HIPAA暗号化要件を順守するためのベストプラクティスは何ですか？

Question

実際の技術要件に関しては、HIPAAの言語はややあいまいなので、HIPAAコンプライアンスのためのPHI暗号化のベストプラクティスは何ですか？

さまざまな組織でさまざまなレベルを見てきました。一部は転送時に暗号化するだけで、残りの場合も暗号化します。 SFTP経由で転送する場合でも、必要なファイルのPGP暗号化に対処した1つの組織。

Carter Harrison · Accepted Answer

私はヘルスケアの統合で働いており、暗号化を扱うことは必須です。企業ネットワークの外部にあるサードパーティベンダーへのリアルタイムHL7インターフェイスを設計している場合は、フルタイムの専用接続を確立し、もちろん2人の間に暗号化されたVPN接続を確立します。これは主に、多くのアプリケーションがHL7 TCP/IPインターフェイスでSSL暗号化をサポートできないためです（ほとんどの統合エンジンはサポートしています）。

ファイル転送を行う場合、FTPS（FTP over SSL）またはSFTP（Secure File Transfer Protocol）の使用を強く要求します。一部のベンダーは、PGP暗号化とファイルの署名も行うように要求しています。

少なくとも、トランスポート暗号化が必要です。その上、データの暗号化は役立つだけです。

RateControl · Answer

「保存データ」についてのメモとして。 MSSQLサーバーでは、透過的データ暗号化（ [〜＃〜] tde [〜＃〜] ）を実装しています。これはPHIを保護する範囲内であると見なしています。公平を期すため、申し立てや患者情報は取り扱いません。

Arien Malec · Answer

「ベスト」プラクティスは、リスク評価とリスク軽減です。暗号化は、リスク軽減のレイヤーの1つにすぎません。

FIPS 140-2 Annex Aによって認定された暗号化アルゴリズムの使用がベストプラクティスです。暗号化暗号を適切に構成せずにTLSまたはSFTPを一般的に使用しても、それはうまくいきません。

たとえば、物理ハードウェアが盗まれるリスクがある場合は、データベースレイヤーデータ暗号化の使用が適切な場合があります。ハードウェアが強化されたデータセンターにある場合、データベースレイヤー暗号化を使用すると、開示リスクをそれほど軽減せずに人々に印象を与える可能性があります（「データは保存時に暗号化されます」）。

JadedCore · Answer

HHS.govの直接のこのページには、HIPAAの技術要件に関するいくつかの優れたアプローチとベストプラクティスへのリンクがあります。 Security Rule Educational Paper Seriesの下のリンクから始め、さらに技術的なガイダンスについてNISTの出版物へのリンクを確認します。

http://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/securityruleguidance.html