開発者VSHIPAA

Question

私は会社をHIPAA基準に引き上げ、顧客の健康情報を保護できるように支援しようとしています。時々出てくる質問は、開発者が顧客のデータのデータベースを取得し、それを自分のコンピューターに保存して操作したいということです。

私は彼らのコンピューターで何が起こるかを制御できないので、私はいつもこれにノーと言いました。仕事用のコンピューターであっても、私はそれが存在するネットワークを制御していません。このため、私は再び公の敵ナンバー1になりました。

コンプライアンスを維持し、データを安全に処理し、開発者が受け取ったデータで作業を継続できるようにするソリューションは何ですか？

user165319 · Accepted Answer

こんにちは、Aperture Security、

まず第一に、あなたは公の敵のナンバーワンではなく、患者データが関係している場合は、後悔するよりも安全である方が良いことを保証できます。

そうは言っても、開発者は自宅で仕事ができる必要があるので、そのオプションなしで開発者を離れることはありません。考えられる解決策は、オフサイトで作業するときにVPNで保護されているか、ネットワークにまったく接続できない作業用コンピューターを実装することです。また、基本的なセキュリティ教育は、おかしなことに十分な物理的盗難とその奇妙な電子メールをクリックすることをお勧めします。オフサイトでの作業は、ネットワークを介した盗難と同じくらい悪いでしょう。

参照：

https://www.entrepreneur.com/article/224241

個人的体験

symcbean · Answer

あなたの「開発者」が日常的にライブデータを扱っているのは非常に驚くべきことです。私が規制されていない環境で作業しているときでさえ、開発者は、異常でまれな場合を除いて、専用のデータベースを使用していました。開発者がデータを持ち帰るよりも大きな問題があるようです。

私はHIPAAの要件に精通していませんが、最初のステップとして、オフィス内の匿名化されたデータセットへのより簡単なアクセスをプロビジョニングすることを検討しています。

それを超えて、開発者が自分のマシンでデータ（およびその他の知的財産）をホストできるようにすることは、望ましい結果ではないことをお勧めします。そして、これを勝ち取る最も簡単な方法は、必要なツールやデータに簡単にアクセスして、他の場所にコピーできるようにすることです。

ソリューションを指示するのではなく、一連の制約を確立し、ソリューションについて開発者と話し合うことから始めることができます。