Health Insurance Portability and Accountability Act(HIPAA)
導入
チェック・ポイントのソリューションによる HIPAA の遵守
以下の表に示すように、チェック・ポイントのソリューションは、HIPAA の管理的対策と技術的対策の多くに対応しています。チェック・ポイントは、各種の情報セキュリティ関連規制を遵守するための堅牢な基盤となる幅広いセキュリティ・ソリューションを提供しています。
| HIPAA の規準 | チェック・ポイントの法令 遵守関連ソリューション |
詳細 [英語] |
| 管理的対策(Administrative Safeguards): HIPAA セキュリティ規則 164.308 | ||
§ 164.308(a)(1)(ii)(B) リスクおよび脆弱性を合理的かつ妥当なレベルまで軽減・緩和するセキュリティ対策を導入する。合理的かつ妥当なレベルとは、すべての「保護されるべき電子医療情報(Electronic Protected Health Information: EPHI)」の機密性、完全性、および可用性を維持し、合理的に想定される脅威に対処し、合理的に想定される未許可での EPHI の利用を防止できるレベルのことを言う。 |
リスクを管理し、情報を保護して、セキュリティ上の脅威をブロックするには、マルチレベルのソリューションとアプローチが必要です。チェック・ポイントは、既知および未知の脅威を検出してブロックし、その影響を軽減する、境界、内部、Web、およびエンドポイント向けの包括的な統合ソリューションを提供しています。 | |
§
164.308(a)(1)(ii)(D) 情報システムにおけるアクティビティを定期的に検証するための手段を導入する(監査ログ、アクセス・レポート、セキュリティ・インシデント追跡レポートなど)。 |
チェック・ポイントの管理製品では、チェック・ポイントおよびサードパーティの複数のゲートウェイにまたがるユーザ・アクセスや、管理者がシステムに対して行った変更をロギングおよびレポートすることができます。チェック・ポイントの Eventia では、システムのセキュリティ状態(重大なイベントや不正侵入、異常事態が発生していないか)を検査・監視することができます。 | |
§ 164.308(a)(3)(ii)(A) EPHI を扱う職員、または EPHI にアクセスできる環境にいる職員に対する権限付与/監督を行うための手段を導入する。 § 164.308(a)(4)(ii)(B) ワークステーション、トランザクション、プログラム、プロセスなど、さまざまなメカニズムを介した EPHI へのアクセスを認可するためのポリシーおよび手段を導入する。 § 164.308(a)(4)(ii)(C) ユーザのアクセス権を検証・修正するためのポリシーおよび手段を導入する。 |
チェック・ポイントの境界、内部、Web、およびエンドポイント向けのソリューションでは、きめ細かなアクセス・ルールと権限付与ルールを作成することができます。 | §
164.308(a)(3)(ii)(A) |
§
164.308(a)(3)(ii)(B) 職員による EPHI へのアクセスが適切かどうかを判断するための手段を導入する。 § 164.308(a)(3)(ii)(C) 職員が離職した場合に EPHI へのアクセス権を停止できるようにするための手段を導入する。 |
ユーザ・アカウント管理および認証の機能は、チェック・ポイントのすべてのソリューションが基本機能として備えています。チェック・ポイント製品のアクセスおよび認証管理機能は、職員によるアクセスが職務上適切であるかどうかを判断し、職員が離職した場合にそのアクセス権を削除するスクリーニング機能を備えています。 | |
§ 164.308(a)(4)(ii)(A) 情報センターにある EPHI を、親組織による権限のないアクセスから保護するための手段を導入する(情報センターが親組織の一部である場合)。 |
チェック・ポイントは、ネットワーク・セキュリティに関する課題の解決策として、業界をリードする純粋なセキュリティ製品を幅広く提供しています。チェック・ポイント製品を使用することで、セキュリティを確実に制御しつつ事業を行うことが可能になります。 | |
§
164.308(a)(5)(ii)(A) セキュリティ・アップデートを定期的に適用するための手段を導入する。 |
チェック・ポイント製品は、組織全体にわたり定期的かつリアルタイムにセキュリティ・アップデートを適用するための機能を備えています。 | |
§ 164.308(a)(5)(ii)(B) 悪意あるソフトウェアからの保護、その検出および報告を可能にするための手段を導入する。 |
チェック・ポイントは、組織の境界、内部、Web、またはエンドポイント経由で侵入してくる悪意あるソフトウェアを検出、ブロック、および報告するための包括的な統合ソリューションを提供しています。 | |
§
164.308(a)(5)(ii)(C) ログインの試みを監視し、ログインの失敗を報告するための手段を導入する。 |
チェック・ポイントの管理製品では、チェック・ポイントおよびサードパーティの複数のゲートウェイにまたがるユーザ・アクセスや、管理者がシステムに対して行った変更をロギングおよびレポートすることができます。 チェック・ポイントの Eventia では、システムのセキュリティ状態(重大なイベントや不正侵入、異常事態が発生していないか)を検査・監視することができます。 |
|
§ 164.308(a)(5)(ii)(D) パスワードを作成、変更、および保護するための手段を導入する。 |
チェック・ポイントのソリューションは、導入時に安全なパスワードを設定するようユーザに促す機能を備えています。 | |
§
164.308(a)(6)(ii) セキュリティ・インシデント(その疑いがあるものを含む)が発生した場合に次のことを行えるようにするためのポリシーおよび手段を導入する。・インシデントを検出する。・インシデントに対応する。・被害を軽減する。・インシデントの内容および結果を記録する。 |
チェック・ポイントの多くのソリューションでは、組織におけるセキュリティ・インシデントを定義および監視できるため、インシデントの発生を予防、あるいはインシデント発見時に素早く対応することができます。 |
|
§ 164.308(a)(7)(ii)(B) 喪失したデータを確実に復元するための手段を導入する。 |
チェック・ポイントの境界、内部、Web、およびエンドポイント向けのソリューションは、インフラに大規模な障害が発生した場合の影響を最小限に抑えるための機能を複数備えています。 | |
§
164.308(a)(7)(ii)(C) EPHI を保護するために必要なビジネス・プロセスを、緊急時でも継続できるようにするための手段を導入する。 |
チェック・ポイント製品は、緊急時においても事業を継続できるようにするための機能を備えています。 | |
§ 164.308(b)(1) HIPAA の適用対象組織は、相手機関が EPHI を保護するという十分な確証がある場合に限り、EPHI の作成、受領、保持、または伝送を関係機関に許可することができる。 |
チェック・ポイントの境界、内部、Web、およびエンドポイント向けのソリューションは、EPHI を受領または保持、あるいは EPHI にアクセスする(HIPAA 適用対象組織の)各関係機関に求められるセキュリティ対策およびリスク軽減策の実施を支援する機能を備えています。 | |
| 技術的対策(Technical Safeguards): HIPAA セキュリティ規則164.312 | ||
§ 164.312(a)(2)(i) ユーザごとに一意の名前または番号を割り当て、各ユーザを識別および追跡できるようにする。 |
チェック・ポイントの境界、内部、Web、およびエンドポイント向けのソリューションでは、きめ細かなアクセス・ルールと権限付与ルールを作成することができます。 | |
§
164.312(a)(2)(ii) 緊急時においても必要な EPHI にアクセスできるようにするための手段を導入する。 |
チェック・ポイントのソリューションは、たとえ緊急事態であっても、いつでもどこからでも EPHI にアクセスできるようにするための機能を備えています。 | |
§ 164.312(a)(2)(iii) あらかじめ決められた一定期間操作が行われなかった場合に電子セッションを自動終了するための手段を導入する。 |
チェック・ポイントのソリューションでは、あらかじめ決められた一定期間操作が行われなかった場合に電子セッションを終了するよう設定することができます。 | |
§
164.312(a)(2)(iv) EPHI を暗号化/復号化するための仕組みを導入する。 |
チェック・ポイントは、蓄積データ(data at rest)と転送中データ(data in transit)を暗号化/復号化するための包括的なソリューションを提供しています。 | |
§ 164.312(b) EPHI を格納または使用する情報システムにおけるアクティビティを記録および検証するためのハードウェア、ソフトウェア、または手続き的な仕組みを導入する。 |
チェック・ポイントの Eventia では、システムのセキュリティ状態(重大なイベントや不正侵入、異常事態が発生していないか)を監査・検査・監視することができます。 | |
§
164.312(c)(1) EPHI を改ざんや破壊行為から保護するための手段を導入する。 |
チェック・ポイントの侵入防御技術は、アクセス権限のないユーザが、アプリケーション・コマンドをハイジャックまたは悪用してデータを改ざんしたり削除したりできないよう制限するための機能を備えています。 | |
§ 164.312(d) EPHI へのアクセスを試みる人物または組織を識別するための手段を導入する。 |
ユーザ・アカウント管理および認証の機能は、チェック・ポイントのすべてのソリューションが基本機能として備えています。チェック・ポイント製品のアクセスおよび認証管理機能は、職員によるアクセスが職務上適切であるかどうかを判断し、職員が離職した場合にそのアクセス権を削除するスクリーニング機能を備えています。 | |
§
164.312(e)(2)(i) 伝送する EPHI が改ざんされないようにするセキュリティ対策を導入する。ネットワーク通信プロトコルの使用が推奨される。 § 164.312(e)(2)(ii) 通信ネットワークを介して EPHI を伝送する場合は暗号化を行う。 |
チェック・ポイントのリモート・アクセス・ソリューションである VPN-1 と Connectra は、公衆網経由でデータを送信する際、標準ベースの暗号化プロトコルを使用して強力な暗号化を行います。 | |
HIPAA に関するその他の情報:
