HIPAAセキュリティ規則の重要な更新が20年ぶりに実施される見込みであり、HIPAA規制対象機関すべてに影響を及ぼす可能性がある。 保健福祉省(HHS)は、サイバーセキュリティ保護を強化し、米国の医療システムを標的とするサイバー脅威に対する防御を向上させることを目的とした規則改正案(提案規則)を発表した。意見募集期間は2025年3月7日(提案規則が連邦官報に掲載されてから60日後)に終了する。
このHIPAAセキュリティ規則で要求されるセキュリティ保護措置の強化提案は、医療分野におけるサイバー攻撃の大幅な増加に対するHHSの対応である。具体的には、2018年から2023年にかけて、ハッカーやランサムウェア攻撃による大規模な情報漏洩の報告件数が102%増加し、これらの漏洩の影響を受けた個人の数は1,002%増加したとHHSは述べている。
提案規則の概要
提案規則は、定義の明確化と改訂、ならびに「必須」と「対応可能」な実施仕様の区別撤廃を通じて、セキュリティ規則の要件強化を図るものである。提案規則は、HIPAA規制対象機関がNISTサイバーセキュリティフレームワークなどの業界標準ベストプラクティスに沿ったコンプライアンス活動を実施することをより確実に支援するため、新たな実施要件を追加する。
規制対象事業者は、セキュリティ規則に基づくすべての方針および手順を文書化することが義務付けられる。これには以下が含まれる:
- 技術資産の書面による目録及びネットワーク図の作成と維持管理。規制対象事業者は 、資産目録及びネットワーク図を継続的に見直し更新する必要があるが、少なくとも12か月ごとに、また電子保護健康情報(ePHI)に影響を及ぼす可能性のある環境または業務上の変更が生じた際には実施しなければならない。
- より具体的な年次リスク分析リスク分析は、とりわけ以下の事項を含む書面による評価で構成される:
- 電子保護健康情報(ePHI)の機密性、完全性、可用性に対する合理的に予測されるすべての脅威の特定。
- 関連するITシステムに対する潜在的および既存の脆弱性の特定。
- 電子保護健康情報(ePHI)を保護するために使用されるセキュリティ対策の評価と文書化。
- 特定された各脅威が特定された脆弱性を悪用する可能性について、合理的な判断を行うこと。
- 現行または将来の業務提携先が電子保護健康情報(ePHI)に及ぼすリスクの評価
- 変更管理統制の確立。提案規則には、事業体の環境変更に先立つ技術的および非技術的評価に関する要件が含まれている。
- パッチ管理ポリシーと手順。HIPAA規制対象 機関は、パッチ管理プロセスを少なくとも12か月ごとに1回見直し、合理的かつ適切な範囲でプロセスを修正することが求められる。重大な脆弱性に対するパッチ適用に「合理的かつ適切な」期間とは、脆弱性の特定から15暦日以内とする。
- 強固なリスク管理計画。提案規則には、要求されるリスク分析によって特定されたリスクを低減するためのリスク管理計画の策定および実施に関する、より強固な要件が含まれている。
- 監視およびインシデント対応に関する方針と手順に対する厳格な要件。 提案された規則では、以下を要求する:
- 関連するITシステムの活動状況のレビュー。これはリスク管理戦略に沿ってカスタマイズされるべきであり、セキュリティインシデントを示唆する可能性のあるあらゆる活動に対する認識の促進を目的とする。
- 災害復旧計画手順を含むインシデント対応計画。これにより、ITシステムの損失を72時間以内に復旧させる。
- セキュリティ規則要件への準拠を確認するための年次コンプライアンス監査。
書面による方針や手順を超えて、本規則案はセキュリティ規則の技術的保護措置の拡大を試みており、これにより規制対象事業者は以下を求められることになる:
- 保存時および転送中の電子保護健康情報(ePHI)を暗号化する。ただし、限定的な例外を除く。
- 限定的な例外を除き、多要素認証を使用してください。
- 関連するITシステムを一貫した方法で構成するための技術的制御を確立し、展開する。
- リスク分析に基づき、必要な構成管理制御を実施する。これには、マルウェア対策保護の展開、不要なソフトウェアの削除、ポートの無効化が含まれる。
- 脆弱性スキャンは少なくとも6か月ごとに、侵入テストは少なくとも12か月ごとに実施すること。
- ネットワークセグメンテーションを使用する。
- 関連するITシステムのバックアップを作成・維持するための技術的統制を導入し、当該統制の有効性を半年ごとに検証・テストする。
さらに、本規則案は業務提携契約に関する要件を追加する(つまり、本規則案が法制化された場合、業務提携契約の更新が必要となる)。具体的には、業務提携契約には、業務提携先が緊急時対応計画を発動した際、被カバー機関(および下請け業者は業務提携先に)に対し、不当な遅延なく、かつ発動後24時間以内に通知することを義務付ける条項を含めなければならない。 さらに、本規則案は事業提携先との契約に追加要件を課しており、対象事業体が事業提携先から毎年、セキュリティ規則の技術的保護措置への遵守状況に関する書面による分析と認証を取得することを義務付けている。この分析は「ePHIサイバーセキュリティ原則に関する適切な知識と経験を有する者」によって実施される必要がある。 本規則案は、セキュリティ規則で要求されるコンプライアンス活動を業務提携先に委任したHIPAA規制対象機関が、セキュリティ規則への遵守責任を依然として負うことを明確にしている。
新技術・新興技術に関する情報提供要請
本規則案を通じて、HHSは人工知能、量子コンピューティング、仮想現実および拡張現実といった新興技術、ならびにこれらの新興技術を規制する上でのHIPAAの役割に関する意見を募集している。規則案では、HIPAA規制対象機関がこれらの新規・新興技術を導入する前に、電子保護健康情報(ePHI)に対する潜在的なリスクと脆弱性について正確かつ徹底的な評価を行うべきであると指摘している。
HIPAA規制対象機関の今後の展望
現時点では、提案規則の将来は不透明である。新たに選出された政権が規則制定プロセスを進めるかどうかを決定する可能性が高いからだ。サイバーセキュリティ保護策は超党派の支持を得ており、トランプ政権初期には情報セキュリティが重視されていたものの、トランプ政権は規制強化に反対する姿勢を示すと予想される。したがって、HIPAA規制対象機関はこれらの動向を引き続き注視すべきである。 ただし、対応期間が短いことを考慮すると、提案規則が現状のまま進められる場合に備え、関係機関は提案規則を精査し、意見提出の要否を判断すべきである。
医療データプライバシーは急速に進化を続けており、HIPAA規制対象機関は新たな動向を注視し、コンプライアンス達成に向けた必要な措置を継続的に講じるべきである。 HIPAA遵守や、提案規則およびその他の医療データプライバシー法改正の影響に関するご質問、あるいは提案規則への意見提出に関する支援をご希望の場合は、本稿の執筆者、またはFoleyのサイバーセキュリティ・データプライバシーグループもしくはヘルスケアプラクティスグループのパートナーまたはシニアカウンセルまでお問い合わせください。
