Microsoft365HIPAAに準拠していますか?

Office365HIPAAコンプライアンスは、ヘルスケア企業の増加のための緊急の懸念です。 マイクロソフトの堅牢なクラウドソリューションは、プロバイダが記録を保持し、簡単に通信することができます—しかし、それはあまりにも簡単ですか? 機密情報がクラウドに保存されている場合、機密情報を実際に保護できますか?

クラウドコンピューティングは、数年前から医療業界に進出してきました。 それは戦略として多くの利点を提供し、組織やケア提供者が技術をどこでどのように使用できるかを拡大することを可能にします。 プロバイダーが外出先でも患者の記録を保持して参照することを容易にすることで、クラウドコンピューティングは患者の経験を改善し、簡素化します。

このクラウドへの移行は医療全体にとって肯定的ですが、コンプライアンスとセキュリティの専門家にはさらなる責任があります。 幸いなことに、HIPAA準拠のクラウドソフトウェアを見つける作業は、より多くのベンダーや開発者が市場の需要を認識するにつれて容易にな 多くの解決の提供者はヘルスケアの組織のHIPAAの必要性を満たすために今彼らの供物を合わせた。

マイクロソフト365、議論の余地のある最も広く使用されているクラウドサービスは、傑出した例です。 これは、ビジネスアソシエイト契約(BAA)を持っており、適切に使用するすべての医療機関のためのHIPAA準拠を提供しています。 この記事では、MICROSOFTがHIPAAの要件を満たすために365スイートを有効にするために行ったことと、データ保護のどの側面がプロバイダの責任であるかについて

HIPAA BAAおよびMicrosoft365

クラウドソリューションのHIPAA準拠レベルは、ユーザー組織のBAAによって異なります。 ヘルスケアクライアントのためのMicrosoft365の最も便利な機能の一つは、サービスの標準的な要素としてBAAを提供することです。

BAAとは何ですか?

ビジネスアソシエイト契約は、HIPAAの対象となる事業体(医師のオフィスや病院など)と関連する事業との間の契約です。 保護された健康情報(PHI)がクラウドにアップロードされるとすぐに、両当事者は自動的にHIPAA規制の対象となります。 そのため、患者データに関連するソリューションを実装する前に、クラウドベンダーとBAAを設置する必要があります。

マイクロソフトのBAAはどのように機能しますか?

デフォルトでは、マイクロソフトはオンラインサービス規約の一部として、HIPAAで定義されている対象事業体またはビジネスアソシエイツであるユー BaaはDynamics365、Office365、およびその他のクラウドサービスを対象としています。

マイクロソフトをソリューションプロバイダーとして検討している場合は、BAAの対象サービスと条件がお客様のニーズを満たしていることを確認するため マイクロソフトは、お客様の要求によってBAAを変更することはないため、本規約は書面に従って十分である必要があります。

マイクロソフト365セキュリティ制御とHIPAA要件

そのセキュリティ慣行がHIPAAの公式発行者である米国保健福祉省(HHS)からの勧告と一致していることを確認するために、マイクロソフトはISO27001規格に基づく情報セキュリティ監査を受けている。 この標準は、HHSの推奨事項に従っているかどうかなど、組織のITセキュリティの複数の側面を評価します。

その結果、Office365には、コンプライアンスに必要なすべてのHIPAAセキュリティおよびプライバシー制御が含まれていることが確認されま これらのコントロールには、Microsoft365Compliance Centerからアクセスできます。

Microsoft Compliance Center

Microsoft Compliance Centerを使用すると、お客様はコンプライアンスを管理するために必要なツールと情報にアクセスできます。 次のような機能が含まれています:

  • あなたのコンプライアンススコア、リスク削減に向けた進捗状況を測定するリスクベースの指標
  • アクティブなアラートカード、セキュリティ通知を一覧表示し、より詳細な情報を示す
  • 重要なデータを適切に整理するためのデータ分類セクション
  • サードパーティのアプリ、共有ファイルなどに関する情報を含むレポートセクション
  • aパーミッションセクションこれにより、組織内のアクセスを管理できます
  • 組織のコンプライアンスに関する詳細情報を含むソリューションセクション 戦略
  • 機密情報を追跡できるデータ損失保護ツール

コンプライアンスセンターは堅牢なリソースです。 Microsoft businessのすべてのお客様が利用できますが、高度な脅威管理、データ分類の機密ラベル、DLP機能などの一部の機能は、トップレベルのライセンスを持ってい

HIPAAのMicrosoft365セキュリティ機能

Microsoftは、企業が特定の規制への準拠を維持するのに役立つ多くのセキュリティ機能を提供しています。 HIPAAに特に関連するものは次のとおりです:

  • 最小権限アクセス:この機能は、データ侵害のリスクと影響を制限するため、必要なユーザーのみに昇格されたアクセス権を付与します。
  • プライバシーリーダー:BAAをお持ちのお客様は、電子保護医療情報(ePHI)に関連する可能性のある違反に関するメッセージセンター通知にアクセスできるように、HIPAA
  • エンドツーエンドの暗号化:マイクロソフトは、会社のサーバーにアップロードまたは保存されるときにすべてのデータを暗号化します。 ただし、電子メールの件名行やアドレスフィールドのデータなど、一部の情報は、標準的なインターネットプロトコルのために暗号化できません。 したがって、電子メールの宛先、送信元、または件名にePHIを含めないように、すべてのユーザーが担当者を訓練することをお勧めします。
  • データ損失防止:ePHIは、権限のない閲覧者への共有から保護されています。
  • 多要素認証: ユーザーは、ログインを許可する前に、別のデバイスまたはアカウントに送信された情報を提供する必要があります。
  • 監査ログ:管理者は、誰が文書を見たか、開いたか、共有したか、ゴミ箱に入れたかを表示できます。
  • データバックアップ:HIPAAでは、必要に応じてePHIの正確なコピーを復元できるように、この機能が必要です。
  • セキュリティ構成:マイクロソフトでは、BAAの対象となる多くのサービスでセキュリティ設定を変更できます。 HIPAAの承諾のために、最も安全な作戦は最も厳密な可能な変数を置くことであるかもしれない。 詳細な構成手順は、MicrosoftのHIPAA実装ガイドを参照してください。

マイクロソフトがセキュリティ侵害をどのように処理するか

マイクロソフトのBAAは、セキュリティ侵害が発生した場合、会社は30日以内にアカウ

マイクロソフトは、お客様に違反を通知しません。 その責任は、HIPAAの下であなたに該当します,これは、違反が無担保ePHIを伴う場合、影響を受けた個人に通知するために、すべての対象事業体を必要とします. マイクロソフトはまた、HHSの秘書やメディアに必要な通知を送信しません。

潜在的なePHIリポジトリの違反が発生した場合、Microsoftは保存されたデータをスキャンして、ePHIが実際に侵害されたかどうかを判断する責任を負いません。 違反が発生したという通知が届きます。 その後、ePHIが侵害されているかどうか、および影響の程度がある場合はどうかを評価する必要があります。

Office365HIPAA準拠の構成: ベストプラクティス

マイクロソフトは、最終的にHIPAA準拠の責任は顧客にあることを非常に明確にしています。 ベンダーは、コンプライアンスをサポートする方法で従業員がOffice365を使用できるように、すべての企業が一連の手順とポリシーを確立することをお勧 ここでは、セットアッププロセス中に従うべき最も重要な手順のいくつかは次のとおりです。

サービスの詳細を確認してください。

  • 使用する予定の製品がMICROSOFTのHIPAAコンプライアンスサービスの範囲内であることを確認してください。
  • baaを確認して、含まれているセキュリティとプライバシーの慣行があなたのニーズを満たしていることを確認します。

アクセス制御手順を設定します。

  • Microsoft365メッセージセンターで、プライバシーリーダーを指定します。
  • 管理者がユーザーアカウントにいつアクセスしたかを確認できるように、管理者のアクセス追跡をオンにします。

  • 管理者は、ディレクトリ、アドレス帳、またはグローバルアドレス一覧にePHIを入力してはなりません。
  • マイクロソフトとのトラブルシューティングやサポートの会話でePHIを共有すべきではありません。
  • ユーザーは、ファイル名、電子メールヘッダー、または一般にアクセス可能なSharePointの場所でePHIを参照してはなりません。
  • ユーザーは、明示的に承認されたユーザー以外にePHIを電子メールで送信してはなりません。

アクセス審査のための手順を確立します。

  • すべてのePHIストレージリポジトリへのユーザーアクセスを定期的に確認します。
  • ユーザーのアクセス許可、パスワードの変更、共有リソースへの追加を定期的に調べます。
  • 人事異動時にアクセス権を更新するためのプロトコルを作成します。

NetwrixがMicrosoft365のお客様にどのように役立つか

HIPAAへの準拠は小さな作業ではなく、クラウドサービスに関連するコンプライアンスを追加することで、最も堅牢な組織のリソースに課税することができます。 NetwrixはHIPAAの承諾のための解決が付いているあなたの肩のその負荷の多くを取ることができる。

ePHIの格納場所を正確に把握

Netwrixソリューションは、ePHIを含むアカウント内の特定のOneDrive for Businessリポジトリ、Exchange Onlineメールボックス、およびSharePoint Onlineサイトを識別できます。 これは、内部および外部の脅威からそのePHIを保護するための第一歩です。

権限を最小限に抑えることにより、攻撃表面積を削減

Netwrixソリューションは、正しい権限を持っていることを確認するのにも役立ちます。 機密データに対する過度の権限を自動的に識別して削除することができます。 また、アクセスレビューと権限の認証プロセスも簡素化されるため、コンプライアンス監査に初めて合格する可能性が向上します。

脅威の特定と対応

詳細なシステム間の可視性のおかげで、Netwrixソリューションは、失敗したアクセス試行、特権の昇格、異常に高い読み取り数など、内部の脅威を示す可能性のある赤いフラグを検出し、進行中のランサムウェアの兆候を検出することができます。 それは、彼らが深刻な被害を引き起こす前に、あなたが脅威をブロックすることができますので、簡単に不審な活動に深くドリルすることができます。

原因が何であれ、違反があった場合、Netwrixはインシデントの重大度を判断するのに役立ち、当局と影響を受けるユーザーに通知するためのすべての要件を満

Microsoft365およびHIPAAコンプライアンスに関するFAQ

Office365の使用に関するHIPAAの懸念はありますか?

MicrosoftのBAAを慎重に確認し、セキュリティおよびコンプライアンス保護の範囲を理解し、それらの保護がHIPAAコンプライアンスのニーズを満たしているこ

Office365のHIPAA保護は堅牢ですが、最終的にはHIPAAの対象となる事業体としてのコンプライアンスがお客様の責任となります。

どのMicrosoft Office365プランがHIPAAに準拠していますか?

マイクロソフトは、Office365Business、Office365US Government、およびOffice365US Government DefenseのユーザーにHIPAAコンプライアンスBAAを提供しています。 ただし、これらのサービスの下位レベルのライセンス(Business Basic、Business Standard、Business Premiumなど)には、コンプライアンスの維持に使用する高度なセキュリティ機能がすべて

マイクロソフトは、HIPAA準拠を求めるユーザーがトップレベルのセキュリティ保護を有効にすることをお勧めします。 フィッシング対策の脅威エクスプローラーやデータ損失防止など、これらの保護の一部は、上位層のエンタープライズライセンスの所有者のみが利用でき

マイクロソフトとBAAを持つことで、HIPAAとHITECH Actの遵守が保証されますか?

いいえ、BAAはコンプライアンスを保証するものではありません。 BAAの目的は、コンプライアンス要件がHIPAAビジネスアソシエイトの責任であるかを明確にすることです。 たとえば、Microsoft Office365アカウントに違反がある場合、Microsoftはその違反が発生したことを通知します。

最も堅牢なBAAの下でさえ、クラウドサービスの顧客としてのあなたは依然としてコンプライアンスを維持する責任があります。 HIPAAの対象となる組織として必要なすべてのものに対処する内部コンプライアンスプログラムを確立し、維持する必要があります。 たとえば、従業員がHIPAA規制に違反しない方法で行動することを確実にするために、社内のポリシー、手順、およびプロセスを整備する必要があります。

マイクロソフトのBAAは、会社のサービスを使用するときにHIPAAの原則を遵守するのに役立ちますが、すべてを行うわけではありません。 チームがHIPAAおよびHITECH Actの各ルールに沿った方法でOffice365を使用していることを確認する必要があります。

Netwrix Corporationの製品エバンジェリスト、ライター、プレゼンター。 Ryanは、サイバーセキュリティの普及と、ITの変化とデータアクセスの可視化の重要性を促進することを専門としています。 著者として、RyanはITセキュリティの動向、調査、および業界の洞察に焦点を当てています。

コメントを残す

メールアドレスが公開されることはありません。