現在位置: ホーム / セキュリティ ブログ / HIPAAの背景と「HIPAA Security Rule Toolkit」の使い方

HIPAAの背景と「HIPAA Security Rule Toolkit」の使い方

12/30に発生した保険証漏洩に絡めて、HIPAAの背景と、HIPAAの提供している「HIPAA Security Rule Toolkit」に関して紹介します。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

今回は、HIPAAの背景と、HIPAAの提供している「HIPAA Security Rule Toolkit」に関して紹介します。


健康保険情報流出事件

昨年(2015年)12/30に、健康保険証情報10万3000件が流出したというニュースが流れました。

対象となったのは、2005年3月以前に生まれた方の情報で、リストには氏名、性別、生年月日、住所などから保険者番号まで含まれていたそうです。

厚生労働省からは、今回の事件は、何者かの医療機関や薬局などの医療関係が作成したリストが流出したか、何者かが個人情報を悪用する目的でリストを作り流出した可能性があるとして、個人情報保護法に基づく厚労省のガイドラインに抵触する可能性があるとしています。

このように、医療機関などには個人情報が集中しているため、悪用されてしまうと非常に問題になります。

このような医療関係の情報システムに関して、米国の状況を見てみましょう。

HIPAAとは

HIPAAとは、「United States Health Insurance Portability and Accountability Act of 1996; 米国における医療保険の携行性と責任に関する法律」の略になります。

米国では、医療保険は基本的に民間に委ねられており、国民は個別に様々な医療保険会社と契約を行っています。しかし、保健会社ごとに書類の書式が異なったりしてジム効率が膨大になってしまいます。そのため、膨大な保険事務処理のコストを下げるために、規格を標準化することを目的として、HIPAAが1996年に制定され、最終的に2003年に施行されました。

このHIPAAでは、電子データ交換(EDI)を可能にしながら、医療関連データの機密保持を満たすために、健康保険システムの悪用・不正の管理や、患者のプライバシー保護などを目的として制定されています。


HIPAA Security Rule Toolkitについて

NISTでは、HIPAA Security Rule Toolkitというものを出しています。

これは、Q&A形式の質問に応える(Survey)ことで、HIPAAセキュリティの規則の要件を理解して実装し、その運用環境において、これらの実装を評価する事が出来るようなものになります。

対応しているOSは

  • Windows
  • RHEL
  • Apple Mac

になります。

例として、RHEL用のものをインストールしてみましょう。インストールは、"rpm -ivh"コマンドで、ダウンロードしたrpmファイルをインストールすることで、/usr/CentOS 7 上で動作させてみましたが、問題なく動作します。


HIPAA Security Rule Toolkitのインストールと使い方

HIPAA Security Rule Toolkitですが、例として、RHEL用のものをインストールして使用してみましょう。

  1. CentOS7上にインストールしてみます。ダウンロードしてきたファイル(HSRToolkit-1.0-1.noarch.rpm)を、"rpm -ivh"コマンドでインストールします。これで、/opt/hsrtk/以下に、HIPAAのツールがインストールされます。
  2. HIPAA Security Rule Toolkitを起動します。/opt/hsrtk/hsrtk.shを実行します。図のように、HIPAA Security Rule Toolkitが起動します。

  1. File -> New->でSurveyを選択します。EnterpriseかStandardを選択します。今回はStandardを選択します。

  1. 新しく作成するProfileの名前を入力します。
  2. Profileのその他の情報を入力します。
  3. Save Asで、Profileを保存しておきます。
  4. 画面下部の「Use Selected」をクリックします。SurveyのXMLファイル(ファイル名は日付で適切なものが自動んで入力されます)を指定して、「Create New Survey」を選択します。
  5. サーベイが開始します。項目ごとに、"Yes"/"No"/"Not Applicable(該当なし)"を入力していきます。サーベイの中身は、「リスクアセスメントポリシは策定されていますか?」や、「システムのセキュリティレポートを確認する担当者は決まっていますか?」など、ポリシに関するものになります。
  6. サーベイを入力後、レポートを作成すると、このようなレポートが生成されます。

 

まとめ

「HIPAA Security Rule Toolkit」で、HIPAAのセキュリティポリシにシステム管理体制が対応しているかのサーベイをすることができます。これを用いて、管理体制に抜けがないかのチェックなどを定期的に行うと、(HIPAAの)セキュリティに対応することが出来ますので、(少し特殊な業界に限りますが)自社のセキュリティポリシのPDCAがうまくまわっているかを一度確認してみるのも良いかと思います。また、その他の業界の会社でも、充分に参考になる所はあると思います。


[参考]
OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン