テレメディスンの成長により、医療専門家はほぼどこからでも患者にアクセスし、支援することができるようになりました。これは、医師、臨床医、その他の専門家が必要なツールや情報にいつでもアクセスできるように、リモートアクセスを必要としました。これには、専門的な医療プログラムやハードウェアを含むデバイスが含まれます。
リモートアクセスは現在、ヘルスケアにおいて一般的であり、特にITサポート、臨床ワークフロー、販売業者のメンテナンスにおいてそうです。しかし、そのアクセスの容易さには、電子的保護健康情報(ePHI)の露出などのリスクが伴います。
ePHIへのセキュアアクセスの制御と管理は、HIPAAコンプライアンスにおいて重要な部分であり、オンサイトでもリモート作業でも必要です。そのため、リモートアクセスソリューションを求める医療機関は、ePHIのセキュリティを損なうことなく、ユーザーが安全に作業にアクセスできるようにしなければなりません。
それを念頭に置いて、HIPAAがリモートアクセスをどのように規制しているか、医療環境でePHIを保護するために必要なセーフガード、そして医療現場で使用されるリモートアクセスソリューションに求められるものを見ていきましょう。
リモートアクセ�スはいつHIPAAの下で規制されていますか?
HIPAAは、電子保護健康情報を保存、送信、処理、または表示するためにリモートアクセスが使用される場合に適用されます。これは、Windows と Mac デスクトップコンピュータ、Android デバイス、iOS デバイスを含むすべてのデバイスの種類に適用されます。
リモートアクセスは、以下を含むいくつかの状況でHIPAAによって規制されています:
臨床医がリモートでEHRや臨床アプリケーションにアクセスする場合。
患者データを表示する医療機器への接続またはサポート。
ノートパソコン、タブレット、またはモバイルデバイスからのリモートでの医師アクセス。
ePHI が画面に表示されるベンダーまたはITサポートセッション。
HIPAAセキュリティ規則は、電子的保護された健康情報(ePHI)へのリモートアクセスをどのように管理していますか?
HIPAAは、管理的、物理的、および技術的保護策を含むePHIを保護するための合理的かつ適切な保護策を要求しています。医療機関がリモートアクセスを必要とする際、HIPAA準拠が最優先されます。患者情報の保護は義務です。
HIPAAはリスクに基づいたものであり、ePHIのプライバシーとセキュリティに対する脅威、それらの脅威が発生する可能性、およびその潜在的な影響を評価します。また、これは技術に依存しないため、すべてのデバイスに同じ基準を適用し、ツールやプラットフォームを認定しません。その代わりに、組織はツールやプロセス全体でHIPAAコンプライアンスを示し、必要な保護手段が整��っていることを確認する必要があります。
1. 電子的保護された健康情報へのリモートアクセスに必要な管理上の安全策
リモートアクセスのHIPAAコンプライアンスを維持するために、組織は管理的な保護策を実施する必要があります。これは、機密データを保護するためのポリシーを確立するために、ガバナンスとドキュメントの組み合わせが必要であり、ePHI へのリモートアクセスパスを明示的に含む必要があります。これには、それを含むシステムに誰がリモートアクセスできるか、およびどのような条件でアクセスできるかが含まれます。
リスク分析にはリモートアクセス、その関連リスク、およびそれらがどのように対処されるかが含まれます。
アクセス承認と取消のプロセスにより、常に認証済みユーザーのみがePHIにアクセスできるようにします。
ベンダーアクセスガバナンスとBAAsを使用して、第三者のアクセスとセキュリティを管理。
文書化とレビューを行い、保護措置が意図通りに機能していることを定期的に確認します。
管理上の安全対策には、スタッフのトレーニングも含まれます。不用意に扱われた場合、リモートセッションは偶発的なePHI曝露につながる可能性があるため、リモートアクセスを持つ人は誰でもプライバシーを危険にさらすことなく安全に接続する方法について適切なトレーニングを受ける必要があります。
さらに、ベンダーがePHIへリモートアクセスを付与される場合、適用されるセキュリティの実践および規格に準拠することを要求するビジネスアソシエイト契約(BAA)に署名しなければなりません。
2. リモートアクセス中にePHIを保護する技術的な防護策
管理上の安全対策に加えて、技術的な安全対策も強力なサイバーセキュリティでePHIを保護するために整備されなければなりません。技術的な保護対策は、組織が実際にHIPAAの保護を施行する方法であり、堅牢なセキュリティツールを導入することは絶対に欠かせません。
HIPAA準拠のための技術的保護策には以下が含まれます。
ユニークなユーザー識別と ePHI への役割ベースのアクセスにより、認証され、検証されたユーザーのみが健康情報やその他の個人データにアクセスできるようにします。
リモートアクセスのためのマルチファクター認証により、接続を許可する前にユーザーを確認し、アカウントの侵害によるアクセスのリスクを低下させます。
ePHIの転送中および静止時の暗号化は、不正な傍受や露出からデータを保護します。
ePHIを含むシステムへのリモートアクセスを記録する監査ログは、誰がどの情報にいつアクセスしたかを明確に記録し、監視を実証し、疑わしい行動を特定します。
サポートまたは管理アクセス中にePHIの不要な露出を制限するセッションコントロールにより、リモートセッション中でもデータを保護します。
3. リモートアクセスに依然として適用される物理およびデバイスのセーフガード
物理デバイスには、HIPAA準拠のリモートアクセスのセーフガ��ードが必要です。医療専門家がリモートで作業用コンピュータに接続する際、そのコンピュータはすべてのコンプライアンス要件を満たしているべきです。そうでなければ、最初からコンプライアンス要件を満たすことになりません。
物理デバイスに関するHIPAA要件には、スクリーンロック、高度なデバイスセキュリティ、およびePHIにアクセスするエンドポイントを安全に管理する機能などが含まれます。企業は、ePHIにアクセスできる、あるいは含まれている紛失または盗難されたデバイスに迅速に対処するための手段も必要です。例えば、リモートロックとリモートワイプです。これは、機密データがそのホームデバイス上で、またリモートアクセス時にも安全であることを保証するのに役立ちます。
BYOD(Bring-Your-Own-Device)ポリシーはますます人気が高まっていますが、適切な管理とセキュリティツールがないと安全性に欠ける場合があります。医療機関がどんなデバイスでもリモートワークを可能にしたい場合、常にデバイスを安全に保つためのツールとコントロールを導入する必要があります。
HIPAA要件をサポートするリモートアクセスアプローチの選び方
HIPAAに準拠したリモートアクセスが必要な場合、いくつかのベストプラクティスに従うことができます。すべてのアプローチが同じように安全というわけではありません。したがって、安全性とITコンプライアンスを確保するために賢く方法を選んでください。
まず第一に、管理されていないリモートデスクトップツールを避けてください。適切な管理とセキュリティがないと、これらは信頼性が低く安全ではなく、アカウントとデータが危険にさらされます。同様に、各ユーザーはユニークなアカウントを持つべきです。ePHIにアクセスするアカウントを共有すると、監視と追跡が複雑になり、ユーザーが退職しても共有アカウントにアクセスできる状態になります。ベンダーがアクセスを必要とする場合、ユーザーを確認し活動を追跡するために多要素認証とログが不可欠です。
システムがePHIを含む場合、インターネットに接続しないプラットフォームを使用することも重要です。インターネットに接続すると、脅威や脆弱性にさらされる可能性があります。デバイス間で橋渡しをするが、セキュリティを損なわず、ePHIをコピーまたは保存しないアクセルモデルが必要です。
最適なアプローチとは、管理されたリモートアクセスを使用して管理されたシステムに接続し、ePHIを集中化し安全に保つことです。セキュアリモートアクセスにより、ユーザーはePHIを含む管理されたシステムに余分なコピー、保存、または配布をすることなく接続でき、組織がアクセスをよりよく管理および監視するのを支援します。
さらに、ベンダーにアクセス権を付与する必要がある場合、そのアクセスに時間制限を設定し、すべてのセッションをログに記録できるようにしてください。これはデバイスを安全に保つのに役立ち、ベンダーが接続する際に責任を果たします。
医療機関はePHIへのリモートアクセスについて何を証明できる必要がありますか?
HIPAAコンプライアンスを維持するには証拠が必要です。HIPAA監査の際、監査人はHIPAAの規制要件を満たすかどうかを判断するために、いくつかの要素を確認します。これには以下が含まれます。
デバイスと機器の物理的なセキュリティ。
アカウントとネットワークのためのデジタル保護。
スタッフのトレーニングとセキュリティ意識.
アクセス制御 を保証して、許可されたユーザーのみが接続できるようにします。
インシデント対応計画は、侵害が発生した場合に迅速に対応し、損害に対処するために設計されています。
そのため、医療機関は、誰がePHIにアクセスしたのか、いつアクセスしたのか、そして理想的にはなぜ必要だったのかを示すためのログと文書を維持する必要があります。これらのログは、インシデントが報告すべきデータ侵害なのか、それとも日常業務なのかを判断できます。
リモートアクセスソリューションに投資する際、医療機関は、HIPAAコンプライアンスに必要な安全なアクセスと認証を提供するプラットフォームを探すべきです。そして、効率的なインシデント対応をサポートするためのセッションログと報告も含まれるべきです。HIPAAコンプライアンスは、単に違反を防ぐだけでなく、迅速かつ効果的に対応できることも重要であり、監査にもそれらの要件が反映されます。
Splashtopは、ePHIを含むシステムへのセキュアで監査可能なリモートアクセスをどのようにサポートし�ているか
医療機関には、強力で信頼性があり、何よりも安全なリモートアクセスソリューションが必要です。あらゆるリモートアクセスソフトウェアは、医療環境で使用される際に強力なセキュリティコントロールをサポートし、ePHIを保護し規制リスクを軽減する必要があります。
Splashtopは、ePHIを含むシステムに関与するリモートセッションにおいて、一貫したアクセス制御を実施し、視認性を維持するために、医療ITチームをサポートするために設計された、集中的で安全なリモートアクセスを提供します。
Splashtopを使用すると、ユーザーはどこからでも、あらゆるデバイスで安全に作業用デバイスにアクセスできます。これにより、医療専門家は、セキュリティや効率を損なうことなく、リモートで作業しながらメモ、検査結果、専門機器にアクセスすることができます。
Splashtopはまた、多要素認証などの機能でアカウントを安全に保ち、ユーザーが接続する際に追加の確認ステップを追加し、許可されたユーザーだけがePHIにアクセスできるようにします。
さらに、Splashtop の包括的な監査ログにより、ユーザーは誰がいつどの情報にアクセスしたかを示す詳細な記録にアクセスできます。これにより、コンプライアンスと説明責任を維持し、調査を支援し、監査を通過することができます。
HIPAA準拠のリモートアクセスが可能です
HIPAAはePHIに対して厳格な管理を要求しますが、それでもリモートアクセスが不可能というわけではありません。適切な可視性、セーフガード、ドキュメ��ンテーションを備えれば、HIPAAのセキュリティ要件を遵守しつつ、スピードや品質を犠牲にすることなく、リモートアクセスソリューションを用いてどこからでも安全に作業することが可能です。
リモートアクセスプログラムを探している医療機関は、セキュリティを損なったり、運用の複雑さを増やすことなく、一貫したリモートアクセス管理を可能にするソリューションを評価し、選択する必要があります。Splashtopのようなソリューションを使用すれば、ヘルスケアITチームはリモートアクセス ワークフローを標準化しながら、アクセスコントロール、セッションの可視性、監視を向上させることができます。
Splashtopがどれほど簡単で安全か確認する準備はできましたか?今日から無料トライアルを始めましょう。
