NIST SP 800-66 Rev. 2 (ドラフト) 医療保険の相互運用性と説明責任に関する法律 (HIPAA) のセキュリティ規則の実装:サイバーセキュリティリソースガイド
こんにちは、丸山満彦です。
NISTがHIPPA対応のガイダンスの改訂に関するドラフト(NIST SP 800-66 Rev. 2 (ドラフト) 医療保険の相互運用性と説明責任に関する法律 (HIPAA) のセキュリティ規則の実装:サイバーセキュリティリソースガイド)を公開し、意見募集をしていますね。。。
● NIST - ITL
SP 800-66 Rev. 2 (Draft) Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide | SP 800-66 Rev. 2 (ドラフト) 医療保険の相互運用性と説明責任に関する法律 (HIPAA) のセキュリティ規則の実装:サイバーセキュリティリソースガイド |
Announcement | アナウンスメント |
The HIPAA Security Rule specifically focuses on protecting the confidentiality, integrity, and availability of electronic protected health information (ePHI), as defined by the Security Rule. All HIPAA-regulated entities must comply with the requirements of the Security Rule. | HIPAA セキュリティ規則では、特に、セキュリティ規則で定義されている電子保護医療情報 (ePHI) の機密性、完全性、および可用性を保護することに重点を置いている。HIPAA の規制下にあるすべての事業体は、セキュリティ規則の要件を遵守する必要がある。 |
This draft update: | この更新草案は |
・Includes a brief overview of the HIPAA Security Rule | ・HIPAAセキュリティ規則の概要を説明する。 |
・Provides guidance for regulated entities on assessing and managing risks to ePHI | ・規制対象事業者がePHIに対するリスクを評価および管理するためのガイダンスを提供する。 |
・Identifies typical activities that a regulated entity might consider implementing as part of an information security program | ・規制対象事業者が情報セキュリティプログラムの一環として実施を検討する可能性のある典型的な活動を特定する。 |
・Lists additional resources that regulated entities may find useful in implementing the Security Rule | ・規制対象事業者がセキュリティ規則の実施に役立つと思われるその他のリソースをリストアップする。 |
Abstract | 概要 |
The HIPAA Security Rule focuses on safeguarding electronic protected health information (ePHI) held or maintained by regulated entities. The ePHI that a regulated entity creates, receives, maintains, or transmits must be protected against reasonably anticipated threats, hazards, and impermissible uses and/or disclosures. This publication provides practical guidance and resources that can be used by regulated entities of all sizes to protect ePHI and better understand the security concepts discussed in the HIPAA Security Rule. | HIPAA セキュリティ規則は、規制対象事業者が保有または維持する電子保護医療情報(ePHI)の保護に重点を置いている。規制対象事業体が作成、受領、維持、または送信するePHIは、合理的に予測される脅威、危険、および許容されない使用や開示から保護されなければならない。本書は、あらゆる規模の規制対象事業者がePHIを保護し、HIPAAセキュリティ規則で議論されているセキュリティの概念をより良く理解するために利用できる、実践的なガイダンスとリソースを提供するものである。 |
・[PDF] SP 800-66 Rev. 2 (Draft)
Executive Summary | エグゼクティブサマリー |
This publication aims to help educate readers about the security standards included in the Health Insurance Portability and Accountability Act (HIPAA) Security Rule [Sec. Rule], as amended by the Modifications to the HIPAA Privacy, Security, Enforcement, and Breach Notification Rules Under the Health Information Technology for Economic and Clinical Health Act [HITECH] and the Genetic Information Nondiscrimination Act; Other Modifications to the HIPAA Rules [Omnibus Rule][1] and assist regulated entities[2] in their implementation of the Security Rule. It includes a brief overview of the HIPAA Security Rule, provides guidance for regulated entities on assessing and managing risks to electronic protected health information (ePHI), identifies typical activities that a regulated entity might consider implementing as part of an information security program, and lists additional resources that regulated entities may find useful in implementing the Security Rule. | 本書は、Health Insurance Portability and Accountability Act(HIPAA)セキュリティ規則[Sec. Rule]に含まれるセキュリティ基準について読者に理解してもらうこと、およびHIPAA規則のその他の修正[Omnibus Rule][1] によって修正されたセキュリティ規則を実施するにあたって規制対象組織[2]を支援することが目的です。本書には、HIPAAセキュリティ規則の概要、電子的な保護されるべき医療情報(ePHI)に対するリスクの評価と管理に関する規制対象事業者のための指針、情報セキュリティプログラムの一部として規制対象事業者が実施を検討し得る典型的な活動の特定、および規制対象事業者がセキュリティ規則の実施に有用と考えるその他の資源のリストが記載されている。 |
The HIPAA Security Rule specifically focuses on protecting the confidentiality, integrity, and availability of ePHI, as defined in the Security Rule. All HIPAA regulated entities must comply with the requirements of the Security Rule. The ePHI that a regulated entity creates, receives, maintains, or transmits must be protected against reasonably anticipated threats, hazards, and impermissible uses and/or disclosures. In general, the requirements, standards, and implementation specifications of the Security Rule apply to the following regulated entities: | HIPAAセキュリティ規則は、セキュリティ規則で定義されているように、特にePHIの機密性、完全性、および可用性を保護することに重点を置いている。すべてのHIPAA規制対象事業者は、セキュリティ規則の要件を遵守する必要があります。規制対象事業者が作成、受領、維持、または伝送するePHIは、合理的に予測される脅威、危険、および許容できない使用および/または開示から保護されなければならない。一般に、セキュリティ規則の要件、基準、および実装仕様は、以下の規制対象事業者に適用される。 |
• Covered Healthcare Providers – Any provider of medical or other health services or supplies who transmits any health information in electronic form in connection with a transaction for which the U.S. Department of Health and Human Services (HHS) has adopted a standard. | ・対象医療機関-米国保健社会福祉省(HHS)が基準を採択した取引に関連して、医療サービスまたはその他の医療用品の提供者で、健康情報を電子形式で送信するすべての者。 |
• Health Plans – Any individual or group plan that provides or pays the cost of medical care (e.g., a health insurance issuer and the Medicare and Medicaid programs). | ・ヘルスプラン - 医療を提供する、または医療費を支払う個人またはグループのプラン(例:健康保険発行者、メディケアおよびメディケイドプログラム)。 |
• Healthcare Clearinghouses – A public or private entity that processes another entity’s healthcare transactions from a standard format to a non-standard format or vice versa. | ・ヘルスケアクリアリングハウス - 他の事業者のヘルスケアトランザクションを標準フォーマットから非標準フォーマットに,またはその逆に処理する公的または私的な事業者。 |
• Business Associate – A person or entity[3] that performs certain functions or activities that involve the use or disclosure of protected health information on behalf of or provides services to a covered entity. A business associate is liable for their own HIPAA violations. | ・業務提携者-保護されるべき健康情報の使用または開示を伴う特定の機能または活動を、対象事業者に代わって行うか、対象事業者にサービスを提供する個人または事業体[3]。ビジネス・アソシエイトは、彼ら自身のHIPAA違反に対して責任を負う。 |
The Security Rule is separated into six main sections that each include several standards that a regulated entity must address. Many of the standards contain implementation specifications. An implementation specification is a more detailed description of the method or approach that regulated entities can use to meet a particular standard. Implementation specifications are either required or addressable. Regulated entities must comply with required implementation specifications. Regulated entities must perform an assessment to determine whether each | セキュリティ規則は、6つの主要セクションに分かれており、それぞれ規制対象事業者が対処しなければならないいくつかの標準を含んでいる。多くの標準には、実装仕様が含まれています。実装仕様とは、規制対象事業者が特定の基準を満たすために使用できる方法またはアプローチのより詳細な記述である。実施仕様には、必須または対処可能のいずれかがあります。規制対象事業者は、要求された実施仕様に準拠しなければならない。規制対象事業者は、各アドレス可能な実施仕様が合理的であるかどうかを判断するために、アセスメントを実施しなければならない。 |
addressable implementation specification is a reasonable and appropriate safeguard for implementation in the regulated entity’s environment. | 規制される事業者は、対応可能な実装仕様が、規制される事業者の環境における実装のための合理的かつ適切なセーフガードであるかどうかを判断するために、評価を実施しなければならない。 |
The assessment, analysis, and management of risk to ePHI provides the foundation for a regulated entity’s Security Rule compliance efforts and the protection of ePHI. Readers are reminded of the Security Rule’s flexibility of approach. The HHS Office for Civil Rights (OCR) does not prescribe any particular risk assessment or risk management methodology. Section 3 and Section 4 provide background information about risk assessment and risk management processes, as well as approaches that regulated entities may choose to use in assessing and managing risk to ePHI. | ePHIに対するリスクの評価、分析、および管理は、規制対象事業者のセキュリティ規則への準拠努力とePHIの保護のための基盤となるものである。読者は、セキュリティ規則の柔軟なアプローチに気づかされることだろう。HHS市民権局(OCR)は、特定のリスク評価やリスク管理の手法を規定するものではない。セクション3及びセクション4は、リスク評価及びリスク管理プロセスに関する背景情報、並びにePHIに対するリスクを評価及び管理する際に規制対象事業者が選択することができるアプローチを提供する。 |
Many regulated entities may benefit from more specific guidance concerning how to comply with the standards and implementation specifications of the Security Rule. To that end, Section 5 highlights considerations for a regulated entity when implementing the Security Rule. Key activities, descriptions, and sample questions are provided for each standard. The key activities suggest actions that are often associated with the security function or functions suggested by that standard. Many of these key activities are often included in a robust security program and may be useful to regulated entities. The descriptions provide expanded explanations about each of the key activities, as well as the types of activities that a regulated entity may pursue in implementing the standard. The sample questions are a non-exhaustive list of questions that a regulated entity may ask itself to determine whether the standard has been adequately implemented. | 多くの規制対象事業者は、セキュリティ規則の基準および実施仕様に準拠する方法に関するより具体的なガイダンスを得ることができる。そのため、セクション5では、セキュリティ規則を実施する際に規制対象事業者が考慮すべき事項を明らかにしている。各基準について、主要な活動、説明、および質問例が提供されている。主要な活動は、その規格が提案するセキュリティ機能または機能にしばしば関連する行動を示唆している。これらの主要な活動の多くは、堅牢なセキュリティプログラムに含まれることが多く、規制対象事業者にとって有用である可能性があります。説明文は、各主要活動に関する詳細な説明と、規制対象事業者が当該規格を実施する際に追求し得る活動の種類を提供する。質問例は、基準が適切に実施されているかどうかを判断するために、規制対象事業者が自問することができる質問の非網羅的なリストである。 |
Regulated entities may implement the Security Rule more effectively if they are shown controls catalogs and cybersecurity activities that align with each standard. To assist regulated entities, this publication includes mappings of the Security Rule’s standards and implementation specifications to Cybersecurity Framework [NIST CSF] Subcategories and to applicable security controls detailed in NIST Special Publication (SP) 800-53, Rev. 5, Security and Privacy Controls for Information Systems and Organizations [SP 800-53]. The mapping also lists additional NIST publications relevant to each Security Rule standard. Readers may draw upon these NIST publications and mappings for assistance in implementing the Security Rule. | 規制対象事業者は、各基準に沿ったコントロールカタログとサイバーセキュリティ活動を示すことで、より効果的にセキュリティ規則を実施することができる。規制対象事業者を支援するために、本書には、セキュリティ規則の標準と実装仕様のサイバーセキュリティフレームワーク [NIST CSF] サブカテゴリへのマッピングと、NIST Special Publication (SP) 800-53, Rev. 5, 組織と情報システムのためのセキュリティおよびプライバシー管理策 [SP 800-53] に詳述されている該当するセキュリティ管理へのマッピングが含まれている。また、このマッピングには、各セキュリティ規則の規格に関連するNISTの追加出版物も記載されている。読者は、セキュリティ規則の実施に際して、これらのNISTの文書やマッピングを参考にすることができる。 |
Additionally, the publication lists a wide variety of resources (e.g., guidance, templates, tools) that regulated entities may find useful in complying with the Security Rule and improving the security posture of their organizations. For ease of use, the resources are organized by topic. Regulated entities could consult these resources when they need additional information or guidance about a particular topic. The resource topics include: | さらに、本書には、規制対象事業者がセキュリティ規則の順守と組織のセキュリティ態勢の改善に役立つと思われるさまざまなリソース(ガイダンス、テンプレート、ツールなど)がリストアップされている。使いやすいように、リソースはトピックごとに整理されている。規制対象組織は、特定のトピックに関する追加情報またはガイダンスが必要な場合に、これらのリソースを参照することができる。リソースのトピックは以下の通りである。 |
• Risk Assessment and Risk Management | ・ リスクアセスメントとリスクマネジメント |
• Documentation Templates | ・ 文書化テンプレート |
• Small Regulated Entities | ・ 小規模な規制対象事業者 |
• Telehealth/Telemedicine Guidance | ・ テレヘルス/遠隔医療ガイダンス |
• Mobile Device Security | ・ モバイルデバイスのセキュリティ |
• Cloud Services | ・ クラウドサービス |
• Ransomware and Phishing | ・ ランサムウェアとフィッシング |
• Education, Training, and Awareness | ・ 教育、トレーニング、意識向上 |
• Medical Device and Medical Internet of Things (IoT) Security | ・医療機器および医療用IoT(Internet of Things)セキュリティ |
• Protection of Organizational Resources and Data, including subtopics such as Zero-Trust architecture, digital identities, security of data exchanges, and trustworthy email | ・ 組織のリソースとデータの保護(ゼロトラスト・アーキテクチャ、デジタルアイデンティティ、データ交換のセキュリティ、信頼できる電子メールなどのサブトピックを含む ) |
• Incident Handling/Response | ・ インシデントハンドリング/レスポンス |
• Equipment and Data Loss | ・ 機器とデータの損失 |
• Contingency Planning | ・ コンティンジェンシー・プランニング |
• Supply Chain | ・ サプライチェーン |
• Information Sharing | ・ 情報共有 |
• Access Control/Secure Remote Access | ・ アクセスコントロール/セキュアリモートアクセス |
• Telework | ・ テレワーク |
• Cybersecurity Workforce | ・ サイバーセキュリティの労働力 |
[1] For the remainder of this document, references to and discussions about the Security Rule will be to the Security Rule as amended by the Omnibus Rule unless otherwise specified. | [1] 本書の残りの部分では、セキュリティ規則への言及およびセキュリティ規則に関する議論は、特に断りのない限り、オムニバス規則によって改正されたセキュリティ規則を指すものとする。 |
[2] A “regulated entity” refers to both covered entities and business associates as defined in the Security Rule. Business associates also includes business associates’ subcontractors who have access to ePHI. | [2] 「規制対象事業体」とは、セキュリティ規則で定義される対象事業体と業務関係者の両方を指す。業務提携先には、ePHIにアクセスできる業務提携先の下請け業者も含まれる。 |
[3] A member of the covered entity’s workforce is not a business associate. A covered healthcare provider, health plan, or healthcare clearinghouse can be a business associate of another covered entity. | [3] 対象事業者の従業員は、業務関係者ではない。対象となる医療機関、医療計画、または医療クリアリングハウスは、他の対象となる事業者の業務関係者になることができる。 |
目次...
Executive Summary | エグゼクティブサマリー |
1 Introduction | 1 はじめに |
1.1 Purpose and Scope | 1.1 目的及び範囲 |
1.2 Applicability | 1.2 適用可能性 |
1.3 Document Organization | 1.3 文書の構成 |
1.4 How to Use this Document | 1.4 このドキュメントの使用方法 |
2 HIPAA Security Rule | 2 HIPAAセキュリティ規則 |
2.1 Security Rule Goals and Objectives | 2.1 セキュリティ規則の目標及び目的 |
2.2 Security Rule Organization | 2.2 セキュリティ規則の組織 |
3 Risk Assessment Guidance | 3 リスクアセスメントのガイダンス |
3.1 HIPAA Risk Assessment Requirements | 3.1 HIPAAリスクアセスメントの要求事項 |
3.2 How to Conduct the Risk Assessment | 3.2 リスクアセスメントを実施する方法 |
3.3 Risk Assessment Results Affect Risk Management | 3.3 リスクアセスメント結果によるリスク管理への影響 |
4 Risk Management Guidance | 4 リスクマネジメントのガイダンス |
4.1 HIPAA Risk Management Requirements | 4.1 HIPAAリスクマネジメントの要求事項 |
4.2 Risk Analysis | 4.2 リスク分析 |
4.3 Selecting Additional Security Controls to Reduce Risk to ePHI | 4.3 ePHIへのリスクを低減するための追加的なセキュリティコントロールの選択 |
4.4 Documenting Risk Management Activities | 4.4 リスク管理活動の文書化 |
5 Considerations When Implementing the HIPAA Security Rule | 5 HIPAAセキュリティ規則の実施に際しての考慮事項 |
5.1 Administrative Safeguards | 5.1 管理上の保護措置 |
5.1.1 Security Management Process (§ 164.308(a)(1)) | 5.1.1 セキュリティ管理プロセス(§164.308(a)(1) |
5.1.2 Assigned Security Responsibility (§ 164.308(a)(2)) | 5.1.2 割り当てられたセキュリティ責任(§164.308(a)(2) |
5.1.3 Workforce Security (§ 164.308(a)(3)) | 5.1.3 従業員のセキュリティ(§164.308(a)(3) |
5.1.4 Information Access Management (§ 164.308(a)(4)) | 5.1.4 情報アクセス管理(§164.308(a)(4) |
5.1.5 Security Awareness and Training (§ 164.308(a)(5)) | 5.1.5 セキュリティ教育及び訓練(§164.308(a)(5) |
5.1.6 Security Incident Procedures (§ 164.308(a)(6)) | 5.1.6 セキュリティインシデントの手順(§164.308(a)(6) |
5.1.7 Contingency Plan (§ 164.308(a)(7)) | 5.1.7 コンティンジェンシー計画(§164.308(a)(7) |
5.1.8 Evaluation (§ 164.308(a)(8)) | 5.1.8 評価(§164.308(a)(8) |
5.1.9 Business Associate Contracts and Other Arrangements (§164.308(b)(1)) | 5.1.9 業務提携の契約及びその他の取り決め(§164.308(b)(1) |
5.2 Physical Safeguards | 5.2 物理的安全保護措置 |
5.2.1 Facility Access Controls (§ 164.310(a)) | 5.2.1 施設のアクセス制御(§164.310(a) |
5.2.2 Workstation Use (§ 164.310(b)) | 5.2.2 ワークステーションの使用(§164.310(b) |
5.2.3 Workstation Security (§ 164.310(c)) | 5.2.3 ワークステーションのセキュリティ(§164.310(c) |
5.2.4 Device and Media Controls (§ 164.310(d)) | 5.2.4 デバイス及びメディアの管理(§164.310(d) |
5.3 Technical Safeguards | 5.3 技術的セーフガード |
5.3.1 Access Control (§ 164.312(a)) | 5.3.1 アクセス制御(§164.312(a) |
5.3.2 Audit Controls (§ 164.312(b)) | 5.3.2 監査統制(§164.312(b) |
5.3.3 Integrity (§ 164.312(c)) | 5.3.3 完全性(§164.312(c) |
5.3.4 Person or Entity Authentication (§ 164.312(d)) | 5.3.4 人又は組織の認証(§164.312(d) |
5.3.5 Transmission Security (§ 164.312(e)(1)) | 5.3.5 転送のセキュリティ(§164.312(e)(1) |
5.4 Organizational Requirements | 5.4 組織的要件 |
5.4.1 Business Associate Contracts or Other Arrangements (§ 164.314(a)) | 5.4.1 業務提携の契約またはその他の取り決め(§164.314(a) |
5.4.2 Requirements for Group Health Plans (§ 164.314(b)) | 5.4.2 グループ医療計画に対する要求事項(§164.314(b) |
5.5 Policies and Procedures and Documentation Requirements | 5.5 政策と手続きおよび文書化の要件 |
5.5.1 Policies and Procedures (§ 164.316(a)) | 5.5.1 方針と手順(§164.316(a) |
5.5.2 Documentation (§ 164.316(b)) | 5.5.2 文書化(§164.316(b) |
References | 参考文献 |
List of Appendices | 附属書リスト |
Acronyms | 頭字語 |
Glossary | 用語集 |
Risk Assessment Tables | リスクアセスメントの表 |
National Online Informative References (OLIR) Program | 全米オンライン情報提供プログラム(OLIR) |
Security Rule Standards and Implementation Specifications | セキュリティルールの標準と実装仕様 |
Crosswalk | クロスウォーク |
HIPAA Security Rule Resources (Informative) | HIPAA セキュリティ規則のリソース(情報提供) |
« NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践 | Main | 総務省 「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集及び取組事例の募集 »
Comments