医療保険の携行性と説明責任に関する法律 (HIPAA) & 医療情報技術の経済および臨床健康に関する法律 (HITECH) 法

  • [アーティクル]

HIPAA と HITECH 法の概要

1996 年の医療保険の移植性と説明責任に関する法律 (HIPAA) と HIPAA に基づく規制は、個人を特定できる医療情報の使用、開示、保護の要件を確立する一連の米国の医療法です。 HIPAAの範囲は、2009年に経済臨床健康のための健康情報技術(HITECH)法の施行に伴って拡張されました。

HIPAA は、患者の保護された健康情報 (PHI) を作成、受信、維持、送信、またはアクセスする対象となるエンティティ (特に、医療提供者、医療プラン、医療クリアリングハウス) に適用されます。 HIPAA は、対象となるエンティティにサービスを提供する一部として、または対象となるエンティティに代わって PHI に関連する特定の機能またはアクティビティを実行する対象エンティティのビジネス アソシエイトにも適用されます。

対象となるエンティティが Microsoft などのクラウド サービス プロバイダーのサービスに関与する場合、クラウド サービス プロバイダーは HIPAA の下でビジネス アソシエイトになります。 さらに、企業がクラウド サービス プロバイダーと下請を関連付けて PHI を作成、受信、保守、または送信すると、クラウド サービス プロバイダーもビジネス アソシエイトになります。

Microsoft、HIPAA、HITECH Act

HIPAA 規制では、対象となるエンティティ (規則に基づき定義) が、PHI が適切に保護されていることを確認するために、ビジネス関係者と契約を結ぶ必要があります。 この契約は、ビジネスアソシエイト契約と呼ばれます。 特に、ビジネスアソシエイト契約は、ビジネスアソシエイトが行っている関係者と活動またはサービスとの関係に基づいて、ビジネスアソシエイトによって PHI の許可および必要な使用と開示を確立します。 Microsoft エンタープライズ製品およびサービスを利用する際に HIPAA に対するお客様のコンプライアンスをサポートするために、Microsoft は対象となるエンティティとビジネス アソシエイトのお客様とビジネス アソシエイト 契約を締結します。

現在、保健福祉省がHIAAまたはビジネスアソシエイトによるHITECH法への準拠を実証するために承認されている認定基準はありません。 ただし、Microsoft は、お客様が HIPAA および HITECH 法に準拠することを可能にし、ビジネス アソシエイトとしての能力において HIPAA のセキュリティ規則要件に準拠しています。 さらに、Microsoft は、HIPAA 義務の遵守をサポートするために、対象となるエンティティとビジネス アソシエイトのお客様とビジネス アソシエイト契約を締結します。

サード パーティ認定資格

BAA の対象となる Microsoft サービスは、Microsoft ISO/IEC 27001 認定および HITRUST CSF 認定の認定を受けた独立監査人によって実施された監査を受けています。

Microsoft エンタープライズ クラウド サービスも FedRAMP 評価の対象です。 Microsoft Azure と Microsoft Azure Governmentは、FedRAMP 共同承認委員会から運用するための暫定機関を受け取った。Microsoft Dynamics 365米国政府は、米国保健福祉省Microsoft Office 365米国政府と同様に、米国住宅都市開発省から運用機関機関を受け取りました。

Microsoft クラウドがお客様の HIPAA および HITECH 要件への準拠をどのように支援するかについては、「Microsoft のお客様事例」をご覧ください。

対象となる Microsoft のクラウド プラットフォームとサービス

  • Azure および Azure Government
  • Azure DevOps Services
  • Dynamics 365、Dynamics 365 米国政府
  • Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender エキスパートによる追求 (オンライン サービス コンポーネント)
  • XDR のMicrosoft Defenderエキスパート (オンライン サービス コンポーネント)
  • Microsoft Healthcare Bot Service
  • Microsoft マネージド デスクトップ
  • Microsoft Professional Services: Azure、Dynamics 365、Intune と、Microsoft 365 for business の Medium Business および Enterprise のお客様への Premier およびオンプレミス サポート
  • 米国政府Office 365 Office 365
  • Power Automate (旧称 Microsoft Flow) スタンドアロン サービス、または Office 365 や Dynamics 365 ブランド プランあるいはスイートに搭載されているサービスとしてのクラウド サービス
  • Power Apps クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Power BI クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに組み込まれているサービス)
  • Windows 365

Azure、Dynamics 365、HIPAA

Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure HIPAA オファリングに関するページを参照してください。

Office 365と HIPAA

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Access Online、Microsoft Entra ID、Azure Communications Service、Compliance Manager、Customer Lockbox、Delve、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus)、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 カスタマー ポータル、Office 365 マイクロサービス (Kaizala、ObjectStore、Sway、Power Automate、PowerPoint Online Document Service、Query Annotation Service、School Data Sync、Siphon、Speech、StaffHub、eXtensible を含みますが、これらに限定されません)。アプリケーション プログラム)、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、Office サービス インフラストラクチャ、OneDrive for Business、Planner、PowerApps、Power BI、Project Online、Microsoft Purview カスタマー キーを使用したサービス暗号化、SharePoint Online、Skype for Business、Stream
GCC Microsoft Entra ID、Azure Communications Service、Compliance Manager、Delve、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream

よく寄せられる質問

自分の所属組織は Microsoft と BAA を締結できますか ?

はい。 Microsoft は、対象となるエンティティとビジネス アソシエイトのお客様に、スコープ内の Microsoft サービスをカバーするビジネス アソシエイト契約を提供しています。

Microsoft HIPAA Business Associate Agreement は、HIPAA の対象となるエンティティまたはビジネス アソシエイトであるすべての顧客に対して、既定で Microsoft Online Services Data Protection 補遺を通じて利用できます。 この BAA の対象となるクラウド サービスの一覧については、この Web ページの「対象となる Microsoft のクラウド サービス」を参照してください。

HIPAA Business Associate Agreement は、スコープ内の Microsoft Professional Services でも利用できます。 詳細については、Microsoft サービス担当者にお問い合わせください。

Microsoft とビジネス アソシエイト契約を結ぶと、ORGANIZATIONが HIPAA および HITECH 法に準拠しているかどうかが保証されますか?

いいえ。 ビジネス アソシエイト契約を提供することで、Microsoft は HIPAA コンプライアンスをサポートします。 ただし、Microsoft サービスを使用しても、HIPAA コンプライアンスは実現されません。 お客様のorganizationは、お客様が適切なコンプライアンス プログラムと内部プロセスを実施していること、および Microsoft サービスの特定の使用が HIPAA および HITECH 法に基づく義務と一致することを保証する責任を負います。

Microsoft は、organizationのビジネス アソシエイト契約を使用できますか?

いいえ。Microsoft はお客様のビジネス アソシエイト契約を使用できません。 すべての顧客向けに標準化されたハイパースケールマルチテナント サービスを提供するため、一貫した方法で運用する必要があります。 Microsoft HIPAA Business Associate Agreement は、Microsoft の運営方法を密接に反映しています。 したがって、医療業界のニーズに対応するために、Microsoft は、医療業界内の学術医療センターやその他の公共および民間部門のコンソーシアムと協力して、当社のスケール サービス オファリングと整合し、顧客のニーズを満たすビジネス アソシエイト 契約を作成しました。

サードパーティの監査レポートのコピーを取得するにはどうすればよいですか?

Service Trust Portal では、中立的な監査によるコンプライアンス レポートを提供しています。 貴社の監査人が Microsoft のクラウド サービスの監査結果と貴社の法的および規制要件を比較できるようにするために、ポータルで監査レポートをリクエストすることができます。 Azure のお客様は、Microsoft Defender for Cloud の [監査レポート] ブレードを使用して、Azure portalで Azure 証明書と監査レポートを取得することもできます。

MICROSOFT が HIPAA と HITECH Act のコンプライアンスをどのようにサポートしているかについて詳しくは、どうすればよいですか?

このタスクをお客様に支援するために、Microsoft は次のガイダンスを公開しています。

  • プライバシー、セキュリティ、コンプライアンス責任者、および HIPAA および HITECH Act の実装を担当する他のユーザーに対する Azure の HIPAA/HITECH Act の実装ガイダンスでは、コンプライアンスを維持するためにorganizationが実行できる具体的な手順について説明します。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース