HIPAA準拠のブラウザーアプリケーションのアプリケーション設計に関するガイドラインはありますか？

... HIPAAのドメインに該当しますか？

PHIを扱っている場合、答えはおそらくイエスです。詳細については、米国保健福祉省のこのページ セキュリティルールガイダンス資料 をご覧ください。

アプリケーションの設計（ブラウザコンポーネント）で従う必要があるガイドラインはありますか？私が確信しているバックエンドは安全です。

リスク評価について考える必要があります（上記のページ、特にNIST Special Publication 800-66へのリンクを参照）。自信があるのは良いことですが、徹底していることを示すドキュメントが必要です。アプリケーションの設計に関して、2つの優れた情報源は本 Writing Secure Code とOWASPです（出発点として OWASP Top Ten を確認してください）。

リスクアセスメントでは、脅威（「誰かの肩越しに見渡す」など）を調べます。これが発生する可能性とそれが表すリスクを評価する必要があります。

私は弁護士ではありませんが、弁護士にこの質問をしてください。私の意見では、前職のHIPAAに慣れ親しんでいるため、これはほぼ間違いなくプロバイダーに対するHIPAAの規制（つまり、完全なパッケージ取引）に該当することになるでしょう。そうでない場合は、ほぼ間違いなくサードパーティのサービスプロバイダーに該当します。私の以前の仕事はサードパーティのサービスプロバイダーの役割についてのみ心配する必要があったので、本格的な要件の詳細についてはよくわかりません。

私たちは、製品の機能性に関して多くの製品評価を行います。コーディングに基づく評価は行いません。私たちは常にプロダクトアーキテクトとプロダクトマネージャーに認定HIPAAプライバシーセキュリティエキスパートCHPSE）トレーニングを受講してもらい、プライバシーとセキュリティのルールを明確に理解してから、製品が規制要件をどのように満たしているかを評価します。製品がHIPAA要件を確実に満たすようにするために、大きな設計変更を行わなければならないことを何度も経験しました。ビジネスアソシエイトとしても、会社がポリシー、手順、災害計画などに準拠していることを確認する必要があります。