HIPAA Security Rule を更新する最終規則は、2026 年 5 月にも早期にリリースされる予定です。HHS/OCR によると、Security Rule の修正は、電子保護健康情報(ePHI)を保護し、サイバーセキュリティの脅威を防止、検出、封じ込め、軽減、および回復するための要件を強化することで、ヘルスケア部門のサイバーセキュリティを改善します。2025 年春、OCR は 2026 年 5 月のリリースを示唆するスケジュールを発表しましたが、最終規則は遅延する可能性があります。OCR が 2026 年 1 月の提案規則制定通知(NPRM)で提案されたすべての変更を実装する最終規則をリリースすることを選択した場合、HIPAA 対象事業体のビジネスアソシエートに大きな影響を与えるでしょう。
20 年以上の間、HIPAA Security Rule は電子保護健康情報(ePHI)を保護するためのサイバーセキュリティの基準を設定してきました。2003 年のリリース前は、サイバーセキュリティの標準はありませんでしたが、当時は電子健康記録の採用はまだ広く行われていませんでした。HIPAA Security Rule の標準は、ePHI と、その情報を保存、処理、および送信するために使用されるシステムが、不正アクセスから保護するための適切なセーフガードを備えていることを確保するのに役立ってきました。ただし、2000 年代初期に合理的および適切と考えられていた標準は、国家主体およびサイバー犯罪者からの攻撃の急増、侵入およびラテラルムーブメント技術の高度化、および AI 支援攻撃の新たな脅威から保護するのに十分ではなくなりました。
HIPAA ビジネスアソシエート向けの新しい必須サイバーセキュリティルール
過去数年間、700 件以上の大規模なヘルスケアデータ侵害が毎年報告されており、その多くは HIPAA 対象事業体のビジネスアソシエートで発生しています。脅威行為者によって日常的に悪用されているサイバーセキュリティの弱点に対処するため、OCR は 2 つの一連の自発的なヘルスケア固有のサイバーセキュリティパフォーマンスゴール(CPG)を提案しました。必須と拡張です。CPG は、サイバーセキュリティを強化し、ヘルスケア組織が必須の CPG を採用し、次に強化されたサイバーセキュリティゴールを採用することで、サイバーセキュリティプログラムを成熟させることを奨励する高い影響を与えるメジャーで構成されています。
OCR が CPG をリリースしたとき、それらが必須の新しいサイバーセキュリティ対策の前触れであることが明らかにされました。NPRM – HIPAA Security Rule 電子保護健康情報のサイバーセキュリティの強化 は、2025 年 1 月 6 日に OCR によって連邦官報に公開されました。それ以来、OCR は受け取った大量のフィードバックを確認しています。
Security Rule の更新は、サイバー攻撃の増加、進化するヘルスケア配信環境、および OCR がコンプライアンス調査中に特定した一般的な不足に対応して提案されました。最終規則が発行される場合、それは 20 年以上前から HIPAA Security Rule への最初の大規模な更新となるでしょう。提案された形式では、ビジネスアソシエートはサイバーセキュリティおよびコンプライアンスプログラムに実質的な変更を加える必要があります。提案された規則は通常、約 240 日(8 ヶ月)のコンプライアンス期限を持っています。OCR の提案されたスケジュールに従ってリリースされた場合、コンプライアンスは 2027 年第 1 四半期にも早期に要求される可能性があります。
ビジネスアソシエートのための広範な新しい Security Rule 要件があり、実装は時間がかかり、潜在的にコストがかかります。これらは、一夜にして、または数週間で実装できる変更ではありません。変更には、広範な計画、実装、検証、および詳細なドキュメンテーションが必要です。ビジネスアソシエートは、最終規則が発行されるまで待つのではなく、現在のセキュリティプログラムが不足している場所を評価し、積極的に対処する必要があります。
規制対象事業体はすべての Security Rule 実装仕様を実装する必要があります
HIPAA Security Rule の言語に変更が加えられ、対象事業体およびビジネスアソシエートの一貫性を改善するために、「HIPAA 規制対象事業体」という用語が導入されました。OCR は「対処可能」および「必須」の実装仕様の区別を排除しました。「対処可能」な実装仕様の削除は、対象事業体およびビジネスアソシエートがすべての実装仕様に準拠することが要求されることを意味します。より規範的なサイバーセキュリティ要件と合わせて、セキュリティおよびコンプライアンスプログラムに実質的な変更を加える必要があります。
現在の HIPAA Security Rule はスケーラブル、柔軟、およびテクノロジーに依存しませんが、提案されたルールはより規範的で検証可能であり、実装されたサイバーセキュリティ要件を備えています。提案された Security Rule は、多数の新しいサイバーセキュリティ要件をもたらし、限定的な例外がありますが、一部の要件はリスクベースであり、ePHI を含むシステムにのみ適用されます。規制対象事業体はサイバーセキュリティプログラムに大きな変更を加える必要があります。新しい要件には、保存時および転送中のすべての ePHI の暗号化、すべてのシステム全体の多要素認証、異常なアクティビティのためのシステムの継続的なモニタリング、脆弱性スキャン、ペネトレーション テスト、より規範的なパッチ管理要件、構成管理、マルウェア対策、ネットワーク セグメンテーション、および技術的コントロールの年次テストが含まれます。
HIPAA Security Rule は、ビジネスアソシエートに 45 CFR § 164.308(a)(5)、標準:セキュリティ意識およびトレーニングに基づいて、セキュリティ意識トレーニングを提供することを要求しています。この要件は、PHI を使用または開示するスタッフだけでなく、IT システムにアクセスできるすべてのワークフォースメンバーに適用されます。セキュリティ意識トレーニングはサイバーセキュリティトレーニングに焦点を当てており、プライバシー規則、違反通知規則、および組織的ポリシー要件に関するビジネスアソシエート向け HIPAA トレーニングとは別で、かつそれに加えてです。提案された HIPAA Security Rule の変更は、既存のセキュリティ意識トレーニング要件を変更することは期待されていません。
より詳細で規範的なビジネスアソシエートリスク分析要件
リスク分析などの特定の要件は、より詳細で規範的な要件を持っています。現在の規制に基づき、ビジネスアソシエートは、ePHI へのリスクおよび脆弱性を特定するために定期的にリスク分析を実施し、テクノロジー、ソフトウェア、ハードウェア、またはビジネス慣行に大きな変更を加えた後、およびセキュリティ インシデント後に行うことが要求されています。
提案された規則は、リスク分析を少なくとも年 1 回実施することを要求しています。リスク分析は、ePHI を収集、受け取り、維持、保存、送信、または接触するすべてのシステム、デバイス、アプリケーション、環境、およびサービスへのすべてのリスクおよび脆弱性を特定および評価する必要があります。リスク分析は、下請業者、サービスプロバイダー、クラウド環境、および統合テクノロジーに関連するリスクをカバーする必要があり、コンティンジェンシー計画、災害復旧、およびダウンタイム運用計画に流れ込む必要があります。
リスク分析は、対象事業体によって作成または受け取られた ePHI だけでなく、ビジネスアソシエートの所有下にあるすべての ePHI を対象にする必要があり、複数のクライアントからの ePHI および共有システムで維持される ePHI を含めます。HIPAA に準拠したリスク分析を実施する前に、ビジネスアソシエートは、ePHI が作成、受け取り、維持、または送信されるすべてのシステム、デバイス、アプリケーション、サービス、および環境を特定する必要があります。その情報は、包括的、正確、および最新のアセット インベントリに維持されている必要があります。
リスク分析は、正式で完全にドキュメント化され、反復可能なプロセスであり、認識されたサイバーセキュリティ慣行と一致している必要があります。ヘルスケア環境の変化、進化する脅威、および新しいテクノロジーを反映するために定期的に更新される必要があり、システム、下請業者、ビジネス慣行、テクノロジー、および脅威条件が変更されたときに繰り返される必要があります。この更新は、リスク分析を、不正ながら正しくない、1 回限りのイベントとして見られるものから、継続的なプロセスに移行します。方法論、特定されたリスク、リスク評価の根拠、リスク軽減の決定、および残差リスクを含むすべてが詳細にドキュメント化される必要があり、適格な担当者による完全性リスク分析および実装されたセーフガードの書面による検証が必要です。
HIPAA 対象事業体によるベンダーのより大きな監督
リスクはリスク管理プロセスに従う必要があり、それは変更されていませんが、すべてのリスクに対して、特定のドキュメント化された軽減計画を開発および優先順位付けする必要があり、修復対策は完了まで追跡される必要があります。対象事業体によるビジネスアソシエートの監督が強化されます。以前、対象事業体は、署名されたビジネスアソシエート契約を取得することによって、HIPAA Security Rule コンプライアンスの満足できる保証を取得することが要求されていました。更新された Security Rule は、対象事業体によるビジネスアソシエートからの年次書面による検証を通じて、セーフガードを検証することを要求しています。
これは、ビジネスアソシエートが、リスク分析方法論および結果、実装された軽減、リスクを合理的および適切なレベルに低減するために実装された管理的、物理的、および技術的セーフガード、および対処される予定の残差リスクを含むすべてのコンプライアンス努力の詳細なドキュメンテーションを維持する必要があることを意味します。セーフガードは毎年再評価および再検証される必要があります。
ePHI を含むセキュリティ インシデントの場合、HIPAA 違反通知規則は、ビジネスアソシエートに 60 日以内に影響を受けた各対象事業体に通知することを要求しています。ただし、更新された HIPAA Security Rule は、対象事業体に、電子情報システムに影響を与える緊急事態またはその他の事態の検出から 24 時間以内に、およびコンティンジェンシー計画の起動から通知することを要求しています。ビジネスアソシエートは、重大なシステムへのアクセスを復元するための計画を立てている必要があります。これは、ビジネスアソシエートが違反対応の監視を強化する可能性が高く、対象事業体クライアントへの定期的な更新を提供する必要があることを意味します。
ビジネスアソシエートの要件の拡張は、新しい義務を含めるために現在のビジネスアソシエート契約の更新を要求するでしょう。HIPAA 対象事業体は、新しい HIPAA Security Rule 要件をビジネスアソシエート テンプレートに組み込み、現在のビジネスアソシエートが新しい要件を満たしているかどうかを評価し、そうでない場合は、必要な変更を時間内に実装するための実行可能な計画を確保する必要があります。
現在と提案されている Security Rule の要件の比較
| コンプライアンス領域 | HITECH 法以降 – HIPAA Security Rule 要件 | 提案された HIPAA Security Rule 要件 |
| 適用可能性 | ビジネスアソシエートは Security Rule に直接従属し、特定の義務はビジネスアソシエート契約を通じて実装されました。 | 「HIPAA 規制対象事業体」という用語の導入。ビジネスアソシエートの義務は対象事業体の義務と同じであり、解釈上の矛盾を排除します。 |
| 実装仕様 | 必須および対処可能な実装仕様の区別 | 区別の排除 – すべての実装仕様はコンプライアンスに必須です。 |
| アセット インベントリ | アセット インベントリの要件はありません。 | ビジネスアソシエートは、リスク分析の基礎となる包括的かつ正確なテクノロジー アセット インベントリを作成および維持する必要があり、ネットワーク/ePHI 移動マップを完備しています。 |
| リスク分析 | ビジネスアソシエートは、ePHI へのリスクおよび脆弱性の正確かつ徹底的な評価を実施することが要求されています。リスク評価は定期的に、およびシステム、テクノロジー、およびワークフローへの重要な変更に対応して要求されています | リスク分析方法論の明確な要件。正式で反復可能で、ドキュメント化される必要があります。ePHI エコシステム全体をカバーし、コンテンツの特定の期待値を持ちます。下請業者、ベンダー、クラウド プラットフォーム、共有システム、サービス プロバイダー、およびサプライ チェーンに関連するリスクをカバーする必要があります。リスク分析は少なくとも年 1 回実施される必要があり、方法論はシステム、ベンダー、脅威条件、および変化する運用慣行の変更に対応して更新される必要があります。方法論、分析、軽減、および残差リスクを含む広範なドキュメンテーション要件。リスク分析およびセーフガードは、適格な担当者によってドキュメント化および実行される必要があり、書面による検証が必要です。 |
| 管理的セーフガード: 標準:評価 | ePHI のセキュリティに影響を与える環境または運用の変更に対応した定期的な技術的および非技術的評価 | 一貫した方法論が必要で、定期的なテスト、技術的レビュー、脆弱性スキャン、およびドキュメント化された再評価に重点が置かれ、新興の脅威および運用/環境の変化に対応しています。分析および軽減のための広範なドキュメンテーション要件。 |
| 技術的セーフガード | テクノロジーおよび構成は指定されていません。ビジネスアソシエート、いくつかの対処可能な要件の裁量に委ねられました。 | 特定のサイバーセキュリティ対策が必須:保存時および転送中のすべての ePHI の暗号化(限定的な例外を除く)は、現在のベストプラクティスと一致しています。すべてのシステム全体で多要素認証を実装する。異常なアクティビティのためのシステムの継続的なモニタリング。脆弱性スキャンおよびペネトレーション テスト。規範的なパッチ管理要件およびタイムライン。構成管理。バックアップ復元のタイミング要件。マルウェア対策、ネットワーク セグメンテーション。アクセス制御仕様。監査およびアクセス ログの必須作成。および技術的コントロールの定期的なテスト。 |
| コンプライアンス監査およびテスト | Security Rule 要件をポリシーおよび手順が満たしている程度を確立するために、定期的な技術的および非技術的評価を実行します。 | 年次リスク分析、セーフガードの検証、コンティンジェンシー計画のテスト、および脆弱性スキャンおよびペネトレーション テスト。 |
| 物理的セーフガード | 規制対象事業体の電子情報システムおよび関連する建物および機器を保護するための物理的対策、ポリシー、および手順。 | ワークステーション管理および施設アクセスを含む、物理的セーフガードの軽微な要件。 |
| ワークフォース アクセス管理 | ワークフォースのすべてのメンバーが ePHI への適切なアクセスを持つことを確保します。規範的な標準またはレビュー頻度なしで、柔軟でテクノロジーニュートラル。 | アクセス プロビジョニング、終了手順、権限管理、最小限必要なアクセス、およびアクセス プロビジョニングの定期的なレビューのための拡張された要件。 |
| 管理的セーフガード:ビジネスアソシエート契約 | 対象事業体は、ビジネスアソシエートが ePHI を適切に保護することについての満足できる保証を取得する必要があります。通常、ビジネスアソシエート契約を通じて達成されます。 | 対象事業体は、ビジネスアソシエートが必要な技術的セーフガードを実装したことを検証する必要があります。ビジネスアソシエートは、コンプライアンスを証明するために必要なドキュメンテーションを提供する必要があります。 |
| コンティンジェンシー計画 | データ バックアップ、災害復旧、および緊急運用計画を確立する必要があります。コンティンジェンシー計画のアクティベーションを報告する要件はありません。 | 定義された役割と責任、インシデント分類、対応のタイムライン、インシデント後の分析、および詳細なドキュメンテーション要件を備えた公式なインシデント対応計画が必要です。必須の重要性分析、正確なバックアップ コピーの保守、復元テスト、および指定されたタイムフレーム内での重大なシステムおよびデータの復元。ビジネスアソシエートは、電子情報システムに影響を与える緊急事態およびコンティンジェンシー計画のアクティベーションを対象事業体に 24 時間以内に報告する必要があります。 |
| ドキュメンテーション | ポリシー、手順、および分析ドキュメンテーションは 6 年間保持される必要があり、形式の指定された要件はありません。 | ビジネスアソシエートは、リスク分析、セーフガードの確認、リスク軽減、コンティンジェンシー計画報告、サイバーセキュリティトレーニング、サードパーティのリスク評価、システムアクティビティのログ、および継続的なモニタリングの構造化、粒度の細かいドキュメンテーションを保持する必要があります。OCR はデータ侵害/コンプライアンス調査および検査のドキュメンテーション提出を要求するでしょう。 |
| セキュリティ インシデント手順 | セキュリティ インシデントを識別、対応、および軽減する必要があります。 | テスト要件を伴う公式なインシデント対応計画が必要で、ワークフォース報告手順。共有システムまたはデータが影響を受けた場合、適切な規制対象事業体への迅速な通知の期待を追加します。 |
| ベンダーおよびサプライ チェーン リスク管理 | ビジネスアソシエート契約で規定されている通り | ダウンストリーム ベンダーの監督および下請業者とベンダーに関連するリスクの評価と管理のための公式な要件。分析および軽減は監査目的で完全にドキュメント化される必要があります |
| ビジネスアソシエート契約 | – | ビジネスアソシエート契約は新しい要件を参照するように更新される必要があります。対象事業体は、適格なサイバーセキュリティ担当者によって検証された技術的セーフガードの年次書面による検証を要求します。 |
| サイバーセキュリティ トレーニング | CFR § 164.308(a)(5)、標準:セキュリティ意識およびトレーニング。 | ビジネスアソシエート契約はビジネスアソシエート従業員向けサイバーセキュリティトレーニングを含めることが期待されます。 |
| 執行 | 2026 年の執行が増加しています。 | ビジネスアソシエートはコンプライアンス障害に対する責任の増加に直面する可能性があります。提案された規則には、より規範的な標準があり、解釈的柔軟性を減らすことで執行を支援するはずです。 |
最終規則がいつ発行されるか、および発行されるかどうか
提案された HIPAA Security Rule の更新は、すべての HIPAA 規制対象事業体のサイバーセキュリティ基準を大幅に引き上げます。厳格でよくドキュメント化されたリスク分析、すべての新しいセーフガード、およびサードパーティのリスク軽減を実装したことを実証できるビジネスアソシエートは、最終規則が発行されたときにそれに準拠するための理想的な立場にあり、新しいヘルスケア クライアントを引き付けるのに非常に適切でしょう。
HHS が年間の規制スケジュールを公開したとき、5 月のリリース日は決定版ではありませんでした。提案された規則は数ヶ月遅延し、最終規則も同じことが起こる可能性があります。特に要件の大幅な削減を決定した場合。遅延がどのくらい続くかを予測することは不可能です。OCR は手札を厳密に守っています。Trump 政権が規制緩和の傾向があるため、最終規則が発行されない可能性があります。ただし、ヘルスケアのサイバーセキュリティの現在の状態と毎月報告されているサイバー攻撃およびデータ侵害の量は、何かをする必要があることを意味します。
私の意見では、最終規則が発行されるでしょう、そして多くの核となる要件が保持される可能性があります。特に新しいリスク分析要件です。したがって、すべてのビジネスアソシエートの最善の利益は、現在のセキュリティ対策とプランニングを確認し、Security Rule の変更のために組織的および財政的に計画することで、リリースのための準備を開始することです。最終規則は提案されたルールから大幅に異なる可能性があります。提案されたルールの主要な要素は変更される可能性は低いです。ビジネスアソシエートの最良の出発点は、現在のセキュリティ対策が提案された新しい HIPAA Security Rule 標準にどのくらい積み重なるかを決定するためのギャップ分析です。最終規則がリリースされたとき、すぐに開始し、施行日前に完全に準拠できることを確保します。
Steve Alder, HIPAA Journal 編集長
翻訳元: https://www.hipaajournal.com/hipaa-security-rule-business-associates/
