アプリケーションに関係なく、HIPAA コンプライアンスを維持するためのあらゆる取り組みは、電子的に保護された医療情報 (ePHI) の機密性、完全性、および可用性を保護するという、同じ中心的な懸念に向けられています。 技術的なセットアップは、組織の規模と複雑さによって大きく異なります。
組織の IT ニーズは非常に多様であるため、HIPAA コンプライアンスは画一的な課題ではなく、画一的なソリューションでは不十分です。 個々のクライアントの設定に対するそのカスタマイズは、強力な HIPAA 準拠のプロバイダーが提供できるものの中核です。 コンプライアンスを満たすためのケースバイケースの側面に関係なく(特にセキュリティ ルール)、さまざまなタイプのエコシステムの典型的なセットアップを調べることは依然として役立ちます. 以下では、サンプルの HIPAA 準拠の WordPress 構成を見て、その主要なコンポーネントのいくつかについて説明します。
サンプル HIPAA WordPress セットアップ
小規模なヘルスケアプロバイダーまたはビジネスアソシエイト向けの典型的な HIPAA 準拠の WordPress セットアップのテクノロジーは、次のようになります。
- 2.4 ギガビット (Gb) クラウド サーバー
- サーバー管理
- 管理されたファイアウォール
- VPN ユーザー 10 人ごとにファイアウォール アプライアンスを備えた VPN クライアント
- 管理された侵入防止システム
- 30 日間保持する継続的データ保護 (CDP) バックアップ
- 毎月 10 TB のデータ転送
- 管理されたマルウェア対策ソリューション
- マネージド ネットワーク セキュリティ ソリューション
- マネージド システム セキュリティ ソリューション
強化された OS とソフトウェア
システムの強化は、HIPAA コンプライアンスにとって非常に重要です。 WordPress 環境をサポートするサーバーは、セキュリティのために最適化する必要があります。 あなたが働いているかどうか Windows またLinux、次のようなベスト プラクティスに従う必要があります。
- サポートされているオペレーティング システムへの更新 (問題のあるデバイスをネットワークから切り離す、エア ギャップ、またはその他の方法でそのアクセスを制御する)
- サーバー データベースの構成とパッチ適用
- サードパーティ製ソフトウェアへの一貫したパッチ適用
- 開いている共有をスキャンしています
- サービスの無効化
- ホストベースのファイアウォールの構成
- ディスク パーティションの分離
- ファイルの整合性の管理
業務提携契約
サードパーティがあなたに代わって健康データを処理する他の環境と同様に、WordPress のセットアップには業務提携契約(BAA)。 BAA は、HITECH (Health Information Technology for Economic and Clinical Health) 法によって義務付けられた HIPAA Final Omnibus Rule によって確立されたガイドラインに従う必要があります。 オムニバス ルールは、組織がプライバシー ルールへの準拠を維持する方法を変更しました。 プライバシー ルールでは、対象となるエンティティ (医療計画、プロバイダー、およびデータ クリアリング ハウス) が、HHS 部門の指示に従って、業務を行うすべてのサービス プロバイダー (ビジネス アソシエートと呼ばれる) が医療記録を保護することを確認および検証する必要があると規定しています。 BAA は、あなたの関係に対する期待と、あらゆる点とあらゆる形での ePHI に対する責任を設定するのに役立ちます。 BAA は SLA によって補完されることに注意してください。SLA は、ビジネス上の期待だけでなく、HIPAA の可用性要件も満たす稼働時間の保証など、コンプライアンスのニーズを満たすことに関連するビジネス上の期待を提供します。
侵入防止
サイバー犯罪活動についてネットワークを監視するには、侵入検知防止システム (IDPS) とも呼ばれる侵入防止システム (IPS) が必要です。 内部関係者によるセキュリティ ポリシー違反や外部関係者からのセキュリティの脅威など、問題が発生する可能性があります。 異常に見えるものはすべて、ログとレポートを使用して IPS によってブロックされます。 これらのシステムは、適切に構成および管理する必要があります。
マネージド ファイアウォール
完全に管理されたファイアウォールを用意して、希望に反して侵入しようとする可能性のある関係者から境界を保護することが重要です. 管理されたファイアウォールは、24 時間 365 日ログを監視し、多くの組織が内部的に達成できない監視を提供します。 管理されたファイアウォール設定内では、機器の定期的なヘルス チェックも行われます。 このサービスを提供し、強力な医療のバックグラウンドを持つマネージド サービス プロバイダーは、データ侵害に対して特に十分な準備ができています。
継続的なデータ保護バックアップ
バックアップが非常に高品質であることは、HIPAA コンプライアンスにとって重要です。バックアップは、可用性を維持することと、最新の記録がないフィッシング ランサムウェア シナリオのセキュリティを維持することの両方にとって重要であることに留意してください。 データシステム内の変更をリアルタイムで測定し、データの復元ポイントを作成し、あらゆるインシデントから効率的に復旧できるようにするストレージ技術です。継続的なデータ保護(CDP) は、データに加えられた変更をさらにログに記録できます。 リアルタイム バックアップ、ストレージ コンバージェンス、および継続的バックアップとも呼ばれる CDP は、リモート バックアップ設定で使用され、自動接続障害および回復用に装備された広域ネットワークによって促進されます。
暗号化
技術的には、HIPAA では暗号化は必須ではありません。 これは、ガイドライン内で「対処可能な」対策として示されています。 実際には、完全な暗号化、同じ機密保護を実現する代替手段、または環境を保護しなかった理由の合理的な説明が必要です。 組織は、ファイアウォールで保護されたネットワークの暗号化をスキップすることを正当化できる場合があります。内部メッセージング システム、たとえば、典型的な WordPress セットアップではありません。
WordPress 内で HIPAA コンプライアンスを達成する
HIPAA コンプライアンスは、システムのセットアップだけでなく、基本的に患者データを適切に保護する環境を維持することでもあります。 その継続的な安全性は、WordPress プロジェクトでマネージド サービス プロバイダーを利用する最大の理由でしょう。 MSP が優れた医療経験を持っていることを確認してください。 お客様自身で、当社の HIPAA ホスティング ソリューションは、資格のある独立した第三者監査会社によって監査されており、最高の IT セキュリティおよびコンプライアンス ソリューションを提供するという当社の取り組みを実証しています。 WordPress HIPAA ホスティング プランをご覧ください。
