HIPAAセキュリティ規則の改定延期:主要な変更実施までの猶予期間が拡大

HIPAA(医療保険の相互運用性と説明責任に関する法律)の対象事業者にとって、HIPAAセキュリティ規則の改定案への準備不足を感じている向きには朗報となりそうです。米保健福祉省(HHS)は、HIPAAセキュリティ規則の改定案を実施する最終規則について、2026年5月の公表を予定していました。しかし米行政管理予算局(OMB)のウェブサイトが更新され、最終規則の公表が1年先送りされ、最終的な措置は2027年7月になる見通しであることが明らかになりました。

HIPAAセキュリティ規則の改定が提案された背景

バイデン政権下のHHS公民権局(OCR)は、HIPAAセキュリティ規則を強化する規則制定案の事前告知(NPRM)を2024年12月に発表し、2025年1月6日に連邦官報にて改定案を公表しました。現行のHIPAAセキュリティ規則は20年以上前の2003年に制定され、2013年のHIPAAオムニバス最終規則で更新されたものの、この13年間、セキュリティ規則に実質的な変更はありませんでした。

今日、医療のほぼあらゆる側面がコンピューターやネットワーク技術に依存するようになっており、サイバーセキュリティはセキュリティ規則が初めて公表された当時よりもはるかに重要な懸念事項となっています。過去10年間、セキュリティ規則が本来保護対象としている電子保護対象保健情報(ePHI)を狙った医療機関へのサイバー攻撃や情報漏えいは着実に増加しており、特に2018年にはハッキング事案や医療機関を狙ったランサムウェア攻撃が急増しました。こうした事案は件数が大幅に増えているだけでなく、影響を受ける個人の数や被害の深刻さも憂慮すべき上昇傾向にあります。

2024年2月に発生した、ALPHV/BlackCatによるChange Healthcareへのランサムウェア攻撃を例に挙げます。この主要な医療関連テクノロジー企業であり決済仲介機関でもある同社への攻撃は、医療業界全体に甚大な影響をもたらしました。同社のシステムは患者記録の3件に1件に関わっており、全米の病院、医師、薬局、検査機関が請求や決済処理のために利用しています。攻撃により同社の顧客企業では深刻なキャッシュフロー問題が発生し、医療提供にも支障が出て、一部の医療提供者は一時的な休業を余儀なくされました。攻撃によるシステム停止は数週間続き、医療提供者側への影響ははるかに長期にわたって続きました。この攻撃では、推定1億9270万人の米国人のePHIが窃取されました。攻撃者は盗んだ認証情報を使い、Citrixのリモートアクセスポータル経由でChange Healthcareのネットワークに侵入しましたが、決定的な点として多要素認証が有効化されていませんでした。多要素認証は今回のセキュリティ規則改定で求められる要件の一つであり、サイバー攻撃の影響範囲を限定するためのネットワークセグメンテーションも同様です。

セキュリティ規則の新たな要件

HIPAAセキュリティ規則の改定案は、医療環境やテクノロジーの変化に対応し、HIPAA対象事業者にサイバー攻撃への対策としてサイバーセキュリティの強化を義務付けて情報漏えいを防止するとともに、OCRがデータ侵害の調査や苦情対応、HIPAA監査プログラムを通じて特定してきたセキュリティ規則の不備を是正することを目的としています。今回の改定は現在のサイバーセキュリティのベストプラクティスや手法に基づくものであり、医療業界がサイバー攻撃者に標的にされ、ネットワークへの侵害を受けている頻度を踏まえれば、常識的な範囲の更新だと言えます。

改定案の内容は大幅なもので、「対応が望ましい(addressable)」という実施区分の廃止、暗号化・多要素認証・ネットワークセグメンテーション・マルウェア対策といった厳格な義務的サイバーセキュリティ要件の導入、年1回の侵入テストと6か月ごとの脆弱性スキャンおよび年1回のセキュリティ規則遵守状況監査の実施、より具体的なリスク分析要件(少なくとも年1回実施し、包括的かつ正確な技術資産目録およびePHIの流れを示すネットワークマップに基づくことが必要)、ePHI専用のバックアップ・復旧管理体制、ビジネスアソシエイト(業務委託先)に関するより短い技術的保護措置の確認期限、そして広範な文書化要件などが盛り込まれています。

規則改定案は多くの批判を招く

390ページに及ぶこの改定案は、決して好意的には受け止められておらず、病院、医療システム、業界団体から相当な批判を浴びました。OCRには改定案に対して約5,000件の意見が寄せられました。業界の関係者は、医療業界を取り巻くサイバーセキュリティ危機に対処するためセキュリティの改善が必要であること自体は認めつつも、今回の改定案については実現不可能な義務だと見なしています。医療機関に多大な財政的負担を強い、業務運営に大きな混乱をもたらし、膨大な事務負担を発生させるうえ、実施までの期間設定も現実的ではないというのがその理由です。

今回の改定案には、当初の規則にあった柔軟性の多くが失われており、サイバーセキュリティに対する画一的なアプローチだとして批判を集めています。新要件は広範囲にわたるため、HIPAA対象事業者がコンプライアンス対応に多額の資金を投じることを強いられれば、その多くが患者ケアに充てるべき資金を回さざるを得なくなります。この痛みは、すでにぎりぎりの利益率で運営している小規模・地方の医療提供者にとって特に深刻なものとなるでしょう。HHS自身もコンプライアンス対応の費用が安くはないことを認めており、今回の改定による業界全体のコストは初年度で90億ドル、2年目から5年目までは年間60億ドルに上ると試算しています。

避けられないセキュリティ要件強化への備えに、より多くの時間を

政府機関が新規則の実施に向けて示すスケジュールには、法的拘束力はありません。最終規則の公表は1年延期された形になりましたが、今後さらに延期される可能性もあります。一方で、OCRが2027年7月という提案期日を待たずに最終規則を公表する可能性も残されています。

HIPAAセキュリティ規則が実効性を保ち続けるためには、改定は避けられません。今回の改定案に対する批判の一つは、実施までの期間が短すぎるという点で、業界団体からは実現不可能だと見なされていました。今回の延期には安堵の声が広がるとしても、この猶予期間を賢く活用することが重要です。最終規則の公表を待ってから必要な変更に着手するのでは、実施期限に間に合わず、コンプライアンス対応の遅れに伴う規制上のリスクに直面する恐れがあります。

対象事業者がこの期間を計画に充て、今後12か月の間に改定案の一部要件を先行して実施し始めれば、最終規則が公表された際の負担は軽減されるはずです。その間にもサイバーセキュリティ体制は向上し、サイバー攻撃や高コストのシステム停止、多くの情報漏えいの防止につながるでしょう。

Steve Alder、The HIPAA Journal編集長

翻訳元: https://www.hipaajournal.com/hipaa-security-rule-update-postponed/

ソース: hipaajournal.com