リモート従業員のためのHIPAAコンプライアンスを維持することは大変な作業に思えるかもしれませんが、そうである必要はありません。リモートアクセスとサポートがどのようにそれを簡単にするかを学ぶために読み進めてください。
ほとんどの医療機関は、何年も前からHIPAAコンプライアンスプロセスに快適に適応しています。しかし、過去2年間で、リモートワーク、遠隔医療、保護された健康情報(PHI)へのサイバー脅威の増加により、状況は大きく変化しました。
Gartnerは最近推定しましたが、2022年初頭には51%の知識労働者がリモートで仕事をすることになります。このリモートワークへの移行は、健康保険の携行性と責任に関する法律(HIPAA)規制を遵守しなければならない組織にとって重要な意味を持ちます。
リモートワーカーはHIPAAコンプライアンスのリスクですか?
いいえ、リモートワーカー自体は本質的にリスクではありません。しかし、リモートワーカーにデータプライバシー規制を遵守するために必要なリソースを提供する準備ができていないITチームはリスクです。2021年のHealthcare IT Newsの記事では、ITチームのうち10チーム中わずか2チームが、リモートで長期間働く従業員をサポートするための十分なツールとリソースを提供 していると述べています。この準備不足は、HIPAAのデータおよび電子医療記録(EMR)保護規制に違反するリスクを組織に与えます。
実際、米国保健福祉省(HHS)は特にリモートアクセスシステムがHIPAAコンプライアンス機能を欠いている場合のHIPAAコンプライアンスリスクを指摘しました。HIPAAに合わせてセキュリティポリシーを定期的に見直し、修正する必要性を説明する際、HHSは「これは、ポータブルデバイスや被保護団体が所有または管理していない外部システムやハードウェアを通じてEPHI(電子保護健康情報)へのリモートアクセスを許可する組織に特に関連しています」と述べました。
HIPAA違反は高額な見落としです
HIPAA違反の罰則は急速にエスカレートし、1件の違反につき最大180万ドルに達することがあります。その上、将来の違反を防ぐために、費用のかかる是正措置計画(CAP)を遵守することが推奨されます。罰則とCAP要件は、2013年3月に施行された経済および臨床健康のための医療情報技術法 (HITECH)によって確立されました。それらは医療提供者だけでなく、健康保険、医療クリアリングハウス、すべての対象事業体および対象事業体のビジネスアソシエイトにも適用されます。
例えば、最近のNational Law Reviewの記事では、Peachstate Health Management, Inc.がHIPAA違反の罰金を25,000ドルに交渉した方法が説明されています。しかし、彼らが実装しなければならなかったCAPは、Peachstateに次のことを要求したため、はるかに高いコストがかかりました。
企業全体のリスク分析を実施する
リスク管理計画を策定し、実施する
HIPAAセキュリティルールの遵守を目的としたポリシーと手順の開発
ポリシーと手順を配布する
労働力のためのトレーニング資料の開発
独立したモニターを指定する
実施報告書、不遵守報告書、年次報告書を提出してください
専門の独立したモニターを雇うことは、特にOCR(米国保健福祉省の市民権利局)によって承認される必要があるため、25,000ドルの罰金をはるかに超えるでしょう。
Splashtopのリモートアクセスとサポートソリューションは、どのようにしてあなたのコンプライアンスを支援できますか?
まず最初に、そして最も重要なことは、Splashtopは患者情報や記録(EMR、PACSなど)にアクセスできません。Splashtopソリューションは、暗号化されたリモートアクセスまたはサポートセッションでデスクトップストリーミングを処理します。そうすることで、Splashtopはセッションデータにアクセスすることはありません。
セッションデータにアクセスしないことは重要な区別です。これは、SplashtopがHIPAA Conduit Exception Ruleの下でリモートアクセスとサポートサービスを提供できることを意味します。コンジット例外は、デジタルまたはハードコピーを 含む送信サービス(その送信に付随する一時的なデータの保存を含む)に限定されています。これにより、Splashtopのようなサービスは、対象となる事業体とのビジネスアソシエイト契約を結ぶ必要がなくなります。
これにより、HIPAAに関連する広範な契約を必要とせずに、顧客はSplashtopソリューションを迅速に導入できます。さらに、患者の情報と記録が組織の境界を越えることなく、システム内に留まることを知っています。
あなたのデータの安全性を確保するための追加のSplashtopセキュリティ対策
Splashtopは、技術的および組織的措置(TOMs)の一部として「セキュリティポリシー」を開発しました。これらは、Splashtopがデータを保護し安全に保つために実施および維持しているセキュリティ対策と管理を説明しています。私たちのITセキュリティポリシーは、ITセキュリティの専門家によって定期的にレビューされ、修正されています。
その上、Splashtopの従業員は年に2回情報セキュリティトレーニングを完了します。このトレーニングの一環として、彼らは「行動規範」に記載されている倫理的なビジネス行動、機密性、セキュリティポリシーに従うことに同意します。
Splashtopのセキュリティポリシーは、多くの機能を備えた堅牢なデータセキュリティアーキテクチャによって支えられています。暗号化とアクセス制御は、従業員がリモートで作業する際のデータ保護を維持するために最も重要です。
暗号化: Splashtopは、すべてのユーザーデータを転送中および保存中に暗号化し、すべてのユーザーセッションはTLSを使用して安全に確立されます。各セッション内で アクセスされるコンテンツは常に256ビットAESで暗号化されます。
アクセス制御:Splashtopは、データとシステムへの電子アクセスを管理するためのアクセス制御を実装しています。私たちのアクセス制御は、権限レベル、知る必要のあるレベル、およびシステムにアクセスする人々の職務分離に基づいています。役割ベースのアクセスを定期的なアカウントレビュー、アクセス監視、ログ記録でフォローアップしています。
Splashtopリモートアクセスは、デバイス認証、2段階認証 (2段階認証)、シングルサインオン (SSO) など、さらに多くのセキュリティ機能を導入しています。詳細はこちら, we’ve put together a full リスト of Splashtop’s HIPAA-supporting security features.
リモートアクセスとサポートで組織をHIPAA準拠に保つ
リモートワークが定着する中、多くの組織がEMRやその他の患者データを安全に処理するためにリモートアクセスとサポートソリューションを活用しています。To keep your organization HIPAA compliant, you need to adopt safe and セキュアリモートアクセス and support.
Splashtopは、数百の医療機関に安全でセキュアリモートアクセスとサポートを提供しており、HIPAAやその他の消費者プライバシー規制に準拠しています。SplashtopがどのようにしてリモートワーカーをHIPAA準拠に保つことができるかを知るには、今すぐSplashtopの専門家にお問い合わせください。