今年初め、保健福祉省(HHS)公民権局(OCR)局長のポーラ・M・スタンナード氏は、2026年のOCRの執行優先事項について最新情報を提供し、OCRのリスク分析執行イニシアティブが継続され、HIPAAセキュリティルールのリスク管理要件への非準拠も対象とするように進化することを確認しました。
リスク分析規定 – § 164.308(a)(1)(ii)(A) – はHIPAA規制対象事業者に「被保険者または事業協会が保有する電子保護医療情報(ePHI)の機密性、完全性、および可用性に対する潜在的なリスクと脆弱性の正確で徹底的な評価を実施する」ことを要求しています。OCRは以前、リスク分析要件に関するガイダンスを発行し、小中規模事業者がePHIへのリスクを包括的に評価するプロセスを進めるためのリスク評価ツールを発行しています。
リスク分析は、管理的保護措置のセキュリティ管理プロセスの下で必要とされる4つの実装仕様の1つであり、その他はリスク管理、制裁ポリシー、および情報システムアクティビティレビューです。リスク管理実装仕様は、HIPAA規制対象事業者に「[セキュリティ基準:一般的なルール] § 164.306(a)に準拠するため、リスクと脆弱性を合理的かつ適切なレベルまで軽減するための十分なセキュリティ対策を実装する」ことを要求しています。
リスク管理は、HIPAAセキュリティルール準拠と一般的なサイバーセキュリティ準備の重要な構成要素です。リスク管理はサイバー攻撃からの防御に向けた重要なステップであるため、OCRはリスク管理をカバーするために執行イニシアティブを拡大しました。OCRがデータ漏洩または苦情を調査する場合、規制対象事業者は包括的かつ正確なリスク分析を実施し、その分析結果に基づいてリスクと脆弱性を合理的かつ適切なレベルまで軽減するための措置を講じたことを実証する必要があります。
HIPAA規制対象事業者がリスクと脆弱性を管理するのを支援するため、OCRはリスク管理ビデオを記録しました。ビデオでは、OCRのサイバーセキュリティシニアアドバイザーであるニコラス・ヒースターズ氏がHIPAAリスク管理要件を説明し、OCRのデータ漏洩調査中に特定された潜在的なリスク管理違反の例を提供しています。2025年12月、OCRはHIPAA規制対象事業者にリスク管理に関する質問を要求し、ビデオでそれらの質問の選択に対する回答を提供しました。ビデオはまた、HIPAA規制対象事業者がこの重要なHIPAAセキュリティルール要件に準拠するのを支援するための重要なリソースを共有しています。OCRのYouTubeチャンネルでビデオを視聴できます。
翻訳元: https://www.hipaajournal.com/ocr-risk-management-guidance-video/
