多くの人がチャンスを認識できない理由は、それが通常、苦労しているように見える作業着を着て回っているからである。 – Thomas A. Edisons
「HIPAA 準拠」という言葉は、ベンダー、コンサルタント、開発者、監査担当者などから多く投げかけられます。 この用語の自由な流れの問題点は、「HIPAA 準拠」が主観的であるということです。
HIPAA の主観的な性質と監査のばらつき (元情報セキュリティ監査人として、そう言う資格があると感じています) のために、適用対象組織は、外部のベンダーや内部のプロジェクト (イノベーション グループや研究など) のコンプライアンスやセキュリティを評価するのに苦労しています。 その結果、ベンダーが新しい対象事業者に販売するたびに、また対象事業者が新しいベンダーのセキュリティを評価するたびに、車輪の再発明を行うことになることがよくあります。 これは非常に非効率的であり、見落としが発生する可能性があります。セキュリティとコンプライアンスに関する見落としは、対象事業者を重大なリスクにさらすことになります。 HITRUSTは、業界主導で、ベンダーと対象事業者の双方に利益をもたらす共通の認証可能なフレームワークを標準化する取り組みを行っています。
HITRUSTの紹介
HITRUST (Health Information Trust Alliance) は実際にはまったく別の枠組みではなく、Common Security Framework または CSF を作成および維持するための組織です。 CSF は現在バージョン 7 で、HIPAA、PCI、ISO、NIST などの他のいくつかのコンプライアンス フレームワークや標準をまとめた、または調和させた、認証可能なフレームワークです。
ウェブサイトによると、HITRUST とそれに対応する CSF は、「情報セキュリティは、健康情報システムおよび交換の幅広い採用の障害ではなく、むしろその中核となるべきであるという信念から生まれました」。 セキュリティとコンプライアンスは、医療技術の成功の重要な要素であり、無視したり、後回しにしたりすることはできません。 標準化された枠組み、プロセス、認証機関がなければ、HIPAAは医療技術にとって障害となることが多いのです。 HITRUSTは、ベンダーが自社のセキュリティをより良く証明できるように、また、カバーエンティティがベンダーのセキュリティおよびコンプライアンスレビューを合理化できるようにするための試みです。 この試みにおいて、HITRUSTは成功しつつあります。 More and more health systems are asking for HITRUST and vendors that have it are moving more quickly through the process with covered entities.
(Image credit: HITRUST CSF Assurance Program)
CSF Domains and Controls
The CSF is divided into 19 different domains. In contrast to HIPAA, the CSF does not create broad buckets like Administrative and Security controls.
- Information Protection Program
- Endpoint Protection
- Portable Media Security
- Mobile Device Security
- Wireless Protection
- Configuration Management
- Vulnerability Management
- Network Protection
- Transmission Protection
- Password Management
- Access Control
- Audit Logging & Monitoring
- Education, Training & Awareness
- Third Party Security
- Incident Management
- Business Continuity & Disaster Recovery
- Risk Management
- Physical & Environmental Security
- Data Protection & Privacy
In addition to the above domains, HITRUST has 135 specific controls.
CSF Levels of Implementation
For each of the 135 controls defined by HITRUST, there are 3 distinct implementation levels. Each implementation level builds on the one below – level 2 includes all of level 1 plus additional requirements, level 3 includes all of level 2 plus additional requirements. So technically level 3 is the most stringent set of requirements.
これは、HITRUST について最も混乱している分野であり、少なくとも、私たちが HITRUST CSF 認証について最もよく質問される分野であると思います。 評価の種類にかかわらず、すべての HITRUST 評価の始まりは、評価対象のエンティティに関する情報を収集することです (詳細については、以下の「保証の程度」を参照)。 この情報は、評価のための組織、システム、および規制要件を評価するために使用されます。
このステップは HIPAA にも書かれていますが、ほとんどのアセスメントの一部ではありません。 HIPAA では、合理的で適切な制御を認めています。 HHS の言葉を借りれば、An important step in protecting electronic protected health information (EPHI) is to implement reasonable and appropriate administrative safeguards that establish the foundation for a covered entity’s security program. HIPAA の評価のほとんどは、reasonableappropriate を解釈する枠組みがないため一律で、結局はそれらが解釈されていないことが良いのでしょう。
実施レベルの決定において、HITRUST では組織や各評価に対して動的に要件を定めています。 より広範な CSF と同様に、実装レベルを決定するための標準化されたプロセスです。
CSF Degrees of Assurance
HITRUSTでは3種類の保証度 (基本的には評価のレベル) を提供しています。 保証の程度は、コスト、労力のレベル、時間の量、および厳密性に沿っています。 各レベルは、その下のレベルの上に成り立っています。 参考までに、Datica は CSF Certified アセスメントを完了しており、これは最高の保証の度合いです。
保証の度合いには、コスト、労力、時間、厳格さが最も低いものから、次のオプションがあります。 これは、単に組織が独自に CSF を完了することです。 標準化されたフレームワークで再度行われるため、一般的には組織の内部ツールとして価値があります。 評価のあらゆる側面を検証する外部の関係者は存在しません。 その結果、HITRUST発行のCSF自己評価報告書が作成されます。
CSF Validated。 このオプションおよび以下の CSF Certified オプションでは、評価を完了する組織が収集した情報を検証するために、第三者の CSF アセッサーが必要である。 CSF 評価者は、HITRUST によって承認されています。 この保証の程度では、CSF 評価者による実地訪問が必要である。
CSF Certified CSF Validated 評価と同様に、評価を受けた組織は、2 年間有効な HITRUST CSF Certification を付与されます。 この保証の程度の主な違いは、HITRUST CSF認証を付与された組織は、CSFの認証要件をすべて満たしていることです。 これは、CSF Validated assessment の上に、HITRUST が組織のエントリと第三者評価者の検証をレビューし、認証するものです。 Datica の場合、認証のためのこの最終ステップは 3 ~ 4 か月かかりました。
PCI for Healthcare
HITRUSTとPCIには類似性があります。 ご存じない方のために説明すると、PCI は、金融および支払処理業界向けのコンプライアンス フレームワークです。 PCI コンプライアンスの達成は、認定された HITRUST 評価と同様、非常に複雑です。 HIPAA は連邦政府(特に HHS)によって作成され、技術的に施行されていますが、CSF はヘルスケア業界の代表団体である HITRUST によって作成され、維持されています。
多くの意味で、HITRUST はヘルスケア業界による、標準的で PCI に似た認証を作成する試みと言えます。
多くの点で、HITRUST はヘルスケア業界による、標準化された PCI のような認証を作成する試みです。施行に関しては、HHS とは対照的に、ヘルスケア業界は、業務提携先や下請け業者に対して認証評価を要求することによって HITRUST を施行することになっています。
HITRUST vs HIPAA
前述のように、HITRUST は HIPAA の上に構築されたものです。 標準化されておらず、規定もないコンプライアンスの枠組みである HIPAA を、ヘルスケア業界向けに標準化されたコンプライアンスの枠組み、評価、および認証プロセスとして構築しています。 その過程で、PCI や NIST などの他のコンプライアンスフレームワークと HIPAA を「調和」させる。
セキュリティ侵害に対する罰則を定めたHIPAAとは対照的に、HITRUSTの施行は、病院や支払者などの対象事業者がベンダーに対してHITRUST CSF認証を要求する、ヘルスケア産業そのものに依存しています。 HITRUSTは、ヘルスケア業界において急速に普及し、ベンダーに対する期待として、ますます多く見られるようになっています。
私はHIPAA監査と認定CSF評価の両方を経験しましたが、HITRUST CSF認証はHIPAA監査よりもはるかに厳格なプロセスであり、認証を得ようとする組織には高い立証責任が課されると断言してもよいでしょう。 HITRUST CSF認証の取得には、HIPAA監査よりもはるかに多くの時間、労力、およびリソースが必要です。
HITRUST CSF 認証を取得することは、HIPAA 監査を完了するよりも、セキュリティとコンプライアンスにとって重要なバッジと見なされるべきです。
HITRUST評価を検討中または完了した場合は、質問またはフィードバックがありましたらお気軽にご連絡ください。