個人の健康データを必要とする製品やサービスを販売していて、米国でビジネスを行っている場合は、データベース健康データのプライバシーとセキュリティを保護する重要な法律であるHIPAAに完全に準拠している必要があります。この記事では、HIPAA法とは何か、およびビジネスのコンプライアンスを確保するためにできることについて説明します。
HIPAA:それが何であり、誰に適用されるか
1996年の医療保険の相互運用性と説明責任に関する法律は、患者の機密情報(PHI)が個人の同意や知識なしに共有されないように保護する連邦法です。これらの国家基準はまた、医療詐欺や虐待を減らし、安全性とプライバシーを保証し、健康保険の移植性を保証します(既存の病状を排除することによって)。
医師、歯科医、薬局、病院、緊急医療クリニックなどの医療提供者は、健康情報を電子的に送信する場合、HIPAA法に従わなければなりません。保護された健康情報を送受信する医療アプリでさえ、HIPAA法に準拠する必要があります。
HIPAA準拠のデータベースとは何ですか?
HIPAA準拠のデータベースを作成するには、適切な計画と構成が必要です。以下は、知っておく必要のある要件の一部です。
- 完全なデータ暗号化。 すべての健康データは、データベース内および転送中に暗号化する必要があります。これにより、悪意のある第三者が機密情報にアクセスするのを防ぎます。
- 一意のユーザーID。 HIPAAは、すべてのユーザーに一意のユーザーIDを要求し、ユーザーログインの共有を禁止します。
- 認証。 機密情報にアクセスするユーザーは、安全に認証される必要があります。
- 承認。 データベースは、さまざまな役割と特権を割り当てることにより、ユーザーへのアクセスを制御する必要があります。
- 監査ログ。 すべてのデータ使用量は、別のインフラストラクチャに保存し、HIPAAガイドラインに従ってアーカイブする必要があります。
- データベースのバックアップ。 すべてのバックアップは完全に暗号化され、安全に保存されている必要があります。
- HIPAAのトレーニングを受けたサポートスタッフ。 PHIに関連する技術的な問題に対処できるのは、訓練を受けた担当者だけです。
- データの廃棄。 データが不要になった場合は、セキュリティの高いファイルワイプを使用するなどして、データを適切に破棄する必要があります。
HIPAA法に準拠していない場合はどうなりますか?
ビジネスがHIPAA法に準拠していない場合、重大な金銭的または刑事上の罰則に直面する可能性があります。これに加えて、あなたのビジネスはその評判を傷つけ、ビジネスパートナーや顧客を失う可能性があります。 HIPAAに準拠していることを確認する最善の方法は、次のとおりです。
- 弁護士または第三者の監査人に専門家の助けを求める
- 年次リスク評価を実施します
- アプリケーションとデータベースのセキュリティを確保する
- HIPAAについて従業員を教育する
- 他の企業との契約を確認する
Arkwareは、データベースの設計と実装を専門としています。データベースが最新のHIPAA規制に準拠していることについて質問がある場合は、今すぐお問い合わせください。データベースを調べて、コンプライアンスを確保する方法に関する推奨事項を提供できます。