HIPAA準拠
このガイドは Dispel Zero Trust Engine の Dispel-SaaS インスタンスにおける HIPAA 準拠を対象としています。
対象読者
医療保険の移行と説明責任に関する法(HIPAA、改正を含む。Health Information Technology for Economic and Clinical Health(HITECH)法による改正を含む)の要件の対象となる顧客向け、 Dispel Zero Trust Engine は HIPAA 準拠を支援します。本ガイドは、Dispel Zero Trust Engine 上での HIPAA 実装とコンプライアンスに責任を持つセキュリティ担当者、コンプライアンス担当者、IT 管理者およびその他の従業員を対象としています。本ガイドを読むことで、Dispel Zero Trust Engine がどのように HIPAA 準拠を支援できるか、ならびに HIPAA の下での責任を満たすために Dispel Zero Trust Engine インスタンスをどのように構成するかを理解できるようになります。
定義
本書で大文字表記されているが別途定義されていない用語は、以下と同じ意味を持ちます。 HIPAA。さらに、本書の目的上、保護対象医療情報(PHI)とは、Dispel が被保険者団体(Covered Entity)から受領する PHI を意味します。
概要
米国保健福祉省(HHS)によって認められた HIPAA 準拠のための認証は存在しないこと、また HIPAA への準拠は顧客と Dispel の共同責任であることに留意することが重要です。 具体的には、HIPAA は以下の順守を要求します: セキュリティ規則、 プライバシー規則、および 侵害通知規則。Dispel Zero Trust Engine は(業務委託契約(Business Associate Agreement)の範囲内で)HIPAA 準拠を支援しますが、最終的に自らの HIPAA 準拠状況を評価するのは顧客の責任です。
Dispel は必要に応じて HIPAA に基づく業務委託契約(Business Associate Agreements)を顧客と締結します。Dispel がデータをどのように保護するかに関する組織的および技術的管理策を含む、セキュリティとデータ保護へのアプローチの詳細は以下に記載されています。 技術的および組織的対策.
セキュリティとプライバシー設計へのアプローチを文書化することに加え、Dispel は顧客に対して外部の検証を提供するために、定期的に複数の独立した第三者監査を受けています(レポートと証明書は下記にリンクされています)。これは、独立した監査人が当社のデータセンター、インフラストラクチャ、および運用に存在する管理策を検査したことを意味します。Dispel は以下の基準について年次監査を受けています:
SSAE 18 / ISAE 3000。 当社の SOC 2 タイプ 2 レポートは NDA の下で入手可能です。
ISO 27001。 Dispel が管理する Dispel Zero Trust Engine のインスタンスは ISO 27001 の認証を受けています。ISO 27001 の証明書は当社ウェブサイトのコンプライアンスセクションで入手できます。
機密性、完全性、可用性を確保することに加え、Dispel の包括的な第三者監査アプローチは、情報セキュリティの最良慣行への当社の取り組みに対する保証を提供するよう設計されています。顧客はこれらの第三者監査報告書を参照して、Dispel の製品がどのように HIPAA の準拠要件を満たせるかを評価できます。
顧客の責任
顧客の主要な責任の一つは、自社が被保険者団体(Covered Entity)であるか(または被保険者団体の業務委託者(Business Associate)であるか)を判断し、該当する場合はやり取りの目的で Dispel と業務委託契約が必要かどうかを判断することです。
Dispel は PHI の保存および処理のための安全で準拠したインフラ(上記のとおり)を提供しますが、顧客は Dispel Zero Trust Engine を介してリモートアクセスおよび接続する環境やアプリケーションが HIPAA 要件に従って適切に構成され、安全に保護されていることを確保する責任があります。これはクラウドにおける共有セキュリティモデルと呼ばれることが多いです。
重要なベストプラクティス:
次の項目を実行する: Dispel BAA.
PHI を扱う際には、BAA に明示的に含まれていない Dispel の製品を使用しないよう無効化するか、その他の手段で使用しないことを確実にしてください。
推奨される技術的ベストプラクティス:
次を使用する: IAM のベストプラクティス 組織へのアクセス権を構成する際には IAM のベストプラクティスを使用してください。特に管理者アカウントは施設やデバイスへのアクセスに使用され得るため、これらのアカウントやアカウント資格情報へのアクセスを厳密に管理してください。
組織に HIPAA セキュリティ規則で要求されるもの以上の暗号化要件があるかどうかを判断してください。次を確認して、 Dispel の暗号化 があなたの基準を満たしているか確認してください。
次を構成する: 監査ログのエクスポート先。長期保存や分析、監視、および/またはフォレンジックのニーズのために、監査ログを SIEM/SOAR ツールへエクスポートすることを強く推奨します。これらのエクスポート先へのアクセス制御を組織に適した形で設定することを忘れないでください。
次を構成する: ログに対する アクセス制御
要件とセキュリティを確保するために監査ログを定期的にレビューしてください。また、ログ分析を通じてコンプライアンスを証明するために、当社の サードパーティ統合 から提供される SIEM プラットフォームの活用も検討できます。
ユーザー、リージョン、施設、またはデバイスを作成または更新する際は、デバイス名、ユーザーグループ、ユーザーを含む名前空間のどこにも PHI やセキュリティ資格情報を含めないようにしてください。
リソースを作成または更新する際は、ログに記録される可能性があるため、リソースのメタデータを指定する際に PHI やセキュリティ資格情報を含めないようにしてください。監査ログはリソースのデータ内容を含むことは決してありませんが、リソースのメタデータは記録されることがあります。
リモートアクセスに仮想デスクトップ(「VDI」)を使用する場合、VDI 内に PHI を含めたり保存したりしないでください。
パスワードボールトを使用する場合、ボールト内に PHI を含めたり保存したりしないでください。
Wickets を展開する際、特に物理的セキュリティに関して顧客は特定のセキュリティ側面の責任を負います。Dispel の展開のセキュリティを確保するために、次に記載されたセキュリティ責任を理解する必要があります: 共有責任 ページ。
対象製品
Dispel の BAA は、次の対象製品の顧客側クラウドまたはオンプレミスのインスタンスをカバーしません: 顧客のクラウドまたはオンプレミス 対象製品のインスタンス。
Dispel の BAA は Dispel Zero Trust Engine の全 SaaS インフラストラクチャ(すべてのリージョン、すべてのネットワーク経路、すべてのプレゼンスポイント)および次の製品をカバーします:
Zero Trust Engine
Engine Identity
データストリーミング
パスワードボールト
仮想デスクトップ
ブラウザ接続
ログ
Dispel SecOps
このリストは、新しい製品が HIPAA プログラムに利用可能になると更新されます。
独自の特徴
Dispel のセキュリティ慣行により、当社は SaaS 製品の一部分だけでなく、Dispel のインフラ全体をカバーする HIPAA BAA を提供できます。その結果、特定のリージョンに制限されることはなく、スケーラビリティ、運用、アーキテクチャ上の利点を享受できます。高可用性のためのマルチリージョンのサービス冗長性も利用できます。
当社が HIPAA 準拠を支援できるセキュリティおよびコンプライアンス対策は、インフラ、セキュリティ設計、および製品に深く組み込まれています。そのため、HIPAA 制約を受ける顧客にもすべての顧客に提供される 同一の価格 で同じ製品を提供できます。継続利用割引を含む料金体系を含め、他のプロバイダが HIPAA 向けプラットフォームに対して追加料金を請求するのに対し、当社はそうしません。
結論
Dispel Zero Trust Engine は、顧客が基盤となるインフラを心配することなく、医療情報からの安全なアクセス、転送、および接続の管理を行える産業用アクセスインフラストラクチャです。
最終更新