味のない文字列に変えます。

SSL 証明書と呼ばれるファイルは、キーをあなたのデジタル ID に結び付けます。

アプリケーションとの HTTP 接続を確立するとき、ブラウザはあなたの証明書を要求します。 その後、クライアントはその信頼性をチェックし、いわゆる SSL ハンドシェイクを開始します。 その結果、ユーザーとアプリケーションの間の通信チャネルが暗号化されます。

アプリケーションでHTTPSを有効にするには、信頼できるプロバイダーの1つからSSL証明書を取得し、適切にインストールします。

また、PHIを含むファイルの送信には、通常のFTPではなく、安全なSSHまたはFTPSプロトコルを使用するようにしてください。

SSL handshake; source: the SSL store

EメールはPHIを送信する安全な方法ではない

Gmailなどの人気サービスでは必要な保護は提供されていない。 PHIを含む電子メールをファイアウォールで保護されたサーバを越えて送信する場合は、暗号化する必要があります。 これを可能にするサービスやブラウザの拡張機能が数多くある。

4. 暗号化/復号化

暗号化は、PHIの完全性を保証する最良の方法である。 ハッカーがデータを盗むことに成功しても、復号化キーがなければちんぷんかんぷんです。

暗号化されていないノートパソコンやその他の携帯機器は、HIPAA違反のよくある原因となっています。 安全のために、PHI を含むすべてのデバイスのハードディスクを暗号化してください。 Windows 用の BitLocker や Mac OS 用の FileVault などの無料の暗号化ツールでこれを行うことができます。

5. PHIの廃棄

不要になったPHIは永久に廃棄すべきである。 そのコピーがバックアップのひとつに残っている限り、データは「廃棄」されたとはみなされません。

2010年、Affinity Health Planはコピー機をリース会社に返却しました。 しかし、そのハードディスクは消去されませんでした。

PHI は、コピー機、スキャナー、生物医学装置（例：MRI や超音波装置）、携帯機器など、思いがけない場所に隠されていることがあります。

データを消去するだけでなく、PHI を含むメディアを捨てたり譲ったりする前に、適切に破壊する必要があります。 状況に応じて、磁気的に消去する (例: デガウサーを使用)、DBAN のようなソフトウェアを使用してデータを上書きする、またはドライブを物理的に破壊する (例: ハンマーで叩き壊す) ことができる。

フラッシュベースのメモリドライブ (例: USB メモリ) では、データはメディア全体に分散されて摩耗しないようにされている。 このため、通常のデータ破壊ソフトウェアでは、機密情報を完全に消去することは困難です。 しかし、Samsung Magician Software のようなメーカーのユーティリティを使用して、フラッシュ ドライブを処分することができます (または、ハンマーを使用するだけでも構いません)。 データのバックアップと保存

6 データの完全性のためにバックアップは必要不可欠です。 データベースの破損やサーバーのクラッシュは、簡単にあなたのPHIを損傷する可能性があります。 データセンタの火災や地震もそうである。

そのため、PHIの複数のコピーをいくつかの異なる場所に保存することが重要である。

PHIバックアップ計画は、データ侵害の確率を決定すべきである。 高リスクおよび中リスクの情報はすべて毎日バックアップし、安全な施設に保管する必要があります。 また、バックアッププロバイダーとBAAを締結する必要があります。

バックアップは復元できなければ意味がありません。

2016年8月、Martin Medical Practice Conceptsはランサムウェア攻撃の被害にあいました。 同社はハッカーにお金を払って PHI を復号化しました。 しかし、バックアップの失敗により、地元の病院は5,000人の患者の情報を失いました

回復の失敗を防ぐために、定期的にシステムをテストしてください。 また、システムのダウンタイムやPHIのバックアップの失敗を記録する必要がある。

そして、バックアップ自体がHIPAAセキュリティ標準に準拠すべきことを忘れないように。 ユーザがシステムにログイン、ログアウトするたびに記録する。 誰が、いつ、どこで、機密データにアクセス、更新、修正、または削除したかを知る必要があります。

監視は、ソフトウェア、ハードウェア、または手続き的な手段で行うことができます。 シンプルなソリューションとしては、データベース内のテーブルまたはログファイルを使用して、患者情報とのすべてのやりとりを記録することです。 PHIと相互作用したユーザの一意な識別子;

この例では、医師（ユーザーID 1）が患者の記録を作成し、放射線技師がそれを見て、後で同じ医師がその記録を変更しました。

一部のユーザーが権限を乱用してPHIにアクセスしていないかどうか、定期的に活動ログを監査する必要がある。 自動ログオフ

PHIのシステムは、一定期間活動しないと自動的にセッションを終了させるべきである。 ログアウトのトリガーとなる正確な非アクティブ時間は、システムの仕様に依存する。

高度な保護環境における安全なワークステーションでは、タイマーを 10-15 分に設定できる。 Web ベースのソリューションの場合、この期間は 10 分を超えないようにします。 また、モバイル アプリの場合、タイムアウトを 2 ～ 3 分に設定できます。

異なるプログラミング言語では、異なる方法で自動ログオフを実装しています。 MailChimp

9. モバイル アプリの余分なセキュリティ

モバイル デバイスには、多くの追加リスクがあります。 これを防ぐには、

• Screen Lock (Android/iOS);
• Full-device encryption (Android/iOS);
• Remote data erasure (Android/iOs) が使用可能です。

これらの機能をユーザーに強制することはできませんが、ユーザーにこれらの機能を使用するよう奨励することは可能です。 オンボーディングに手順を盛り込むか、それらを有効にする方法を説明したメールを送ることができます。

ヒント: 個人データとは別に、安全な容器にPHIを保管することができます。 この方法では、他のものに影響を与えることなく、健康情報をリモートで消去できます。

多くの医師が、健康情報を送信するために個人のスマートフォンを使用しています。 この脅威は、安全なメッセージングプラットフォームで無効にすることができます。

このようなアプリケーションは、安全なデータベースで機密データをホストします。 PHI にアクセスするには、ユーザーはメッセンジャーをダウンロードして、自分のアカウントにログインしなければなりません。

もうひとつのソリューションは、患者が医師からのメッセージを読むことができる暗号化されたパスワード保護された健康ポータルサイトです。 そのようなポータルは、PHI を含まない通知を送ります(例: “Dear User, you’ve got a new message from “)

プッシュ通知は、デフォルトでは安全ではないことを覚えておいてください。 ロックされていても画面に表示されることがあります。 ですから、プッシュ通知でPHIを送信しないように注意してください。 SMSや自動メッセージも同様です。

Source: Bridge Patient Portal

もう1つ考慮すべきことは、FDAが一部のmHealthアプリを医療機器（医療専門家の意思決定プロセスに影響を与えるソフトウェア）として分類する可能性があるということです。 連邦取引委員会のこのテストをチェックして、迅速な回答を得ることができます。 まとめ

これで、HIPAA 準拠のソフトウェアに関する最低限の機能リストが揃いました。

しかし、これらの機能を備えていれば、監査人に対して、顧客データを保護するために十分なことをしてきたと確信させることができます。

監査の痛みを軽減するために、すべてのHIPAA準拠の取り組みを文書化しましょう。 アプリの各リリースについて、仕様書、セキュリティのテスト計画、およびその結果を提供します。 また、開発を開始する前に、他の規制に準拠する必要があるかどうかを確認することも忘れないでください

。