米国 NIST SP 800-66 Rev. 2 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティリソースガイドを公表 (2024.02.14)
こんにちは、丸山満彦です。
NISTが、NIST SP 800-66 Rev. 2 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティリソースガイドを公表していますね...
● NIST - ITL
プレス...
・2024.02.14 Just Published | Final SP 800-66r2, Implementing the HIPAA Security Rule: A Cybersecurity Resource Guide
Just Published | Final SP 800-66r2, Implementing the HIPAA Security Rule: A Cybersecurity Resource Guide | 発行されたばかり|最終版 SP 800-66r2『HIPAA セキュリティ規則の実施』: サイバーセキュリティ・リソース・ガイド |
Today, NIST published the final version of Special Publication (SP) 800-66r2 (Revision 2), Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide. This publication, revised in collaboration with the U.S. Department of Health and Human Services (HHS) Office for Civil Rights, provides guidance for regulated entities (i.e., HIPAA-covered entities and business associates) on assessing and managing risks to electronic Protected Health Information (ePHI), identifies typical activities that a regulated entity might consider implementing as part of an information security program, and presents guidance that regulated entities can utilize in whole or in part to help improve their cybersecurity posture and assist with achieving compliance with the HIPAA Security Rule. | 本日、NISTは特別刊行物(SP)800-66r2(改訂2)「医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティ・リソース・ガイド」の最終版を公表した。本書は、米国保健社会福祉省(HHS)の市民権局と共同で改訂されたものであり、規制対象事業体(すなわち、HIPAA の適用対象事業体および業務提携事業体)に対して、電子的な保護対象医療情報(ePHI)に対するリスクのアセスメントおよび管理に関するガイダンスを提供し、規制対象事業体が情報セキュリティ・プログラムの一環として実施を検討する可能性のある典型的な活動を特定し、規制対象事業体がサイバーセキュリティ態勢を改善し、HIPAA セキュリティ・ルールへの準拠を達成するために、その全部または一部を活用できるガイダンスを提示するものである。 |
To assist regulated entities, key document content has been posted online. A list of resources (e.g., guidance, templates, tools) that regulated entities can consult for assistance about particular topics has been hosted on the SP 800-66r2 web page (see under “Supplemental Material” in the gray Documentation box). Additionally, the key activities, descriptions, and sample questions from the tables in Section 5 of the publication have been posted in NIST’s Cybersecurity and Privacy Reference Tool (CPRT). The content in CPRT also includes mappings of the HIPAA Security Rule’s standards and implementation specifications to NIST Cybersecurity Framework Subcategories and SP 800-53r5 security controls as well as listings of NIST publications relevant to each HIPAA Security Rule standard. Readers may draw upon these NIST publications and mappings for assistance in implementing HIPAA Security Rule standards and implementation specifications. | 規制対象事業体を支援するため、主要な文書の内容はオンラインに掲載されている。特定のトピックに関する支援のために、規制対象事業体が参照できるリソース(ガイダンス、テンプレート、ツールなど)のリストは、SP 800-66r2 のウェブページにホストされている(灰色の文書ボックスの「補足資料」を参照)。さらに、本書のセクション 5 の表にある主要な活動、説明、及び質問例は、NIST のサイバーセキュリティ及びプライバシ リファレンスツール(CPRT)に掲載されている。CPRTのコンテンツには、HIPAAセキュリティ規則の標準および実装仕様とNISTサイバーセキュリティフレームワークサブカテゴリーおよびSP800-53r5セキュリティコントロールとのマッピングや、HIPAAセキュリティ規則の各標準に関連するNIST出版物のリストも含まれている。読者は、HIPAAセキュリティ規則の標準および実装仕様を実装する際の支援として、これらのNIST出版物およびマッピングを利用することができる。 |
本文...
NIST SP 800-66 Rev. 2 Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide | NIST SP 800-66 Rev. 2 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティリソースガイド |
Abstract | 概要 |
The HIPAA Security Rule focuses on safeguarding electronic protected health information (ePHI) held or maintained by regulated entities. The ePHI that a regulated entity creates, receives, maintains, or transmits must be protected against reasonably anticipated threats, hazards, and impermissible uses and/or disclosures. This publication provides practical guidance and resources that can be used by regulated entities of all sizes to safeguard ePHI and better understand the security concepts discussed in the HIPAA Security Rule. | HIPAA セキュリティ規則は、規制対象事業体が保持または維持する電子的な保護対象医療情報(ePHI)の保護に重点を置いている。規制対象事業体が作成、受領、維持、または送信する ePHI は、合理的に予測される脅威、危険、および許容されない使用や開示から保護されなければならない。本書は、あらゆる規模の規制対象事業体がePHIを保護し、HIPAAセキュリティ規則で議論されているセキュリティの概念をよりよく理解するために利用できる実践的なガイダンスとリソースを提供する。 |
・[PDF] SP.800-66r2
目次...
Executive Summary | 要旨 |
1. Introduction | 1. 序文 |
1.1. Purpose and Scope | 1.1. 目的と範囲 |
1.2. Applicability | 1.2. 適用範囲 |
1.3. Document Organization | 1.3. 文書の構成 |
1.4. How to Use This Document | 1.4. この文書の使用方法 |
2. HIPAA Security Rule | 2. HIPAAセキュリティ規則 |
2.1. Security Rule Goals and Objectives | 2.1. セキュリティ規則の目標と目的 |
2.2. Security Rule Organization | 2.2. セキュリティ規則の組織 |
3. Risk Assessment Guidance | 3. リスクアセスメントのガイダンス |
3.1. HIPAA Risk Assessment Requirements | 3.1. HIPAAリスクアセスメントの要件 |
3.2. How to Conduct the Risk Assessment | 3.2. リスクアセスメントの実施方法 |
3.3. Risk Assessment Results Affect Risk Management | 3.3. リスクアセスメントの結果はリスクマネジメントに影響する |
3.4. Risk Assessment Resources | 3.4. リスクアセスメントのリソース |
4. Risk Management Guidance | 4. リスクマネジメントガイダンス |
4.1. HIPAA Risk Management Requirements | 4.1. HIPAAリスクマネジメント要件 |
4.2. Determining Risks to ePHI in Accordance With Organizational Risk Tolerance | 4.2. 組織のリスク許容度に従ったePHIに対するリスクの決定 |
4.3. Selecting Additional Security Controls to Reduce Risk to ePH | 4.3. ePHに対するリスクを低減するための追加的セキュリティコントロールの選択 |
4.4. Documenting Risk Management Activities | 4.4. リスクマネジメント活動の文書化 |
5. Considerations When Implementing the HIPAA Security Rule | 5. HIPAAセキュリティ規則を実施する際の考慮事項 |
5.1. Administrative Safeguards | 5.1. 管理上の保護措置 |
5.1.1. Security Management Process (§ 164.308(a) 1) | 5.1.1. セキュリティ管理プロセス(§164.308(a) 1) |
5.1.2. Assigned Security Responsibility (§ 164.308(a)(2)) | 5.1.2. 割り当てられたセキュリティ責任(§164.308(a)(2) |
5,1.3. Workforce Security (§ 164.308) | 5,1.3. 従業員のセキュリティ(§164.308) |
5.1.4. Information Access Management (§ 164.308(a)(4) | 5.1.4. 情報アクセス管理(§164.308(a)(4) |
5.1.5. Security Awareness and Training (§ 164.308(a)(5)) | 5.1.5. セキュリティ意識向上およびトレーニング(§164.308(a)(5) |
5.1.6. Security Incident Procedures (§ 164.308(a)(6)) | 5.1.6. セキュリティインシデント手順(§164.308(a)(6) |
5.1.7. Contingency Plan (§ 164.300 (a) ( | 5.1.7. コンティンジェンシープラン(§164.300 (a) ( |
5.1.8. Evaluation (§ 164.308(a)(8)) | 5.1.8. 評価(§164.308(a)(8) |
5.1.9. Business Associate Contracts and Other Arrangements (§ 164.308(b)(1) | 5.1.9. 業務提携契約およびその他の取り決め(§164.308(b)(1) |
5.2. Physical Safeguards | 5.2. 物理的保護措置 |
5.2.1. Facility Access Controls (§ 164.310(a) | 5.2.1. 施設アクセス管理(§164.310(a) |
5.2.2. Workstation Use (§ 164.310(b) | 5.2.2. ワークステーションの使用(§164.310(b) |
5.2.3. Workstation Security (§ 164.310(c)) | 5.2.3. ワークステーションのセキュリティ(§164.310(c) |
5.2.4. Device and Media Controls (§ 164.310(d) | 5.2.4. デバイスおよびメディアの管理(§164.310(d) |
5.3. Technical Safeguards | 5.3. 技術的保護 |
5.3.1. Access Control (§ 164.312(a)) | 5.3.1. アクセス管理(§164.312(a) |
5.3.2. Audit Controls (§ 164.312(b) | 5.3.2. 監査統制(§164.312(b) |
5.3.3. Integrity (§ 164.312(c) | 5.3.3. 完全性(§164.312(c) |
5.3.4. Person or Entity Authentication (§ 164.312(d) | 5.3.4. 本人または事業体の認証(§164.312(d) |
5.3.5. Transmission Security (§ 164.312(e)(1)) | 5.3.5. 伝送セキュリティ(§164.312(e)(1) |
5.4. Organizational Requirements | 5.4. 組織要件 |
5.4.1. Business Associate Contracts or Other Arrangements (§ 164.314(a) | 5.4.1. 業務提携契約またはその他の取り決め(§164.314(a) |
5.4.2. Requirements for Group Health Plans (§ 164.314(b) | 5.4.2. グループ医療計画に対する要件(§164.314(b) |
5.5. Policies and Procedures and Documentation Requirements | 5.5. 方針および手順、ならびに文書化の要件 |
5.5.1. Policies and Procedures (§ 164.316(a) | 5.5.1. 方針および手順(§164.316(a) |
5.5.2. Documentation (§ 164.316(b)) | 5.5.2. 文書化(§164.316(b) |
References | 参考文献 |
Appendix A. List of Symbols, Abbreviations, and Acronyms | 附属書 A. 記号、略語、および頭字語のリスト |
Appendix B. Glossary | 附属書 B. 用語集 |
Appendix C. Risk Assessment Table | 附属書 C. リスクアセスメント表 |
Appendix D. Security Rule Standards and Implementation Specifications Crosswalk | 附属書 D. セキュリティルール標準と実施仕様のクロスウォーク |
Appendix E. National Online Informative References (OLIR) Program | 附属書 E.全国オンライン情報参照(OLIR)プログラム |
Appendix F. HIPAA Security Rule Resources (Informative) | 附属書 F. HIPAAセキュリティ規則のリソース(参考情報) |
Appendix G. Change Log | 附属書 G. 変更ログ |
エグゼクティブ・サマリー
Executive Summary | 要旨 |
This publication aims to help educate readers about the security standards included in the Health Insurance Portability and Accountability Act (HIPAA) Security Rule [Sec. Rule], as amended by the Modifications to the HIPAA Privacy, Security, Enforcement, and Breach Notification Rules Under the Health Information Technology for Economic and Clinical Health Act [HITECH] and the Genetic Information Nondiscrimination Act and Other Modifications to the HIPAA Rules [OMNIBUS],[1] as well as assist regulated entities[2] in their implementation of the Security Rule. It includes a brief overview of the HIPAA Security Rule, provides guidance for regulated entities on assessing and managing risks to electronic protected health information (ePHI), identifies typical activities that a regulated entity might consider implementing as part of an information security program, and lists additional resources that regulated entities may find useful when implementing the Security Rule. | 本書は、 医療保険の相互運用性と説明責任に関する法律 (HIPAA)セキュリティ規則[Sec. Rule]に含まれるセキュリティ標準について、経済的および臨床的健康のための医療情報技術法 [HITECH]および遺伝情報無差別法およびHIPAA規則のその他の変更点 [OMNIBUS][1]に基づくHIPAAのプライバシー、セキュリティ、施行、および侵害通知規則の修正により改正された読者の理解を助けるとともに、規制対象事業体[2]によるセキュリティ規則の実施を支援することを目的としている。本書には、HIPAAセキュリティ規則の簡単な概要、電子的な保護されるべき医療情報(ePHI)に対するリスクのアセスメントと管理に関する規制対象事業体へのガイダンスの提供、情報セキュリティ・プログラムの一環として規制対象事業体が実施を検討し得る典型的な活動の特定、および規制対象事業体がセキュリティ規則を実施する際に有用と思われるその他のリソースのリストが含まれている。 |
The Security Rule is flexible, scalable, and technology-neutral. For that reason, there is no one single compliance approach that will work for all regulated entities. This publication presents guidance that entities can utilize in whole or in part to help improve their cybersecurity posture and assist with achieving compliance with the Security Rule. | セキュリティ規則は、柔軟性があり、拡張可能であり、技術中立的である。そのため、すべての規制対象事業体に有効な単一のコンプライアンス・アプローチは存在しない。本書は、事業体がサイバーセキュリティ態勢を改善し、セキュリティ規則への準拠を達成するために、全体的または部分的に活用できるガイダンスを示すものである。 |
The HIPAA Security Rule specifically focuses on safeguarding the confidentiality, integrity, and availability of ePHI. All HIPAA-regulated entities must comply with the requirements of the Security Rule. The ePHI that a regulated entity creates, receives, maintains, or transmits must be protected against reasonably anticipated threats, hazards, and impermissible uses and/or disclosures. In general, the requirements, standards, and implementation specifications of the Security Rule apply to the following regulated entities: | HIPAA セキュリティ規則は、特に ePHI の機密性、完全性、および可用性の保護に焦点を当てている。すべてのHIPAA規制事業体は、セキュリティ規則の要件を遵守しなければならない。規制対象事業体が作成、受領、維持、または送信するePHIは、合理的に予測される脅威、危険、および許容されない使用および/または開示から保護されなければならない。一般に、セキュリティ規則の要件、標準、および実施仕様は、以下の規制対象事業体に適用される: |
• Covered Healthcare Providers — Any provider of medical or other health services or supplies who transmits any health information in electronic form in connection with a transaction for which the U.S. Department of Health and Human Services (HHS) has adopted a standard. | ・対象医療プロバイダ - 米国保健社会福祉省(HHS)が標準を採用した取引に関連して、医療情報またはその他の医療サービスもしくは医療用品を電子形式で送信するプロバイダ。 |
• Health Plans — Any individual or group plan that provides or pays the cost of medical care (e.g., a health insurance issuer and the Medicare and Medicaid programs). | ・医療プラン-医療を提供し、または医療費を支払う個人または団体プラン(健康保険発行者、メディケアおよびメディケイド・プログラムなど)。 |
• Healthcare Clearinghouses — A public or private entity that processes another entity’s healthcare transactions from a standard format to a non-standard format or vice versa. | ・ヘルスケア・クリアリングハウス(Healthcare Clearinghouses) - 他の事業体のヘルスケア・トランザクションを標準フォーマットから非標準フォーマットに,またはその逆に処理する公的または民間の事業体。 |
• Business Associate — A person or entity[3] that performs certain functions or activities that involve the use or disclosure of protected health information on behalf of or provides services to a covered entity. A business associate is liable for their own HIPAA violations. | ・業務提携者(Business Associate)- 保護されるべき医療情報の使用または開示を伴う特定の機能または活動を、対象事業体に代わって行う、または対象事業体にサービスを提供する個人または事業体[3]。ビジネス・アソシエイトは、自らのHIPAA違反に対して責任を負う。 |
The Security Rule is separated into six main sections that each include several standards that a regulated entity must meet. Many of the standards contain implementation specifications. An implementation specification is a more detailed description of the method or approach that regulated entities can use to meet a particular standard. Implementation specifications are either required or addressable. Regulated entities must comply with required implementation specifications. Regulated entities must perform an assessment to determine whether each addressable implementation specification is a reasonable and appropriate safeguard to implement in the regulated entity’s environment. | セキュリティ規則は6つの主要なセクションに分かれており、それぞれに規制対象事業体が満たさなければならないいくつかの標準が含まれている。標準の多くには実装仕様が含まれている。実装仕様とは、規制対象事業体が特定の標準を満たすために使用できる方法またはアプローチのより詳細な記述である。実施仕様には、必須または対応可能のいずれかがある。規制対象事業体は、要求される実施仕様に準拠しなければならない。規制対象事業体は、対応可能な各実装仕様が、規制対象事業体の環境において実施する合理的で適切なセーフガードであるかどうかを判断するための評価を実施しなければならない。 |
The assessment, analysis, and management of risk to ePHI provide the foundation for a regulated entity’s Security Rule compliance efforts and the protection of ePHI. Readers are reminded of the Security Rule’s flexibility of approach. The HHS Office for Civil Rights (OCR) does not prescribe any particular risk assessment or risk management methodology. Section 3 and Sec. 4 provide background information about risk assessment and risk management processes, respectively, as well as approaches that regulated entities may choose to use in assessing and managing risk to ePHI. | ePHIに対するリスクのアセスメント、分析、およびマネジメントは、規制対象事業体のセキュリテ ィルール遵守の取り組みとePHI保護の基礎となる。読者は、セキュリティ規則の柔軟なアプローチに留意されたい。HHS市民権局(OCR)は、特定のリスクアセスメントやリスクマネジメント手法を規定しない。セクション3およびセクション4は、それぞれリスクアセスメントおよびリスクマネジメントプロセス、ならびにePHIのリスクアセスメントおよびリスクマネジメントにおいて規制対象事業体が選択できるアプローチに関する背景情報を提供する。 |
Many regulated entities may benefit from more specific guidance concerning how to comply with the standards and implementation specifications of the Security Rule. To that end, Sec. 5 highlights considerations for a regulated entity when implementing the Security Rule. Key activities, descriptions, and sample questions are provided for each standard. The key activities suggest actions that are often associated with the security functions suggested by that standard. Many of these key activities are often included in a robust security program and may be useful to regulated entities. The descriptions provide expanded explanations about each of the key activities and the types of activities that a regulated entity may pursue when implementing the standard. The sample questions are a non-exhaustive list of questions that a regulated entity may ask itself to determine whether the standard has been adequately implemented. | 多くの規制対象事業体は、セキュリティ規則の標準および実施仕様に準拠する方法に関して、より具体的なガイダンスを得ることができる。そのため、Sec.5では、規制対象事業体がセキュリティ規則を実施する際に考慮すべき事項を示す。各標準について、主要な活動、説明、および質問例がプロバイダとして提供されている。主要な活動は、その標準が示唆するセキュリティ機能に関連することが多い行動を示唆している。これらの主要な活動の多くは、強固なセキュリティプログラムに含まれることが多く、規制対象事業体にとって有用であろう。説明では、各重点活動と、標準を実施する際に規制対象事業体が追求する可能性のある活動の種類につい て、詳しく説明している。質問例は、標準が適切に実施されているかどうかを判断するために、規制対象事業体が自らに問うことができる質問の非網羅的なリストである。 |
Regulated entities may implement the Security Rule more effectively if they are shown controls catalogs and cybersecurity activities that align with each standard. To assist regulated entities, this publication includes mappings of the Security Rule’s standards and implementation specifications to Cybersecurity Framework [NIST CSF] Subcategories and applicable security controls detailed in NIST Special Publication (SP) 800-53r5 (Revision 5), Security and Privacy Controls for Information Systems and Organizations [SP 800-53]. The mapping also lists additional NIST publications relevant to each Security Rule standard. Readers may draw upon these NIST publications and mappings for assistance in implementing the Security Rule. | 規制対象事業体は、各基準に沿った管理目録とサイバーセキュリティ活動を示されれば、セキュリティ規則をより効果的に実施することができる。規制対象事業体を支援するために、本書では、セキュリティルールの標準と実装仕様のマッピングを、サイバーセキュリティフレームワーク[NIST CSF]のサブカテゴリーと、NIST 特別刊行物(SP)800-53r5(改訂 5)「情報システムおよび組織のセキュリティおよびプライバシー統制」[SP 800-53]に詳述されている該当するセキュリティ統制に掲載している。このマッピングには、各セキュリティルールの標準に関連するNISTの追加刊行物も記載されている。読者は、セキュリティ規則を実施する際の支援として、これらのNIST出版物やマッピングを利用することができる。 |
Additionally, Appendix F links to a wide variety of resources (e.g., guidance, templates, tools) that regulated entities may find useful for complying with the Security Rule and improving the security posture of their organizations. For ease of use, the resources are organized by topic. Regulated entities could consult these resources when they need additional information or guidance about a particular topic. | さらに、附属書Fは、規制対象事業体がセキュリティルールに準拠し、組織のセキュリティ態勢を改善するために有用と思われる多種多様なリソース(ガイダンス、テンプレート、ツールなど)へのリンクを掲載している。使いやすいように、リソースはトピックごとに整理されている。規制対象事業体は、特定のトピックに関する追加情報やガイダンスが必要な場合に、これらのリソースを参照することができる。 |
The Security Rule is scalable and flexible by design. While the required standards and implementation specifications are the same for all regulated entities, reasonable and appropriate implementations of such standards and implementation specifications may be different for different organizations. For example, all regulated entities are required to implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use ePHI. An implementation of generating and examining these required audit logs that is reasonable and appropriate to reduce applicable risks to ePHI will often be vastly different for a small medical practice than for a national health plan. | セキュリティ規則は、設計上、拡張性と柔軟性を備えている。要求される標準と実装仕様はすべての規制対象事業体にとって同じであるが、そのような標準と実装仕様の合理的かつ適切な実装は、組織によって異なる可能性がある。例えば、すべての規制対象事業体は、ePHIを含む、またはePHIを使用する情報システムにおける活動を記録し、調査するハードウェア、ソフトウェア、および/または手続き上の仕組みを実装することが求められる。ePHIに適用されるリスクを低減するために合理的かつ適切な、これらの要求される監査ログの生成および検査の実施は、小規模な診療所と全国規模のヘルスプランとでは、しばしば大きく異なるであろう。 |
[1] For the remainder of this document, references to and discussions about the Security Rule will be to the Security Rule as amended by the Omnibus Rule unless otherwise specified. | [1] 本書の残りの部分では、特に断りのない限り、セキュリティ規則への言及およびセキュリティ規則に関する議論は、オムニバス規則により改正されたセキュリティ規則を指すものとする。 |
[2] A “regulated entity” refers to both covered entities and business associates as defined in the Security Rule. Business associates also include business associates’ subcontractors who have access to protected health information (PHI). | [2] 「規制対象事業体」とは、セキュリティ規則で定義される対象事業体と業務関連体の両方を指す。ビジネスアソシエイトには、保護された医療情報(PHI)にアクセスできるビジネスアソシエイトの下請業者も含まれる。 |
[3] A member of the covered entity’s workforce is not a business associate. A covered healthcare provider, health plan, or healthcare clearinghouse can be a business associate of another covered entity. | [3] 対象事業体の従業員は、ビジネスアソシエイトではない。対象となる医療プロバイダ、ヘルスプラン、またはヘルスケア・クリアリングハウスは、他の 対象事業体のビジネス・アソシエイトとなることができる。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.07.26 NIST SP 800-66 Rev. 2 (ドラフト) 医療保険の相互運用性と説明責任に関する法律 (HIPAA) のセキュリティ規則の実装:サイバーセキュリティリソースガイド
« 経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15) | Main | 欧州データ保護監督者 通信の秘密を守ることは基本的権利に不可欠である (ネット上の児童虐待と通信の秘密の保護の間で...) (2024.01.29) »
Comments