医療保険の携行性と責任に関する法律と HITECH 法 (Health Insurance Portability and Accountability (HIPAA) & HITECH Acts)Health Insurance Portability and Accountability (HIPAA) & HITECH Acts

HIPAA と HITECH 法の概要HIPAA and the HITECH Act overview

健康保険の携行性と責任に関する法律 (HIPAA) は、個人を特定できる健康情報の使用、開示、および保護に関する要件を定めた米国の医療法です。The Health Insurance Portability and Accountability Act (HIPAA) is a US healthcare law that establishes requirements for the use, disclosure, and safeguarding of individually identifiable health information. 患者の保護された医療情報 (PHI) にアクセスできる対象事業体、病院、病院、医療保険者、その他の医療会社、およびクラウド サービスや IT プロバイダーなどのビジネス関係者が、その代理で PHI を処理する場合に適用されます。It applies to covered entities, doctors' offices, hospitals, health insurers, and other healthcare companies, with access to patients' protected health information (PHI), as well as to business associates, such as cloud service and IT providers, that process PHI on their behalf. (ほとんどの対象事業体は、クレームやデータ処理などの機能を単独では実行しません。それらの機能の実行については、ビジネス関係者に依存しています。)(Most covered entities do not carry out functions such as claims or data processing on their own; they rely on business associates to do so.)

法律は、4 つの一般的な分野での PHI の使用および普及を規制しています。The law regulates the use and dissemination of PHI in four general areas:

  • プライバシー。患者の機密性を対象とします。Privacy, which covers patient confidentiality.
  • セキュリティ。物理的、技術的、および管理面での保護を含む情報の保護を扱います。Security, which deals with the protection of information, including physical, technological, and administrative safeguards.
  • 識別子。これは、調査目的で収集された場合に公開できない情報の種類です。Identifiers, which are the types of information that cannot be released if collected for research purposes.
  • 医療関連の取引におけるデータの電子送信のためのコード。適格性および保険金の請求や支払いを含みます。Codes for electronic transmission of data in healthcare-related transactions, including eligibility and insurance claims and payments.

HIPAA の範囲は、経済的および臨床的健全性のための健康情報技術 (HITECH) 法の制定により拡張されました。HIPAA および HITECH 法のルールには以下が含まれます。The scope of HIPAA was extended with the enactment of the Health Information Technology for Economic and Clinical Health (HITECH) Act. Together, HIPAA and HITECH Act rules include:

  • 個人が各自の個人情報の使用をコントロールする権利に焦点を当てる HIPAA プライバシー ルールは、PHI の機密性を対象とし、その使用と開示を制限します。The HIPAA Privacy Rule, which focuses on the right of individuals to control the use of their personal information, and covers the confidentiality of PHI, limiting its use and disclosure.
  • HIPAA セキュリティ ルール。管理面、技術的、および物理的な保護の基準を設定し、電子 PHI を不正なアクセス、使用、および開示から保護します。The HIPAA Security Rule, which sets the standards for administrative, technical, and physical safeguards to protect electronic PHI from unauthorized access, use, and disclosure. また、ビジネス アソシエイト契約 (BAA) などの組織の要件も含まれます。It also includes such organizational requirements as Business Associate Agreements (BAAs).

HITECH 違反の通知に関する最終ルール。セキュリティ保護されていない PHI 違反が発生した場合、個人および政府に通知する必要があります。The HITECH Breach Notification Final Rule, which requires giving notice to individuals and the government when a breach of unsecured PHI occurs.

Microsoft と HIPAA および HITECH 法Microsoft and HIPAA and the HITECH Act

HIPAA 規制では、対象となる事業体とその事業上の関連企業 (この場合、Microsoft が対象エンティティにクラウド サービスを含むサービスを提供する場合) は、それらのビジネスアソシエイトが PHI を適切に保護するための契約を締結する必要があります。HIPAA regulations require that covered entities and their business associates, in this case, Microsoft when it provides services, including cloud services, to covered entities, enter into contracts to ensure that those business associates will adequately protect PHI. これらの契約 (BAA) は、ビジネス アソシエイトが PHI を処理する方法を明確にし、制限し、HIPAA および HITECH 法で規定されているセキュリティおよびプライバシーに関する条項に各当事者が準拠する方法を規定します。BAA が設定された後、Microsoft のお客様 (対象エンティティ) は、サービスを使用して PHI の処理と保存を行います。These contracts, or BAAs, clarify and limit how the business associate can handle PHI, and set forth each party's adherence to the security and privacy provisions set forth in HIPAA and the HITECH Act. Once a BAA is in place, Microsoft customers (covered entities) can use its services to process and store PHI.

現在、HIPAA または HITECH 法のコンプライアンスに関する公式の認定資格はありません。Currently there is no official certification for HIPAA or HITECH Act compliance. ただし、BAA の対象となるこれらの Microsoft サービスは、Microsoft ISO/IEC 27001 認定の独立監査人によって実施された監査を受けています。However, those Microsoft services covered under the BAA have undergone audits conducted by accredited independent auditors for the Microsoft ISO/IEC 27001 certification.

Microsoft エンタープライズ クラウド サービスも FedRAMP 評価の対象です。Microsoft enterprise cloud services are also covered by FedRAMP assessments. Microsoft Azure と Microsoft Azure Government は、FedRAMP 合同認定委員会から規定業務認可を受けました。Microsoft Dynamics 365 U.S. Government は、米国保健福祉省の Microsoft Office 365 U.S. Government と同様に、米国住宅都市開発省からエージェンシー業務認可を受けました。Microsoft Azure and Microsoft Azure Government received a Provisional Authority to Operate from the FedRAMP Joint Authorization Board; Microsoft Dynamics 365 U.S. Government received an Agency Authority to Operate from the US Department of Housing and Urban Development, as did Microsoft Office 365 U.S. Government from the US Department of Health and Human Services.

Microsoft クラウドがお客様の HIPAA および HITECH 要件への準拠をどのように支援するかについては、「Microsoft のお客様事例」をご覧ください。To learn how the Microsoft Cloud helps customers support HIPAA and the HITECH requirements, visit Microsoft Customer Stories.

対象となる Microsoft のクラウド サービスMicrosoft in-scope cloud services

Azure での HIPAA/HITRUST ソリューションの展開を加速するAccelerate your deployment of HIPAA/HITRUST solutions on Azure

Azure Security and Compliance Blueprint (HIPAA/HITRUST Health Data and AI)を使用して、健康データ ソリューション用のクラウドのメリットを活用しましょう。Get a head start on taking advantage of the benefits of the cloud for health data solutions with the Azure Security and Compliance Blueprint: HIPAA/HITRUST Health Data and AI. このブループリントは、HIPAA/HITRUST ソリューションの構築を今日から始めるためのツールとガイダンスを提供します。This blueprint provides tools and guidance to get you started building HIPAA/HITRUST solutions today.

よく寄せられる質問Frequently asked questions

自分の所属組織は Microsoft と BAA を締結できますか ?Can my organization enter into a BAA with Microsoft?

Microsoft は、対象企業またはそのサプライヤーに、範囲内の Microsoft サービスを対象とする BAA を提供します。Microsoft offers qualified companies or their suppliers a BAA that covers in-scope Microsoft services.

Microsoft クラウド サービスの場合: HIPAA ビジネス アソシエイト契約は、HIPAA の対象事業体またはビジネス関係者であるすべての顧客が、オンライン サービスの使用条件を介して既定で利用できます。For Microsoft cloud services: The HIPAA Business Associate Agreement is available via the Online Services Terms by default to all customers who are covered entities or business associates under HIPAA. この BAA の対象となるクラウド サービスの一覧については、この Web ページの「対象となる Microsoft のクラウド サービス」を参照してください。See 'Microsoft in-scope cloud services' on this webpage for the list of cloud services covered by this BAA.

Microsoft Professional Services サービスの場合: HIPAA ビジネス アソシエイト の修正は、Microsoft サービス担当者への要求に応じて、範囲内のMicrosoft Professional Services で利用できます。For Microsoft Professional Services services: The HIPAA Business Associate Amendment is available for in-scope Microsoft Professional Services upon request to your Microsoft services representative.

Microsoft との BAA を持つことで、組織が HIPAA および HITECH 法に準拠しているのですか?Does having a BAA with Microsoft ensure my organization's compliance with HIPAA and the HITECH Act?

いいえ。No. BAA を提供することにより、Microsoft は HIPAA コンプライアンスへの準拠の支援をしますが、Microsoft のサービスを使用するだけでは達成できません。By offering a BAA, Microsoft helps support your HIPAA compliance, but using Microsoft services does not on its own achieve it. 組織は、適切なコンプライアンス プログラムと内部プロセスを整備し、Microsoft サービスの特定の使用が HIPAA および HITECH 法と整合するように調整する責任があります。Your organization is responsible for ensuring that you have an adequate compliance program and internal processes in place, and that your particular use of Microsoft services aligns with HIPAA and the HITECH Act.

Microsoft は自分の組織の BAA を変更できますか?Can Microsoft modify my organization's BAA?

Microsoft のサービスはすべての顧客に対して一貫しているため、HIPAA BAA を変更することはできません。したがって、すべてのお客様が同じ手順に従っていただく必要があります。Microsoft cannot modify the HIPAA BAA, because Microsoft services are consistent for all customers and so must follow the same procedures for everyone. ただし、Microsoft の HIPAA 規制対象のお客様とそのサービス向け BAA を作成するために、Microsoft は、米国の主要な医療学校とその HIPAA プライバシー 弁護士、および他の公的および私的セクターの HIPAA 対象エンティティと協力しました。However, to create the BAA for Microsoft's HIPAA-regulated customers and its services, Microsoft collaborated with some of the leading US medical schools and their HIPAA privacy counsel, as well as other public- and private-sector HIPAA-covered entities.

監査人の報告書のコピーを取得する方法How can I get copies of the auditor's reports?

Service Trust Portal では、中立的な監査によるコンプライアンス レポートを提供しています。The Service Trust Portal provides independently audited compliance reports. 貴社の監査人が Microsoft のクラウド サービスの監査結果と貴社の法的および規制要件を比較できるようにするために、ポータルで監査レポートをリクエストすることができます。You can use the portal to request audit reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

HIPAA および HITECH 法への準拠に関する詳細を知るには、どうすればよいですか ?How can I learn more about complying with HIPAA and the HITECH Act?

このタスクをサポートするために、Microsoft は次のガイドを公開しています。To assist customers with this task, Microsoft has published these guides:

Microsoft コンプライアンス マネージャーを使用してリスクを評価するUse Microsoft Compliance Manager to assess your risk

Microsoft コンプライアンス マネージャーは、 Microsoft 365 コンプライアンス センターの機能で、組織のコンプライアンスに対する姿勢を把握し、リスクを軽減するための処置を実行できるようにします。Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。Compliance Manager offers a premium template for building an assessment for this regulation. コンプライアンスマネージャーの 評価テンプレート ページでテンプレートを見つけます。Find the template in the assessment templates page in Compliance Manager. コンプライアンスマネージャーで評価をする方法について説明します。Learn how to build assessments in Compliance Manager.

リソースResources