設定 Microsoft Entra ID 以符合 HIPAA 規範
Microsoft Entra ID 等 Microsoft 服務可協助您符合 1996 年健康保險流通與責任法案 (HIPAA) 規範的身分識別相關需求。
HIPAA 安全性規則 (HSR) 會建立標準,以保護由涵蓋實體針對個人所建立、接收、使用或維護的電子個人健康資訊。 HSR 係由美國衛生及公共服務部 (HHS) 管理,需要適當的行政、實體和技術安全保護措施,以確保電子受保護的健康資訊機密性、完整性和安全性。
技術安全保護措施需求和目標定義於《聯邦法規彙編 (CFR)》第 45 篇。 第 45 篇第 160 節提供一般管理需求,第 164 節 A 和 C 小節描述安全性和隱私權需求。
第 164.304 小節將技術安全保護措施定義為用來保護電子受保護的健康資訊和相關控制存取的技術以及原則和程序。 HHS 另概述醫療保健組織在實作 HIPAA 技術安全保護措施時要考慮的關鍵領域。 在 § 164.312 技術安全保護措施中:
存取控制 - 實作電子資訊系統的技術原則和程序,以維護電子受保護的健康資訊,只允許依照 § 164.308(a)(4) 所指定獲得存取授權的人員或軟體程式存取。
稽核控制 - 實作硬體、軟體及/或程序機制,記錄及檢查資訊系統中含有或使用電子受保護健康資訊的活動。
完整性控制 - 實作原則和程序,以保護電子受保護健康資訊免於不當變更或破壞。
人員或實體驗證 - 實作程序以確認想要存取電子受保護健康資訊的個人或實體符合其所宣告的身分識別。
傳輸安全性 - 實作技術安全措施,以防止未經授權存取透過電子通訊網路傳輸的電子受保護健康資訊。
HSR 將這些小節定義為標準,以及必要且可執行的實作規格。 必須實作以上所有規範。 「可執行」一詞表示規格合理且適當。 可執行並不表示實作規格是選擇性的。 因此,這些定義為可執行的小節也是必要的實作規格。
本系列的其餘文章提供按關鍵領域和技術安全保護措施整理的資源指引和連結。 每個關鍵領域都有一個資料表,其中列出相關的保護措施,以及完成保護措施的 Microsoft Entra 指引連結。
深入了解
所有《HIPAA 管理簡化條例》的合併法規文本均位於 45 CFR 160、162 和 164
《聯邦法規彙編 (CFR)》第 45 篇說明此法規的社會福利部分
第 160 節說明第 45 篇的一般管理需求
第 164 節 A 和 C 小節說明第 45 篇的安全性和隱私權需求